网络安全整体解决方案

《网络安全整体解决方案》由会员分享，可在线阅读，更多相关《网络安全整体解决方案（16页珍藏版）》请在金锄头文库上搜索。

1、网络安全整体解决方案网络安全整体解决方案目次第 1章 总体分析及需求 3第 2章 总体设计 4第 3章 防火墙筹划 43.1 本筹划的收集拓扑构造 53.2 本筹划的优势： 63.3本筹划的产品特点 7第 4章 内网行动治理筹划 84.1 内网安稳治理体系介绍 84.2内网治理体系重要功能 9第 5章 报价单 错误!未定义书签。第 1 章 总体分析及需求珠海市网佳科技新办公大年夜楼由五层办公区域构成，公司范畴较大年夜、部分较多，总PC数量估 量在200阁下，个中公司财务部分须要相对的自力，以包管财务的绝对安稳；关于通俗职员，若何防止 其应用公司收集处理私家事务，若何防止因小我误操作而引起全部公

2、司收集的瘫痪，这些差不多上现在 企业收集急待解决的问题。跟着公司范畴的赓续强大年夜，逐步形成了企业总部各地分支机构移动 办公人员的新型互动运营模式，如何处理总部与分支机构、移动办公人员的信息共享安稳，既要包管信 息的及时共享，又要防止隐秘的泄漏差不多成为企业成长过程中不得不推敲的问题。同时，若何防止骇 客进击、病毒传播、蠕虫进击、敏锐信息泄漏等差不多上须要推敲的问题，如：第一、跟着电脑数量的增长，假如收集不划分VLAN，所有的PC都在一个广播域内，万一网内有一 台PC中了 ARP，那么将阻碍到全部收集的稳固；第二、各类办事器是企业重要数据地点，而办事器假如不采取必定的爱护机制，则会经常遭受来自

3、 表里网病毒及其它黑客的进击，导致办事器不克不及正常工作及信息泄漏，经企业带来弗成估量的损掉；第三、收集没有网管型的设备，无法对收集进行有效的操纵，使收集治理员心有余力而力不从心， 往往是事倍功半，如无法操纵P2P软件下载而占用收集带宽；无法限制QQ、MSN、SKYPE等即时谈天软件； 网管员无法对收集内的流量进行操纵，造成收集资本的应用白费；第四、企业有分支机构、移动办公人员，无法与总部互动、拜望总部K3、ERP等重要数据资本，从 而不克不及及时猎取办公所需数据。综上分析，珠海市网佳科技按照企业今朝收集情形，有针对性地实施收集安稳方面的方法，为收集的正常运行及办事器数据的安稳性做好前期工作。

4、第 2 章 总体设计依照珠海市网佳科技的实际收集情形，结合今朝的具体需求，从以下几个层面来为珠海市网佳科技设计一个以硬件防火墙为主体的收集安稳解决筹划，保证珠海市网佳科技收集的正常运行及办事器的安稳。公司收集的大年夜致构造是:光纤-路由器-交换机-PC,公司大年夜概有200多台电脑，依照公司今朝的收集范畴及上面的分析，现提出以下整体解决筹划。1. 在收集出口处架构一台硬件防火墙,以防止不法进击2. 在每台PC 上安装内网行动治理软件，对每台PC实施应用法度榜样治理、屏幕监控、上彀策略治理第 3 章 防火墙筹划本筹划建议采取国康防火墙.依照公司的收集构造，合适的型号是FX-500。经由过程前面的

5、分析与需求， 国康防火墙能够达到贵公司现在所需解决的问题，具体表示如下： 下载安装游戏软件；用QQ与MSN谈天造成工作效力低下；主动或被动的扫瞄色情网站；BT猖狂下 载片子、在线听歌、QQ直播，造成收集带宽堵塞；同时收集治理员须要只许可拜望固定网站或樊篱 某些网站。 职员上彀治理：自定义时刻开放网上谈天、游戏、查询股票项目。 有效爱护对外宣布的WEB、FTP、邮件办事器。防止黑客入侵修改网站信息，宣布反动黄色内容帖子。 对从内到外及从外到内的收集拜望做好有效的日记记录，以备网监处查询。 对收集整体进行流量限制 防止ARP欺诈现象的产生，当产生欺诈现象时，能够经由过程防火墙日记端快速的查找至到A

