防火墙安全计划配置方案.doc

防火墙安全计划配置方案篇一：防火墙安全解决方案建议书密 级：文档编号：项目代号：广西XX单位网络安全方案建议书网御神州科技（北京）有限公司目录1 概述. 31.1 引言 . 32 网络现状分析. 42.1 网络现状描述 . 42.2网络安全建设目标 . 43 安全方案设计. 43.1 方案设计原则 . 43.2网络边界防护安全方案 . 53.3 安全产品配置与报价 . 73.4 安全产品推荐 . 74 项目实施与产品服务体系. 124. 1 一年硬件免费保修. 134.2 快速响应服务 . 134.3 免费咨询服务 . 134.4 现场服务 . 134.5 建立档案 . 13网御神州科技（北京）有限公司1 概述1.1 引言随着政府上网、电子商务、网上娱乐、网上证券、网上银行等一系列网络应用的蓬勃发展，Internet正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。一方面，网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，网络应用越来越深地渗透到金融、证券、商务、国防等等关键要害领域。换言之，Internet网的安全，包括其上的信息数据安全和网络设备服务的运行安全，日益成为与国家、政府、企业、个人的利益休戚相关的大事。网御神州科技（北京）有限公司是一家具有国内一流技术水平，拥有多年信息安全从业经验，由信息安全精英技术团队组成的信息安全公司。 公司以开发一流的信息安全产品，提供专业的信息安全服务为主业，秉承“安全创造价值”的业务理念，以追求卓越的专业精神，诚信负责的服务态度以及业界领先的技术和产品，致力于成为“客户最值得信赖的信息安全体系设计师与建设者”，从而打造一流的民族信息安全品牌，为神州大地的信息化建设保驾护航。网御神州有幸能够参与XX单位的信息化的安全规划，并且在前期与信息中心领导进行了交流与研讨，本方案以前期交流的结果为基础，将围绕着目前的网络现状、应用系统等因素，为XX单位提供边界网络防护方案，希望该方案能够为XX单位安全建设项目提供有益的参考。网御神州科技（北京）有限公司2 网络现状分析2.1 网络现状描述目前XX单位已经采用快速以太网技术建成了内部的办公网络，网络分为两部分：内部办公网络、外部办公网络。外部办公网络部分有通向互联网的出口，但没有采用任何边界防护的设备。内部办公网络部分与外部办公网络部分是物理隔离的，因此当内部办公用机需要访问互联网的时候，必须手工切换到外部网络。2.2网络安全建设目标XX单位网络安全的建设目标包含以下内容：1、 保障办公网资源受控合法的使用保证办公网资源可控合法的应用，确保特定的用户拥有特定的权限，合理的使用网络资源，防止伪冒与恶意滥用网络资源。2、 保障办公网用户安全便捷的访问互联网在访问互联网的同时，保证办公网内部用户不受到来自Internet的非法访问或恶意入侵，保证网络的安全性与私密性。3 安全方案设计3.1 方案设计原则网御神州严格按照国家相关规定进行系统方案设计。设计方案中遵守的设计原则为：(1) 统一性系统必须统一规范、统一标准、统一接口，使用国际标准、国家标准，采用统一的系统体系结构，以保持系统的统一性和完整性。网御神州科技（北京）有限公司(2) 实用性系统能最大限度满足XX单位的需求，结合实际情况，在对业务系统进行设计和优化的基础上进行设计。(3) 先进性无论对业务系统的设计还是对信息系统和网络的设计，都要采用成熟先进的技术、手段、方法和设备。(4) 可扩展性系统的设计必须考虑到未来发展的需要，具有良好的可扩展性和良好的可升级性。(5) 安全性必须建立可靠的安全体系，以防止对信息系统的非法侵入和攻击。(6) 保密性信息系统的有关业务信息，资金信息等必须有严格的管理措施和技术手段加以保护，以免因泄密而造成国家、单位和个人的损失。3.2网络边界防护安全方案在网络边界部署硬件防火墙。防火墙主要解决网络边界的安全问题，通过边界保护，可以有效规避大部分网络层安全威胁，并降低系统层安全威胁对XX单位网络平台的影响，防范不同网络区域之间的非法访问和攻击，确保XX单位各个区域的有序访问。XX单位防火墙配置部署的网络示意图如下：网御神州科技（北京）有限公司篇二：防火墙实施方案防火墙实施方案一项目背景随着网络与信息化建设的飞速发展，人们的工作、生活方式发生了巨大变化。网上行政审批、网上报税、网上银行、网上炒股、网上填报志愿、网上购物等等网络应用不仅为使用者带来了便利，而且大大提高了服务提供者的工作效率。但在享受网络带来便利的同时，我们也不得不面对来自网络内外的各种安全问题。不断发现的软件漏洞，以及在各种利益驱动下形成的地下黑色产业链，让网络随时可能遭受到来自外部的各种攻击。而网络内部的P2P下载、流媒体、IM即时消息、网络游戏等互联网应用不仅严重占用网络资源、降低企业工作效率，同时也成为蠕虫病毒、木马、后门传播的主要途径。公司目前信息网络边界防护比较薄弱，只部署了一台硬件防火墙，属于很久前购买，但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足公司网络安全需要，即使部署了防火墙的安全保障体系仍需要进一步完善，需要对网络信息安全进行升级改造。为提公司信息外网安全，充分考虑公司网络安全稳定运行，对公司网络信息安全进行升级改造，更换信息机房网络防火墙，以及附属设备，增加两台防火墙实现双机热备以实现网络信息安全稳定运行。