防火墙安全解决方案建议书.pdf

资源描述

《防火墙安全解决方案建议书.pdf》由会员分享，可在线阅读，更多相关《防火墙安全解决方案建议书.pdf（16页珍藏版）》请在三一文库上搜索。

1、密密级：文档编号：项目代号：广西 XX单位网络安全方案建议书网御神州科技（北京）有限公司目录 1 概述 5 1.1 引言 5 2 网络现状分析 6 2.1 网络现状描述 6 2.2 网络安全建设目标 6 3 安全方案设计 6 3.1 方案设计原则 6 3.2 网络边界防护安全方案 7 3.3 安全产品配置与报价 9 3.4 安全产品推荐 9 4 项目实施与产品服务体系 14 4. 1 一年硬件免费保修 14 4.2 快速响应服务. 14 4.3 免费咨询服务. 15 4.4 现场服务 . 15 4.5 建立档案 . 15 1 概述 1.1 引言随着政府上网、电子商务、网上娱乐、

2、网上证券、网上银行等一系列网络应用的蓬勃发展， Internet 正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。一方面，网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，网络应用越来越深地渗透到金融、证券、商务、国防等等关键要害领域。换言之，Internet 网的安全，包括其上的信息数据安全和网络设备服务的运行安全，日益成为与国家、政府、企业、个人的利益休戚相关的大事。网御神州科技（北京）有限公司是一家具有国内一流技术水平，拥有多年信息安全从业经验，由信息安全精英技术团队组成的信息安全公司。公司以开发一流的信息安全产品，提供专业的

3、信息安全服务为主业，秉承“安全创造价值” 的业务理念，以追求卓越的专业精神，诚信负责的服务态度以及业界领先的技术和产品，致力于成为“客户最值得信赖的信息安全体系设计师与建设者”，从而打造一流的民族信息安全品牌，为神州大地的信息化建设保驾护航。网御神州有幸能够参与XX单位的信息化的安全规划，并且在前期与信息中心领导进行了交流与研讨，本方案以前期交流的结果为基础，将围绕着目前的网络现状、应用系统等因素，为XX单位提供边界网络防护方案，希望该方案能够为 XX单位安全建设项目提供有益的参考。 2 网络现状分析 2.1 网络现状描述目前 XX单位已经采用快速以太网技术建成了内部的办公

4、网络，网络分为两部分：内部办公网络、外部办公网络。外部办公网络部分有通向互联网的出口，但没有采用任何边界防护的设备。内部办公网络部分与外部办公网络部分是物理隔离的，因此当内部办公用机需要访问互联网的时候，必须手工切换到外部网络。 2.2 网络安全建设目标 XX单位网络安全的建设目标包含以下内容： 1、保障办公网资源受控合法的使用保证办公网资源可控合法的应用，确保特定的用户拥有特定的权限，合理的使用网络资源，防止伪冒与恶意滥用网络资源。 2、保障办公网用户安全便捷的访问互联网在访问互联网的同时，保证办公网内部用户不受到来自Internet的非法访问或恶意入侵，保证网络的安全

5、性与私密性。 3 安全方案设计 3.1 方案设计原则网御神州严格按照国家相关规定进行系统方案设计。设计方案中遵守的设计原则为： (1) 统一性系统必须统一规范、统一标准、统一接口，使用国际标准、国家标准，采用统一的系统体系结构，以保持系统的统一性和完整性。 (2) 实用性系统能最大限度满足XX单位的需求，结合实际情况，在对业务系统进行设计和优化的基础上进行设计。 (3) 先进性无论对业务系统的设计还是对信息系统和网络的设计，都要采用成熟先进的技术、手段、方法和设备。 (4) 可扩展性系统的设计必须考虑到未来发展的需要，具有良好的可扩展性和良好的可升级性。 (5) 安全性必

6、须建立可靠的安全体系，以防止对信息系统的非法侵入和攻击。 (6) 保密性信息系统的有关业务信息，资金信息等必须有严格的管理措施和技术手段加以保护，以免因泄密而造成国家、单位和个人的损失。 3.2 网络边界防护安全方案在网络边界部署硬件防火墙。防火墙主要解决网络边界的安全问题，通过边界保护，可以有效规避大部分网络层安全威胁，并降低系统层安全威胁对XX单位网络平台的影响，防范不同网络区域之间的非法访问和攻击，确保XX单位各个区域的有序访问。 XX单位防火墙配置部署的网络示意图如下： INTERNET WEB 服务器病毒服务器文件服务器网御神州防火墙 Secgate3600-F3