6、RP欺诈 泉源地点，保证收集正常运行。 能够实现移动办公，经由过程防火墙内置的各类VPN (PPTP、L2TPVPN、IPSec VPN、SSL VPN)功 能,即使出差在外，也可便利地拜望公司内部ERP办事器资本。 IP/MAC地址绑定，防止职员随便更换IP地址，造成收集内地址冲突现象而产生收集中断，使网管 员便利治理筹划网内IP地址资本。3.1 本筹划的收集拓扑构造掘功川户M；JlllcilictFTPL- R Pwrn总部总 SflGi.n建议的收集拓扑构造3.21、2、3、4、5、6、7、本筹划的优势：珠海市网佳科技整体处于安稳区域内,对公司内部宣布的办事器起到爱护,有效防护外部进击。

7、 可对收集限制整体流量.能够随便封堵QQ.MSN,YAHOO通等即时谈天软件.能够整体操纵BT、电驴、迅雷等下载软件占据大年夜量带宽。能够对公司的数据进行安稳过滤。 防火墙的设置简单化，专门是没有专职网管的公司,为治理者带来极大年夜的便利。增长了 SSL VPN功能，极其简化的设置方法，只须要用户名、暗码、办事器IP三个参数即能轻松完成设 备。为长途拨入的移动客户端，供给了便利。8、强大年夜的日记审计，完成了对及时流量监控，对ARP、蠕虫病毒的监控，对客户端上彀记录的监控等。3.3 本筹划的产品特点防火墙特点功能 灵活的治理界面，面象对象的治理 多WAN 口链路负载均衡网通电信线路智能确信 P

8、PPOE拨号功能，完全解决ARP病毒 实名上彀功能，无需安装插件 多动态域名互为备份 应用路由功能，可设置某种协定流量走特定的外网口 可樊篱内网客户端发贴IPSEC/SSLVPN 功能: 可基于路由、透亮、单臂模式安排，不改变客户收集构造； 支撑以口令或口令加证书USBKey的方法进行身份验证;内置CA中间 VPN 帐号能够和特定的机械特点主动绑定； 灵活的应用宣布机制和权限分布机制；支撑B/S、C/S和T/S应用法度榜样; 灵活的安稳策略，便应用户长途拜望； 完美的日记和报表； 解决多种宽带收集间互访“南北不通”问题； 支撑低宽带前提下的数据及时紧缩，最高可进步50%的数据传输速度； TCP

9、/IP协定优化,集成了数据紧缩技巧 穿透性好，支撑移动、电信3G收集终端治理功能: USB 储备设备认证与加密 外联监控 外设操纵 共享目次监控 硬件变革监控、软件监控 过程监控 离线策略 资产治理 软件分发 收集拜望操纵 长途桌面治理、准时截屏功能流量操纵功能 客户端连接数操纵 针对IP/地址段设置带宽 辨认操纵P2P软件和加密P2P数据 当有余外带宽，许可冲破限制，充分应用带宽 及时显示各客户端连接数、收发包量、速度、累计流量 流控对应到人 强大年夜的流量分析日记及图形报表行动治理功能: 网站分类封堵，支撑自定义组、通配符定义域名 QQ号治理、只有指定的QQ号才能上岸 封堵 MSN、 Ya

10、hooMessage、 AIM、 IRC 与终端治理结合，可监控谈天记录 讯雷、BT、电驴等P2P软件按协定封堵 游戏、长途操纵软件、 VOIP 等不法软件封堵 禁止从内到外或从外到内POST提交发贴、高低传文件第 4 章 内网行动治理筹划4.1宝内网安稳治理体系介绍完全的国康防水墙由三部分构成，办事器模块、监控端模块和客户端模块。客户端模块安装在每一台须 要被监督的运算机上。办事器模块用来储备和治理所有安装有客户端模块的运算机，用于治理监督所产生的 材料，一样安装在一台具有高机能CPU和大年夜容量内存的用作办事器的运算机上。监控端模块重要用于监 督每台安装有客户端模块的运算机及查看汗青记录，

