《防火墙安全解决方案建议书》由会员分享,可在线阅读,更多相关《防火墙安全解决方案建议书(11页珍藏版)》请在金锄头文库上搜索。
1、-密密级:文档编号:工程代号:*单位网络平安方案建议书网御神州科技*目 录1 概述31.1 引言32 网络现状分析42.1 网络现状描述42.2网络平安建立目标43 平安方案设计43.1 方案设计原则43.2网络边界防护平安方案53.3 平安产品配置与报价73.4 平安产品推荐74 工程实施与产品效劳体系124. 1 一年硬件免费保修134.2 快速响应效劳134.3 免费咨询效劳134.4 现场效劳134.5 建立档案131 概述1.1 引言随着政府上网、电子商务、网上娱乐、网上证券、网上银行等一系列网络应用的蓬勃开展,Internet正在越来越多地离开原来单纯的学术环境,融入到社会的各个方
2、面。一方面,网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,网络应用越来越深地渗透到金融、证券、商务、国防等等关键要害领域。换言之,Internet网的平安,包括其上的信息数据平安和网络设备效劳的运行平安,日益成为与国家、政府、企业、个人的利益休戚相关的大事。网御神州科技*是一家具有国内一流技术水平,拥有多年信息平安从业经历,由信息平安精英技术团队组成的信息平安公司。公司以开发一流的信息平安产品,提供专业的信息平安效劳为主业,秉承“平安创造价值的业务理念,以追求卓越的专业精神,诚信负责的效劳态度以及业界领先的技术和产品,致力于成为“客户最值得信赖的信息平安体系设计师
3、与建立者,从而打造一流的民族信息平安品牌,为神州大地的信息化建立保驾护航。网御神州有幸能够参与*单位的信息化的平安规划,并且在前期与信息中心领导进展了交流与研讨,本方案以前期交流的结果为根底,将围绕着目前的网络现状、应用系统等因素,为*单位提供边界网络防护方案,希望该方案能够为*单位平安建立工程提供有益的参考。2 网络现状分析2.1 网络现状描述目前*单位已经采用快速以太网技术建成了内部的办公网络,网络分为两局部:内部办公网络、外部办公网络。外部办公网络局部有通向互联网的出口,但没有采用任何边界防护的设备。内部办公网络局部与外部办公网络局部是物理隔离的,因此当内部办公用机需要访问互联网的时候,
4、必须手工切换到外部网络。2.2网络平安建立目标*单位网络平安的建立目标包含以下内容:1、 保障办公网资源受控合法的使用保证办公网资源可控合法的应用,确保特定的用户拥有特定的权限,合理的使用网络资源,防止伪冒与恶意滥用网络资源。2、 保障办公网用户平安便捷的访问互联网在访问互联网的同时,保证办公网内部用户不受到来自Internet的非法访问或恶意入侵,保证网络的平安性与私密性。3平安方案设计3.1 方案设计原则网御神州严格按照国家相关规定进展系统方案设计。设计方案中遵守的设计原则为:(1) 统一性系统必须统一标准、统一标准、统一接口,使用国际标准、国家标准,采用统一的系统体系构造,以保持系统的统
5、一性和完整性。(2) 实用性系统能最大限度满足*单位的需求,结合实际情况,在对业务系统进展设计和优化的根底上进展设计。(3) 先进性无论对业务系统的设计还是对信息系统和网络的设计,都要采用成熟先进的技术、手段、方法和设备。(4) 可扩展性系统的设计必须考虑到未来开展的需要,具有良好的可扩展性和良好的可升级性。(5) 平安性必须建立可靠的平安体系,以防止对信息系统的非法侵入和攻击。(6) *性信息系统的有关业务信息,资金信息等必须有严格的管理措施和技术手段加以保护,以免因泄密而造成国家、单位和个人的损失。3.2网络边界防护平安方案在网络边界部署硬件防火墙。防火墙主要解决网络边界的平安问题,通过边
