《防火墙技术方案.doc》由会员分享,可在线阅读,更多相关《防火墙技术方案.doc(94页珍藏版)》请在金锄头文库上搜索。
1、菏泽供电公司郓城县供电公司外网网络安全系统升级改造服务技术方案凝聚科技 服务电力15年不变的真挚 我们一如既往山东天辉科技有限公司2012年12月目录1项目背景32需求分析43设计原则64设计方案85方案实施256培训计划707项目进度计划管理718项目组织机构及成员组成749工程质量保证体系7910安全文明施工8511技术支持与售后服务901 项目背景随着网络与信息化建设的飞速发展,人们的工作、生活方式发生了巨大变化。网上行政审批、网上报税、网上银行、网上炒股、网上填报志愿、网上购物等等网络应用不仅为使用者带来了便利,而且大大提高了服务提供者的工作效率。但在享受网络带来便利的同时,我们也不得
2、不面对来自网络内外的各种安全问题。不断发现的软件漏洞,以及在各种利益驱动下形成的地下黑色产业链,让网络随时可能遭受到来自外部的各种攻击。而网络内部的P2P下载、流媒体、IM即时消息、网络游戏等互联网应用不仅严重占用网络资源、降低企业工作效率,同时也成为蠕虫病毒、木马、后门传播的主要途径。公司目前信息网络边界防护比较薄弱,只部署了一台硬件防火墙,属于2006年购买,但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足公司网络安全需要,即使部署了防火墙的安全保障体系仍需要进一步完善,需要对网络信息安全进行升级改造。为提高郓城县供电公司信息外网安全,充分考虑公司网络
3、安全稳定运行,对公司网络信息安全进行升级改造,更换信息机房网络防火墙,以及附属设备,增加两台防火墙实现双机热备以实现网络信息安全稳定运行。2 需求分析防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。本次为郓城县供电公司提供天融信防火墙
4、双机冗余系统并提供系统集成服务。其中包括(但不限于)下列内容:1) 负责信息外网防火墙双击热备改造的设计、系统集成和调试。2) 负责提供改造所需配件/设备清单的所有硬件设备及其配件。3) 负责提供信息外网安全防护双击运行所需的软件及其介质。4) 负责完成本次工程提供的管理软件平台安装和调试,实现信息外网安全防护设备的管理。5) 负责专业人员的技术和运行维护培训。6) 负责模拟联调、设备到货验收、现场安装调试、系统联调、系统预验收。7) 负责提供必需的备品备件和专用工具。8) 负责该系统中设备的故障处理和更换,负责提供所有文档资料。3 设计原则下列标准中的条款通过本技术规范的引用而成为本技术规范
5、的条款,投标人所提供的设备均按上述标准和规程进行设计、制造、检验和安装。凡是注明日期的引用标准,其随后所有的修改单(不包括勘误的内容)或修订版均不适用本技术规范。凡是不注明日期的引用文件,其最新版本适用本技术规范。(1) ISO-国际标准化组织标准ISO9001-2000质量体系标准(2) IEC-国际电工委员会标准IEC 61970系列标准IEC 61968系列标准IEC 60870系列标准IEC60870-5 远动设备及系统传输规约符合IEC60870-5-101、IEC60870-5-102、IEC60870-5-103、IEC60870-5-104规约。符合IEC 60870-6的TA
6、SE2(应用层)协议IEC 61850系列标准IEC529 防护等级IEC61000-4-2 静电放电试验IEC61000-4-3 辐射静电试验IEC61000-4-4 快速瞬变干扰试验IEC61000-4-5 浪涌抗扰性试验(3) ITU-T-国际电信联盟标准ITU-T V.32bis、V.32、V.22bis、V.22、V.23、V.21、G.703等通信协议(4) IEEE-美国电气电子工程师协会标准IEEE Std 1344 电力系统同步相量标准IEEE802.X系列局域网通讯标准(5) EIA-电子工业协会标准(6) GB-中华人民共和国国家标准GB/T13730 地区电网调度自动化
7、系统GB/T13829 远程终端通用技术条件GB/T17626.11-1998 电磁兼容、试验和测试技术,电压暂降,短时中断和变化抗干扰 试验。(7) 其它的通用工业标准OMG的CORBA和UML操作系统UNIX及POSIX标准GUI符合X-Window的标准ANSI的SQL、C+、FORTRAN、JAVA等ANSI标准的SQL数据库查询访问ITU-T、EIA、IEEE、中文国际码TCP/IP4 设计方案4.1产品概述网络卫士系列防火墙NGFW系列专用平台产品,是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。它继承了天融信公司十多年来在安全产品研发中的积累的多项成果,
8、以自主知识产权的网络安全操作系统TOS(Topsec Operating System)为系统平台,采用开放性的系统架构及模块化的设计思想,充分体现了天融信公司在长期的产品开发和市场推广过程中对于用户需求的深刻理解。NGFW系列专用平台属于网络卫士系列防火墙的中高端产品,特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。 NGFW(TG-5130/ TG-5230/ TG-5330)4.2关键技术4.2.1灵活的接口扩展能力最大配置为26个接口,包括3个可插拔的扩展槽和2个10/100/1000BASE-T接口(可作为HA口和管理口);可支持824个千兆接口(光口或电