11、一样安装在公司的治理人员的运算机上，也能够和办事 器模块安装在同一台运算机上。体系的全然框架如下图所示：頸机其它网络宝界防水珞体系示意图监控端客户端客户端客户端 客户端4.2 内网治理体系重要功能1、内网治理体系安稳、杰出的体系机能：操纵台与办事器端及客户端代理之间的操纵信息都经由过程加密通信 办事器端与客户端代理之间进行认证，防止未获授权应用 对不法接入的主机可割断其与内部安装过客户端代理主机之间的接洽 本地用户不克不及自行卸载、封闭客户端代理法度榜样 治理权限分级，利于分级操纵 登录应用了严格的身份认证，保证体系的治理安稳 客户端、办事器及操纵台间的数据传输全部采取加密传输方法，防止传输的

12、数据被窃听 在终端 PC 上运行的客户端软件采取了透亮模式客户端软件采集数据信息不阻碍终端PC的应用机能传输中的数据经由专门紧缩，对收集带宽的占用专门少 备份和复原办事器数据库中的信息，包管汗青记录的便利查阅2、内网治理体系对企业的赞助： 爱护隐秘贸易材料具体记录文件操作（拜望、修改、删除等）记录文件操作时的屏幕对移动储备设备的灵活治理对设备端口的治理 规范职员的上班行动限制与工作无关应用法度榜样的应用禁止扫瞄工作无关网站对违规行动的报警 客不雅评估职职员作状况具体记录职员应用的应用法度榜样具体记录职员扫瞄的网页职员应用电脑情形图表分析 便利的电脑资产治理主动猎取电脑硬件设备清单主动猎取电脑安

13、装的应用法度榜样协助企业治理者的工作 灵活完美的规矩设定完美丰富的报表功能严格的权限治理追踪重要事宜记录电脑屏幕，直不雅不雅察职员的电脑操作记录设置报警，查询职员的违规行动3、内网治理体系的重要功能：内网治理体系包含了下列的六大年夜功能模块：收集监督模块、收集治理模块、收集报警模块、软硬 件资产治理模块、补丁治理和软件分发、长途桌面治理。1、收集监督模块：依照设定的安稳操纵策略，对受控对象的活动进行周全的审计，为过后明白得和确信收集安稳变乱供给了宝贵的材料，具体功能如下：文件操作的审计；屏幕记录； 应用法度榜样的审计； Internet 拜望的审计； 收集通信协定； 报警信息的审计； 打印机应

14、用的审计； 收集文件拜望的审计； 硬件更换的审计； 软件更换的审计； IP/Mac 地址的更换审计； 用户的更换审计； 不法笔记本电脑接入的审计； 不法拨号的设计； 客户端超时不连接的审计；2、收集治理模块： 收集治理模块经由过程具有针对性的监控规矩的设置，主动阻拦不法操作和实现应用统计，具体功能如下： 禁止或只许可扫瞄的指定网站； 禁止应用指定的应用法度榜样；禁止应用外设如（USB储备设备、USB端口、软驱、刻录机、磁带驱动器、串口、并口、调制解调器、SCSI、1394总线、红外通信设备，以及笔记本电脑应用的PCMCIA卡接口）； 内网治理模块对电脑的应用进行具体统计，进步工作效力。扫瞄网站

15、状况统计（列表、柱状图、饼状图）； 应用软件应用统计（列表、柱状图、饼状图）；3、收集报警模块：收集监控模块经由过程具有针对性的监控规矩的设置，同时能够向操纵台发出报警信息，报警内容有：不法对指定文件/文件夹操作报警； 不法应用指定的应用法度榜样报警；硬件更换的报警；软件更换的报警；IP/Mac 地址的更换报警；用户的更换报警；不法运算机接入的报警；不法拨号的报警；客户端超时不连接的报警。4、软硬件资产治理模块：软硬件治理模块能够对全部局域网内的电脑的软硬件资产进行统计。5、补丁治理和软件分发：能够随时统计出操作体系补丁的安装情形，并对未安装重要补丁法度榜样的运算机同一批量安装； 供给同一的应用软件派发功能，使得批量软件安装这一费时辛劳的工作，由软件主动完成；6、长途桌面治理：长途桌面模块经由过程具有针对性的客户端进行