6、界保护,可以有效躲避大局部网络层平安威胁,并降低系统层平安威胁对*单位网络平台的影响,防范不同网络区域之间的非法访问和攻击,确保*单位各个区域的有序访问。*单位防火墙配置部署的网络示意图如下:根据用户的需求,可在防火墙上设置如下平安策略:1. 利用网御神州防火墙的智能过滤技术,实现基于协议、源/目的地址、端口、时间、访问控制。例如:可以对办公网内的用户设定具体的访问时间段:上班时间允许互联网,下班时间制止;也可以限定用户访问互联网的资源:允许正常访问网页,但不允许使用聊天与网络游戏。2. 利用网御神州防火墙的IP+MAC地址绑定的功能,防止内部用户通过盗用IP地址获得其他高级用户的权限,一旦出
7、现用户私自改动IP地址,将断掉该用户与互联网的连接。并且网御神州防火墙支持MAC地址自学习的功能,非常方便地设置本项平安策略;3. 结合IP+MAC地址绑定的功能,针对每个用户的IP+MAC地址分配一定的带宽,利用网御神州防火墙高精度的QOS功能实现网络流量的控制,确保每个用户无法占用超出标准的带宽资源; 4. 利用网御神州防火墙防火墙的日志功能记录完整日志和统计报表等资料,便于网络管理人员针对办公网的活动情况进展监控和审计,有效发现办公网中存在的问题;5. 利用灵活多样的告警手段告警,日志,SNMP陷阱等实现对违规行为的告警;3.3 平安产品配置与报价配置方案一推荐方案产品型号产品描述部署地
8、点数量产品单价人民币备注说明网御神州SecGate 3600-F3企业级百兆防火墙,1U机箱,处理能力400M,标配4个10/100M 自适应RJ45接口*单位信息中心168,000配置方案二经济型方案产品型号产品描述部署地点数量产品单价人民币备注说明网御神州SecGate 3600-F2小型企业百兆防火墙,1U机箱,处理能力150M ,标配7个10/100M 自适应RJ45接口4个交换口*单位信息中心138,0003.4 平安产品推荐根据*单位网络现状以及对平安产品的平安需求,本方案推荐在使用网御神州的SecGate 3600-F系列百兆级防火墙,该防火墙是基于状态检测包过滤和应用级代理的复
9、合型硬件防火墙,是专门面向大中型企业、政府、军队、高校等用户开发的新一代专业防火墙设备。支持外部攻击防范、内网平安、网络访问权限控制、网络流量监控和带宽管理、网页内容过滤、内容过滤等功能,能够有效地保证网络的平安;产品提供灵活的网络路由/桥接能力,支持策略路由,多出口链路聚合;提供多种智能分析和管理手段,支持告警,支持日志审计,提供全面的网络管理监控,协助网络管理员完成网络的平安管理。SecGate3600-F防火墙六大特色1、独立的SecOS平安协议栈完全自主知识产权的SecOS实现防火墙的控制层和数据转发层别离,全模块化设计,实现独立的平安协议栈,消除了因操作系统漏洞带来的平安性问题,以及
10、操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的更换带来的重复开发问题。由于采用先进的设计理念,使该SecOS具有更高的平安性、开放性、扩展性和可移植性。硬件抽象层SecOS平安协议栈控制接口配置管理应用软件图 3.1 SecGate 3600-F防火墙体系架构图2、独创的智能高效搜索算法采用独创的分段直接寻址搜索算法MSDALMulti-Stage Direct Addressing Lookup Algorithm,解决了传统防火墙随着平安策略数的增加其性能逐渐下降的问题,确保您在大量平安策略数目情况下仍能获取最高的网络性能!3、深度的网络行为关联分析采用数据包内容的深度网
