网络安全整体解决方案.doc

中英文日报 珠海市网佳科技有限公司网 络 安 全 整 体 解 决 方 案目录第 1 章总体分析及需求3第 2 章总体设计4第 3 章防火墙方案53.1 本方案的网络拓扑结构63.2 本方案的优势：63.3本方案的产品特色7第 4 章内网行为管理方案94.1 内网安全管理系统介绍94.2内网管理系统主要功能10第 5 章报价单14第 1 章 总体分析及需求珠海市网佳科技有限公司新办公大楼由五层办公区域组成，公司规模较大、部门较多，总PC数量估计在200左右，其中公司财务部门需要相对的独立，以保证财务的绝对安全；对于普通员工，如何防止其利用公司网络处理私人事务，如何防止因个人误操作而引起整个公司网络的瘫痪，这些都是现在企业网络急待解决的问题。随着公司规模的不断壮大，逐渐形成了企业总部各地分支机构移动办公人员的新型互动运营模式，怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。同时，如何防止骇客攻击、病毒传播、蠕虫攻击、敏感信息泄露等都是需要考虑的问题，如：第一、随着电脑数量的增加，如果网络不划分VLAN，所有的PC都在一个广播域内，万一网内有一台PC中了ARP，那么将影响到整个网络的稳定；第二、各类服务器是企业重要数据所在，而服务器如果不采取一定的保护机制，则会经常遭受来自内外网病毒及其它黑客的攻击，导致服务器不能正常工作及信息泄露，经企业带来不可估量的损失；第三、网络没有网管型的设备，无法对网络进行有效的控制，使网络管理员心有余力而力不从心，往往是事倍功半，如无法控制P2P软件下载而占用网络带宽；无法限制QQ、MSN、SKYPE等即时聊天软件；网管员无法对网络内的流量进行控制，造成网络资源的使用浪费；第四、企业有分支机构、移动办公人员，无法与总部互动、访问总部K3、ERP等重要数据资源，从而不能及时获取办公所需数据。综上分析，珠海市网佳科技有限公司按照企业目前网络情况，有针对性地实施网络安全方面的措施，为网络的正常运行及服务器数据的安全性做好前期工作。第 2 章 总体设计根据珠海市网佳科技有限公司的实际网络情况，结合目前的具体需求，从以下几个层面来为珠海市网佳科技有限公司设计一个以硬件防火墙为主体的网络安全解决方案，保障珠海市网佳科技有限公司网络的正常运行及服务器的安全。公司网络的大致结构是:光纤-路由器-交换机-PC,公司大概有200多台电脑,根据公司目前的网络规模及上面的分析，现提出以下整体解决方案。1. 在网络出口处架构一台硬件防火墙,以防止非法攻击 2. 在每台PC上安装内网行为管理软件，对每台PC实施应用程序管理、屏幕监控、上网策略管理等第 3 章 防火墙方案本方案建议采用国康防火墙. 根据公司的网络结构,适合的型号是FX-500。通过前面的分析与需求，国康防火墙可以达到贵公司现在所需解决的问题，具体表现如下：l 下载安装游戏软件；用QQ与MSN聊天造成工作效率低下；主动或被动的浏览色情网站；BT疯狂下载电影、在线听歌、QQ直播，造成网络带宽堵塞；同时网络管理员需要只允许访问固定网站或屏蔽某些网站。 l 员工上网管理：自定义时间开放网上聊天、游戏、查询股票项目。l 有效保护对外发布的WEB、FTP、邮件服务器。防止黑客入侵篡改网站信息，发布反动黄色内容帖子。对从内到外及从外到内的网络访问做好有效的日志记录，以备网监处查询。l 对网络整体进行流量限制l 防止ARP欺骗现象的发生，当发生欺骗现象时，可以通过防火墙日志端快速的查找到ARP欺骗源头所在，保障网络正常运行。l 可以实现移动办公，通过防火墙内置的各种VPN（PPTP 、L2TP VPN、IPSec VPN、SSL VPN）功能，即使出差在外，也可方便地访问公司内部ERP服务器资源。l IP/MAC地址绑定，防止员工随意更改IP地址，造成网络内地址冲突现象而发生网络中断，使网管员方便管理规划网内IP地址资源。3.1 本方案的网络拓扑结构建议的网络拓扑结构3.2 本方案的优势：1、 珠海市网佳科技有限公司整体处于安全区域内,对公司内部发布的服务器起到保护,有效防护外部攻击。