7、路由器交换机应用终端应用终端广西 XX 单位网络安全拓扑图根据用户的需求，可在防火墙上设置如下安全策略： 1.利用网御神州防火墙的智能过滤技术，实现基于协议、源/目的地址、端口、时间、访问控制。例如：可以对办公网内的用户设定具体的访问时间段：上班时间允许互联网，下班时间禁止；也可以限定用户访问互联网的资源：允许正常访问网页，但不允许使用聊天与网络游戏。 2.利用网御神州防火墙的IP+MAC 地址绑定的功能，避免内部用户通过盗用 IP 地址获得其他高级用户的权限，一旦出现用户私自改动IP 地址，将断掉该用户与互联网的连接。并且网御神州防火墙支持MAC 地址自学习的功能，非常

8、方便地设置本项安全策略； 3.结合 IP+MAC 地址绑定的功能，针对每个用户的 IP+MAC 地址分配一定的带宽，利用网御神州防火墙高精度的QOS 功能实现网络流量的控制，确保每个用户无法占用超出标准的带宽资源； 4.利用网御神州防火墙防火墙的日志功能记录完整日志和统计报表等资料，便于网络管理人员针对办公网的活动情况进行监控和审计，有效发现办公网中存在的问题； 5.利用灵活多样的告警手段（告警，日志，SNMP 陷阱等）实现对违规行为的告警； 3.3 安全产品配置与报价配置方案一（推荐方案）产品型号产品描述部署地点数量产品单价（人民币）备注说明网御神州 SecGate

9、3600-F3 企业级百兆防火墙，1U机箱，处理能力 400M ，标配 4 个 10/100M 自适应RJ45 接口 XX单位信息中心 1 68，000 配置方案二（经济型方案）产品型号产品描述部署地点数量产品单价（人民币）备注说明网御神州 SecGate 3600-F2 小型企业百兆防火墙， 1U 机箱，处理能力 150M ，标配 7 个 10/100M 自适应 RJ45接口（4 个交换口） XX 单位信息中心 1 38，000 3.4 安全产品推荐根据 XX单位网络现状以及对安全产品的安全需求，本方案推荐在使用网御神州的 SecGate 3600-F系

10、列百兆级防火墙，该防火墙是基于状态检测包过滤和应用级代理的复合型硬件防火墙，是专门面向大中型企业、政府、军队、高校等用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、网络访问权限控制、网络流量监控和带宽管理、网页内容过滤、邮件内容过滤等功能，能够有效地保证网络的安全；产品提供灵活的网络路由/桥接能力，支持策略路由，多出口链路聚合；提供多种智能分析和管理手段，支持邮件告警，支持日志审计，提供全面的网络管理监控，协助网络管理员完成网络的安全管理。 SecGate3600-F 防火墙六大特色 1、独立的 SecOS 安全协议栈完全自主知识产权的SecOS 实现防火墙的控制层

11、和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的更换带来的重复开发问题。由于采用先进的设计理念，使该 SecOS具有更高的安全性、开放性、扩展性和可移植性。图 3.1 SecGate 3600-F 防火墙体系架构图 2、独创的智能高效搜索算法采用独创的分段直接寻址搜索算法MSDAL （Multi-Stage Direct Addressing Lookup Algorithm ），解决了传统防火墙随着安全策略数的增加其性能逐渐下降的问题，确保您在大量安全策略数

12、目情况下仍能获取最高的网络性能！ 3、深度的网络行为关联分析采用数据包内容的深度网络行为关联分析技术，让您不再为各种专有动态协议如 H.323、FTP 、SQL.Net 等的控制“愁眉不展”！并且增强了您的网络对于各种 DDoS 攻击的防范能力！ 4、全面的连接状态监控和实时阻断全面的连接状态监控，让您及时掌握网络运行状态，配合丰富的连接限制，方便您对 BT/电驴等 P2P应用的控制，以及对感染网络蠕虫病毒的主机进行快速硬件抽象层 SecOS安全协议栈控制接口配置管理应用软件定位和实时阻断！ 5、强大的网络拓扑自适应性适应于各种复杂网络拓扑，包括透明桥接、路由以及桥和路由