9、口)。4.2.2安全高效的TOS操作系统具有完全自主知识产权的TOS (Topsec Operating System) 安全操作系统,采用全模块化设计,使用中间层理念,减少了系统对硬件的依赖性,有效保障了防火墙、SSL VPN、IPSEC VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS良好的扩展性为未来迅速扩展更多特性提供了无限可能。4.2.3集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS基于专有硬件平台的NGFW4000-UF系列专用平台产品采用TOS操作系统,集成了丰富的安全引擎,包括:防火墙引擎,IPSEC VPN引擎,SSL
10、 VPN引擎,防病毒引擎,IPS引擎等。这些引擎的紧密集成使得网络卫士防火墙成为了可以防范多种威胁、功能丰富的防火墙产品。4.2.4完全内容检测CCI技术网络卫士防火墙采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁的实时保护。网络卫士系列防火墙可对还原出来的应用层对象(如文件、网页、邮件等)进行病毒查杀,并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,实现彻底防范。4.3产品特点介绍l 集成多种安全功能NGFW4000-UF系列专用平台产品由于集成了多种安全引擎,使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS等安全功能,成为了国
11、内安全功能最丰富的防火墙产品。l 虚拟防火墙虚拟防火墙,是指在一台物理防火墙上可以存在多套虚拟系统,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙,但使用不同的虚拟系统。对于用户来说,就像是使用独立的防火墙。大大节省了成本。l 强大的应用控制网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用,如MSN,QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用,以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略,如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能
12、,可以对用户所关心的网络应用进行全面控制。l CleanVPN服务企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。l 广泛的网络适应性 支持基于五元组的三级策略路由,支持单臂路由,支持Trunk(802.1Q和ISL),能够
13、在不同的VLAN虚接口间实现路由功能,支持IGMP组播协议和IGMP SNOOPING,支持对非IP协议IPX/NetBEUI的传输与控制。l 先进的设计思想采用面向资源的设计方法。把安全控制所涉及的各种实体抽象为对象,包括区域、地址、地址组、服务、服务组、时间表、服务器、均衡组、关键字、文件、特殊端口等。不同对象的实体组成资源,用于描述各种安全策略,实现全方位的安全控制。极大地提高了网络安全性,并保证了配置的方便性。l 超强的防御功能高级的Intelligent Guard技术提供了强大的入侵防护功能,能抵御常见的各种攻击,包括Syn Flood、Smurf、Targa3、Syn Attac
14、k、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、No flags in TCP、ICMP碎片、大包ICMP攻击、不明协议攻击、IP欺骗、IP security options、IP source route、IP record route 、IP bad options、IP碎片、端口扫描等几十种攻击,网络卫士系列防火墙不但有内置的攻击检测能力,还可以和IDS产品实现联动。这
15、不但提高了安全性,而且保证了高性能。l 强大的应用代理模块具有透明应用代理功能,支持FTP、HTTP、TELNET、PING、SSH、FTPDATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSECISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-(S、M、R)、RADIUS-1645、PPTP、SQLNET1521、SQLNET1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID(TCP、UDP)PCANYWHERE、IGMP、GRE、PPPOE、IPV6等协议,可以实现文件级过滤。l 丰富的AAA功能,支持会话认证网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证,如一次性口令(OTP)、S/KEY、RADIUS 、TACACS、LDAP、securid 、域认