2、 可对网络限制整体流量.3、 可以随意封堵QQ.MSN,YAHOO通等即时聊天软件. 4、 可以整体控制BT、电驴、迅雷等下载软件占据大量带宽。5、 可以对公司的数据进行安全过滤。6、 防火墙的设置简单化，特别是没有专职网管的公司,为管理者带来极大的方便。7、 增加了SSL VPN功能，极其简化的设置方式，只需要用户名、密码、服务器IP三个参数即能轻松完成配置。为远程拨入的移动客户端，提供了方便。8、 强大的日志审计，完成了对实时流量监控，对ARP、蠕虫病毒的监控，对客户端上网记录的监控等。3.3本方案的产品特色防火墙特色功能l 灵活的管理界面，面象对象的管理l 多WAN口链路负载均衡-网通电信线路智能判断l PPPOE拨号功能，彻底解决ARP病毒l 实名上网功能，无需安装插件l 多动态域名互为备份l 应用路由功能，可设置某种协议流量走特定的外网口l 可屏蔽内网客户端发贴IPSEC/SSLVPN功能:l 可基于路由、透明、单臂模式部署，不改变客户网络结构；l 支持以口令或口令加证书USBKey的方式进行身份验证;内置CA中心l VPN帐号可以和特定的机器特征自动绑定；l 灵活的应用发布机制和权限分布机制；支持B/S、C/S和T/S应用程序；l 灵活的安全策略，方便用户远程访问；l 完善的日志和报表；l 解决多种宽带网络间互访“南北不通”问题；l 支持低宽带条件下的数据实时压缩，最高可提高50%的数据传输速率；l TCP/IP协议优化,集成了数据压缩技术l 穿透性好，支持移动、电信3G网络终端管理功能:l USB存储设备认证与加密l 外联监控l 外设控制l 共享目录监控l 硬件变更监控、软件监控l 进程监控l 离线策略l 资产管理l 软件分发l 网络访问控制l 远程桌面管理、定时截屏功能流量控制功能l 客户端连接数控制l 针对IP/地址段设置带宽l 识别控制P2P软件和加密P2P数据l 当有多余带宽，允许突破限制，充分利用带宽l 实时显示各客户端连接数、收发包量、速率、累计流量l 流控对应到人l 强大的流量分析日志及图形报表行为管理功能:l 网站分类封堵，支持自定义组、通配符定义域名l QQ号管理、只有指定的QQ号才能登陆l 封堵MSN、YahooMessage、AIM、IRCl 与终端管理结合，可监控聊天记录l 讯雷、BT、电驴等P2P软件按协议封堵l 游戏、远程控制软件、VOIP等非法软件封堵l 禁止从内到外或从外到内POST提交发贴、上下传文件l 禁止通过SOCKS、HttpConnect代理方法访问外面数据第 4 章 内网行为管理方案4.1 宝内网安全管理系统介绍完整的国康防水墙由三部分组成，服务器模块、监控端模块和客户端模块。客户端模块安装在每一台需要被监视的计算机上。服务器模块用来存储和管理所有安装有客户端模块的计算机，用于管理监视所产生的资料，一般安装在一台具有高性能CPU和大容量内存的用作服务器的计算机上。监控端模块主要用于监视每台安装有客户端模块的计算机及查看历史记录，一般安装在公司的管理人员的计算机上，也可以和服务器模块安装在同一台计算机上。系统的基本框架如下图所示：4.2内网管理系统主要功能1、内网管理系统安全、卓越的系统性能： 控制台与服务器端及客户端代理之间的控制信息都通过加密通信 服务器端与客户端代理之间进行认证，防止未获授权使用 对非法接入的主机可切断其与内部安装过客户端代理主机之间的联系 本地用户不能自行卸载、关闭客户端代理程序 管理权限分级，利于分级控制 登录应用了严格的身份认证，保障系统的管理安全 客户端、服务器及控制台间的数据传输全部采用加密传输方式，防止传输的数据被窃听 在终端PC上运行的客户端软件采用了透明模式 客户端软件采集数据信息不影响终端PC的使用性能 传输中的数据经过特殊压缩，对网络带宽的占用非常少 备份和恢复服务器数据库中的信息，保证历史记录的方便查阅2、内网管理系统对企业的帮助：l 保护机密商业资料 详细记录文件操作（访问、修改、删除等） 记录文件操作时的屏幕 对移动存储设备的灵活管理 对设备端口的管理l 规范员工的上班行为限制与工作无关应用程序的使用禁止浏览工作无关网站对违规行为的报警l 客观评估员工工作状态详细记录员工使用的应用程序详细记录员工浏览的网页员工使用电脑情况图表分析l 方便的电脑资产管理自动获取电脑硬件设备清单自动获取电脑安装的应用程序协助企业管理者的工作l 灵活完善的规则设定完善丰富的报表功能 严格的权限管理 追踪重要事件 记录电脑屏幕，直观察看员工的电脑操作记录 设置报警，查询员工的违规行为3、内网管理系统的主要功能：内网管理系统包括了下列的六大功能模块：网络监视模块、网络管理模块、网络报警模块、软硬件资产管理模块、补丁管理和软件分发、远程桌面管理。