13、完全自适应识别模式。支持 VLAN和 VLAN TRUNK 处理；支持多网络出口的链路聚合和策略路由；支持生成树和每VLAN 生成树协议（ STP/PVST+ ）和虚拟路由冗余协议（VRRP ），提供全面可靠的二层链路备份和三层路由备份。 6、智能便捷的配置向导和管理方式为安全管理员提供智能便捷的配置向导，让您轻松完成复杂的安全配置！并提供丰富的管理方式，包括本地Console，拨号 PPP接入，基于 Web （HTTPS ）浏览器，远程 SSH 登录，以及强大的SecFox集中安全管理方式。主要功能列表：功能分类功能概要状态检测针对 TCP/IP 协议的TCP/UDP/I

14、CMP数据包，实现完整的状态包过滤，完全达到 GB/T-18019 包过滤防火墙技术要求的要求。智能过滤针对动态协议（包括但不限于H.323、FTP、 TFTP 、Oracle TNS 、SIP 等通信协议），提供基于协议分析的智能化动态包过滤功能，实时开闭应用程序动态协商的TCP/UDP 端口，最大程度地提升防火墙的安全性。地址转换支持动态地址转换，包括多对一的地址转换，多对多的地址转换。支持静态地址转换，包括对内部服务器提供一对一的地址转换。支持双向地址转换，满足对等网络间双方隐藏内部IP 地址的要求。支持基于下一跳路由的地址转换，满足多出口网络地址转换负载均衡的要求

15、。端口映射支持将内部提供不同服务的多个服务器地址映射成外部相同地址下的不同端口，在端口映射状态下，可同时提供多种安全的网络服务。支持对内部镜像服务器访问的负载均衡应用代理提供基于TCP 的 HTTP 代理、SMTP 代理、FTP 代理、TELNET 代理、POP3 代理以及基于策略的通用代理。支持在透明代理下基于HTTP、 FTP、SMTP、POP3 协议的内容过滤。内容过滤针对 HTTP，对网页中java、javascrip、activeX 进行过滤。针对 SMTP、POP3，基于发信人地址、收信人地址、收信人数、文件大小、邮件主题、正文内容、发件人姓名、收件人姓名、附

16、件文件名、附件内容等进行关键字匹配过滤。功能分类功能概要在状态包过滤方式下，支持 URL 过滤和特殊代码剥离，并支持黑 /白名单过滤策略。连接管理提供保护主机、保护服务、限制主机、限制服务。保护服务器或服务器上提供的某项服务，限制对服务器过于频繁的访问。在规定的时间内，如果某台主机访问服务器超过了所限制的次数，则会对该主机实行阻断，在阻断时间段内，拒绝其对服务器的所有访问。也可以应用此功能对使用BT/ 电驴等连接数目过大严重影响网络流量的用户加以限制。用户认证支持网络协议层用户认证，可以为包过滤、双向NAT 、代理等访问控制提供用户认证功能。提供基于电子钥匙的用户身份

17、认证。支持用户和组管理，支持用户策略控制（源 IP 绑定、可访问目的IP 和服务），支持对用户帐号的流量控制和时间控制。提供与标准radius 服务器 (PAP)联动的用户认证。提供本地认证库实现基于角色的用户策略，并与安全规则策略配合完成强访问控制。支持 PAP 和 S/Key 认证协议。提供在线用户监控功能。时间控制支持安全规则时间调度。支持用户策略时间调度。支持一次性与周期性时间调度规则。带宽管理支持基于IP 地址、应用协议的带宽管理。支持基于用户的带宽管理（通过身份认证的用户，可以指定带宽）。支持最小保证带宽和最大限制带宽设置。支持带宽优先级的设定。

18、地址绑定提供 IP/MAC 地址绑定检查功能，可有效解决网络管理中IP 地址盗用问题。可以设置绑定的默认策略，提供IP/MAC 对的唯一性检查。提供地址对与网口的绑定功能，可以及时定位盗用合法IP/MAC地址对的非法用户。提供 IP/MAC 自动探测功能。抗 DoS 攻击支持对拒绝服务攻击的防范，可以防范syn_flood 、 ping flood 、 udp flood 、 teardrop 、 sweep、 land、 ping of death、 smurf、碎片攻击、 WINNUKE 、圣诞树攻击等。配合防火墙上的IDS 功能，可以抵抗更多种类的攻击。功能分类功能