11、络行为关联分析技术,让您不再为各种专有动态协议如H.323、FTP、SQL.Net等的控制“愁眉不展!并且增强了您的网络对于各种DDoS攻击的防范能力!4、全面的连接状态监控和实时阻断全面的连接状态监控,让您及时掌握网络运行状态,配合丰富的连接限制,方便您对BT/电驴等P2P应用的控制,以及对感染网络蠕虫病毒的主机进展快速定位和实时阻断!5、强大的网络拓扑自适应性适应于各种复杂网络拓扑,包括透明桥接、路由以及桥和路由完全自适应识别模式。支持VLAN和VLAN TRUNK处理;支持多网络出口的链路聚合和策略路由;支持生成树和每VLAN生成树协议STP/PVST+和虚拟路由冗余协议VRRP,提供全
12、面可靠的二层链路备份和三层路由备份。6、智能便捷的配置向导和管理方式为平安管理员提供智能便捷的配置向导,让您轻松完成复杂的平安配置!并提供丰富的管理方式,包括本地Console,拨号PPP接入,基于WebHTTPS浏览器,远程SSH登录,以及强大的SecFo*集中平安管理方式。主要功能列表:功能分类功能概要状态检测针对TCP/IP协议的TCP/UDP/ICMP数据包,实现完整的状态包过滤,完全到达GB/T-18019?包过滤防火墙技术要求?的要求。智能过滤针对动态协议包括但不限于H.323、FTP、 TFTP 、Oracle TNS、SIP等通信协议,提供基于协议分析的智能化动态包过滤功能,实
13、时开闭应用程序动态协商的TCP/UDP端口,最大程度地提升防火墙的平安性。地址转换支持动态地址转换,包括多对一的地址转换,多对多的地址转换。支持静态地址转换,包括对内部效劳器提供一对一的地址转换。支持双向地址转换,满足对等网络间双方隐藏内部IP地址的要求。支持基于下一跳路由的地址转换,满足多出口网络地址转换负载均衡的要求。端口映射支持将内部提供不同效劳的多个效劳器地址映射成外部一样地址下的不同端口,在端口映射状态下,可同时提供多种平安的网络效劳。支持对内部镜像效劳器访问的负载均衡应用代理提供基于TCP的HTTP代理、SMTP代理、FTP代理、TELNET代理、POP3代理以及基于策略的通用代理
14、。支持在透明代理下基于HTTP、FTP、SMTP、POP3协议的内容过滤。内容过滤针对HTTP,对网页中java、javascrip、active*进展过滤。针对SMTP、POP3,基于发信人地址、收信人地址、收信人数、文件大小、主题、正文内容、发件人*、收件人*、附件文件名、附件内容等进展关键字匹配过滤。在状态包过滤方式下,支持URL过滤和特殊代码剥离,并支持黑/白过滤策略。连接收理提供保护主机、保护效劳、限制主机、限制效劳。保护效劳器或效劳器上提供的*项效劳,限制对效劳器过于频繁的访问。在规定的时间内,如果*台主机访问效劳器超过了所限制的次数,则会对该主机实行阻断,在阻断时间段内,拒绝其对
15、效劳器的所有访问。也可以应用此功能对使用BT/电驴等连接数目过大严重影响网络流量的用户加以限制。用户认证支持网络协议层用户认证,可以为包过滤、双向NAT、代理等访问控制提供用户认证功能。提供基于电子钥匙的用户身份认证。支持用户和组管理,支持用户策略控制源IP绑定、可访问目的IP和效劳,支持对用户*的流量控制和时间控制。提供与标准radius效劳器(PAP)联动的用户认证。提供本地认证库实现基于角色的用户策略,并与平安规则策略配合完成强访问控制。支持PAP 和S/Key认证协议。提供在线用户监控功能。时间控制支持平安规则时间调度。支持用户策略时间调度。支持一次性与周期性时间调度规则。带宽管理支持基于IP地址、应用协议的带宽管理。支持基于用户的带宽管理通过身份认证的用户,可以指定带宽。支持最小保证带宽和最大限制带宽设置。支持带宽优先级的设定。地址绑定提供IP/MAC地址绑定检查功能,可有效解决网络管理中IP地址盗用问题。可以设置绑定的默认策略,提