1、网络监视模块： 根据设定的安全控制策略，对受控对象的活动进行全面的审计，为事后了解和判断网络安全事故提供了宝贵的资料，具体功能如下：文件操作的审计； 屏幕记录； 应用程序的审计；Internet访问的审计； 网络通讯协议；报警信息的审计；打印机使用的审计；网络文件访问的审计；硬件变动的审计；软件变动的审计；IP/Mac地址的变动审计；用户的变动审计；非法笔记本电脑接入的审计；非法拨号的设计；客户端超时不连接的审计；2、网络管理模块： 网络管理模块通过具有针对性的监控规则的设置，自动阻止非法操作和实现应用统计，具体功能如下：禁止或只允许浏览的指定网站；禁止使用指定的应用程序；禁止使用外设如（USB存储设备、USB端口、软驱、刻录机、磁带驱动器、串口、并口、调制解调器、SCSI、1394总线、红外通讯设备，以及笔记本电脑使用的PCMCIA卡接口）； 内网管理模块对电脑的使用进行具体统计，提高工作效率。浏览网站状况统计（列表、柱状图、饼状图）；应用软件使用统计（列表、柱状图、饼状图）；3、网络报警模块： 网络监控模块通过具有针对性的监控规则的设置，并且可以向控制台发出报警信息，报警内容有：非法对指定文件/文件夹操作报警；非法使用指定的应用程序报警；硬件变动的报警；软件变动的报警；IP/Mac地址的变动报警；用户的变动报警；非法计算机接入的报警；非法拨号的报警；客户端超时不连接的报警。4、软硬件资产管理模块：软硬件管理模块可以对整个局域网内的电脑的软硬件资产进行统计。5、补丁管理和软件分发：可以随时统计出操作系统补丁的安装情况，并对未安装重要补丁程序的计算机统一批量安装；提供统一的应用软件派发功能，使得批量软件安装这一费时费力的工作，由软件自动完成；6、远程桌面管理： 远程桌面模块通过具有针对性的客户端进行控制，提高网管人员工作效率，具体包括对客户机进行如下操作：远程接管客户端（对客户端的发生的问题可以实时解决）；发送通知；锁定/解锁工作站；注销、重起、关闭工作站；典型客户政府电信行业江苏电信无锡分公司、大唐电信、江苏南京市房产局、南京市房地产市场管理处、无锡市新区管委会、无锡经贸委、无锡市惠山区人民政府、无锡市锡山区公安局、福建省厦门市政府、福建省教育厅、中国联通南京分公司、福建省龙岩市政府、河北交通厅项目办、河北省交通厅国融中心福建省漳州市政府、江苏省文化厅、江苏准安市政府、无锡市锡山区人民政府、山东平邑政府、江苏南京市房产局、成都市互联网宣传办公室、西藏自治区党委组织部、河北医科大学第四医院教育行业无锡市教育局下属120个中小学、江苏金坛市下属60个中小学、江苏常熟地区20个中小学、宜市兴工艺学院、无锡职业技术学院、无锡技师学院福州十一中学、无锡江南大学、南京海事学院企业福州市东南快报、南京音飞储存设备工程有限公司、河北正元集团、河北空调公司、无锡市能源集团、无锡华夏计算机有限公司、无锡市星亿涂装环保设备有限公司、伊雷克电器（宁波）有限公司、浙江振涯集团、浙江三江国际贸易有限公司、浙江宁波菲力克斯贸易有限公司、浙江汇鑫钢铁、浙江金华汇隆电子有限公司、浙江杭州路神汽车零部件有限公司、南京迈康网络技术有限公司、欧特斯奥威户外休闲运动用品有限公司、苏州市三生电子有限公司、常熟耐特精密工具有限公司、昆山腾飞内衣有限公司、江阴全顺汽车有限公司、靖江星火微机应用研究所、苏州德天信息技术有限公司第 5 章 报价单甲方：珠海市网佳科技有限公司乙方：南京智码科技有限公司一、 产品名称、规格、单位、数量、单价、总金额和备注：产品名称规格单位数量单价总金额备注行