19、概要入侵联动支持与网御神州、启明星晨、中科网威、北方计算中心等主流入侵检测系统的联动。策略路由提供目的路由和源地址路由功能以及目的路由负载均衡。安全管理提供远程安全管理和本地管理功能。配置备份提供全中文web 界面和专业化的命令行界面管理方式。提供专用带外管理口。通过管理员身份认证（电子钥匙认证或证书认证）、管理员级授权（包括超级管理员、配置管理员、策略管理员、审计管理员）、管理主机限制、防火墙管理IP 限制、防火墙管理方式定义（web 管理 /命令行管理 /SSH 方式/PPP+SSH 连接）、配置信息加密（支持SSL 协议和 SSH 协议），提供方便且安全的配置管

20、理。支持配置的本地下载和上载。模块升级提供恢复防火墙出厂配置功能。提供灵活的软件升级方式，适应安全需求的快速响应。日志审计提供当前CPU 和内存利用率监控。提供 HA 高可用状态监控。提供用户在线状况监控，显示用户名、登录IP、登录时间、在线时间、流入流量和流出流量，可根据安全策略实时中断某用户的连接。提供连接数量和流量监控。在防火墙本地能够灵活地设置监测的时间间隔和显示方式。日志审计功能提供对防火墙系统事件和网络事件的统计、查询、分析。网络适应性通过 SecGateManager 安全管理系统能够对防火墙状态信息进行实时监控与统计分析。具有多个自适应网络接口，

21、网口数目可扩展，在保证网络高度安全和数据完整的前提下，同时具有线速或接近线速的网络处理性能。 VLAN 支持支持每个网络接口设定多个IP 地址，支持网络接口模式的设定。支持 ADSL 拨号连接，自动以ADSL 获得的地址为公网地址，用此地址对内部 IP 做地址转换。适应多种网络拓扑结构和VLAN环境（支持802.1q 协议、 Trunk 协议和 VLAN 间访问控制等）。支持多种工作模式（包括透明模式、纯路由模式、混合模式）。满足复杂网络环境的要求（防火墙冗余、防火墙旁路、防火墙跨接）。功能分类功能概要支持 IEEE 802.1Q 协议。多协议支持支持 vlan trun

22、k 协议，并可以对trunk 口中的 VLANID进行过滤。支持 VTP 链路聚合协议。支持 STP 协议和 BPDU 协议。在路由模式和桥模块下均支持VLAN间路由。管理口和HA 口不支持VLAN 协议。对 TCP/UDP/ICMP协议的数据帧，根据安全规则建立状态检测，完成动态包过滤。对非 IP 协议的数据帧，根据非 IP 协议过滤策略（允许或禁止，在网口时配置指定）进行处理。只能做透传处理的非IP 协议包括： DHCP 、 ADSL 、 IPX、 RIP、 ISL 、 DECnet、 NETBEUI 、IPSEC、PPTP、AppleTalk 、BOOTP、VOD

23、、RIP、OSPF、BGP4、 IPX 等。 4 项目实施与产品服务体系 XX单位安全项目建设建设后，提供产品的安全继承商必须有能力提供后续优质的产品服务，网御神州针对用户特有的服务需求，制定了更加完善、更加贴近用户的服务保障制度，以期更好的满足用户在服务方面的要求。为此，网御神州针对本项目，特制定以下服务承诺： 4. 1 一年硬件免费保修网御神州信息安全产品在工程实施完毕试用期后，享受一年的免费保修服务。 4.2 快速响应服务保修期内当客户系统发生故障后，网御神州保证在2 小时内做出响应，并承诺在 24小时内（当天）排除故障，恢复系统正常。 4.3 免费咨询服务 XX单位的计算机管理人员可以随时拨打热线400-610-8220 ，每天 24 小时免费技术咨询，包括硬件使用和维护方法、软件使用方法和解决用户使用中发生的各种疑难问题。 4.4 现场服务网御神州的专业服务队伍，保证了XX单位可以就近获得及时快捷的服务，在系统设备试运行期间和保修期间最大限度的满足客户的技术需求并且根据需要派资深专家现场维护。 4.5 建立档案在网御神州建立针对XX单位的服务支持档案。包括用户对服务支持的要求、产品类别型号、使用情况、每次服务支持解决问题的情况等信息，都将保存在档案中，以便网御神州更有针对性地提供咨询、技术支持等服务和监督自身服务状况。

展开阅读全文