二防火墙选型及价(来自:WwW.hn1C.Com 唯 才 教育 网:防火墙安全计划配置方案)格华为USG2210 价格8998元 配置参数 设备类型： 安全网关 网络端口： 2GE Combo入侵检测： Dos,DDoS管理：支持命令行、WEB方式、SNMP、TR069等配置和管理方式，这些方式提供对设备的本地配置、远程维护、集中管理等多种手段，并提供完备的告警、测试等功能。VPN支持： 支持 安全标准： CE，ROHS，CB，UL，VCCI 控制端口： Console 口 其他性能：UTM三防火墙架构方案1.X86架构最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。但其性能发展却受到体系结构的制约，作为通用的计算平台，x86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接近2Gbps的吞吐量，但是通用CPU的处理能力有限，尽管防火墙软件部分可以尽可能地优化，很难达到千兆速率。同时很多X86架构的防火墙是基于定制的通用操作系统，安全性很大程度上取决于通用操作系统自身的安全性，可能会存在安全漏洞。方案2.ASIC架构相比之下，ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能力。但是，ASIC的缺点也同样明显，它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2年。虽然研发成本较高，灵活性受限制、无法支持太多的功能，但其性能具有先天的优势， 非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。目前，NetScreen在ASIC防火墙领域占有优势地位，而我国的首信也推出了我国基于自主技术的ASIC千兆防火墙产品。方案3.NP架构NP可以说是介于两者之间的技术，NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。它可以构建一种硬件加速的完全可编程的架构，这种架构的软硬件都易于升级，软件可以支持新的标准和协议，硬件设计支持更高网络速度，从而使产品的生命周期更长。由于防火墙处理的就是网络数据包，所以基于NP架构的防火墙与X86架构的防火墙相比，性能得到了很大的提高NP通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期短，成本较低。但是，相比于X86架构，由于应用开发、功能扩展受到NP的配套软件的限制，基于NP技术的防火墙的灵活性要差一些。由于依赖软件环境，所以在性能方面NP不如ASIC。NP开发的难度和灵活性都介于ASIC和x86构架之间，应该说，NP是X86架构和ASIC之间的一个折衷。目前NP的主要提供商是Intel和Motorola，国内基于NP技术开发千兆防火墙的厂商最多，联想、紫光比威等都有相关产品推出。四用户终端pc机安装哪些防火墙现在防火墙的性能不像杀软那样差距很大，如果要装防火墙，加强电脑的安全性，推荐以下几款：1、公司的网络是局域网，需要装一个ARP防火墙，用360卫士或金山卫士都行。然后如果要担心黑客入侵，需要装一个网络防火墙，比如瑞星防火墙、金山的网盾防火墙或国外的OP等。说实话，如果是不连接外网的公司，比起杀软，公司更需要安装防火墙。2、如果你要在公司内部连接外面的网站，比如网易、百度，那么就需要安装杀毒软件了。但是360是不推荐的，因为360的绝大部分用户是家庭用户，而且它辨别病毒采纳了黑白名单制度，如果企业用户电脑里有一些冷门的专业软件或程序，360无法识别黑白，那么就有可能被误报。比较推荐的是诺顿、AVAST等防护好的杀软。实在不行，用金山毒霸也凑合。3、 风云防火墙 用户在网上随便找一个序列号就可以安装使用 ，效果也不错。4、费尔防火墙 免费（费尔好像会跟卡巴发生冲突，有卡巴的话建议不要装）。5、瑞星2008 （瑞星2008可以免费使用半年，各大网站都有，下来安装不用序列号， 直接升级） 。6、卡巴套装，杀软加防火墙。篇三：防火墙实施方案镇北堡西部影城网络防火墙部署规则及参数国内下一代防火墙第一品牌深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。 性能参数功能列表 项目部署方式 具体功能 支持路由，透明，旁路，虚拟网线，混合部署模式；实时提供CPU、内存、磁盘占用率、会话数、在线用户数、网络接口的鞥设备资源信息；提供安全事件信息，包括最近安全事件、服务器安全事件、终端安全事件等，事件信息提供发生事件、源IP、目的IP、攻击类型以及攻击的URL等；提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理；支持ARP代理、静态ARP绑定，配置DNS及DNS代理、支持DHCP中继、DHCP服务器、DHCP实时监控网络适应性 客户端；支持SNMP v1，v2，v3，支持SNMP Trap；支持静态路由、RIP v1/2、OSPF、策略路由；支持链路探测，端口聚合，接口联动；提供静态的包过滤和动态包过滤功能；支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245， RTP/RTCP）、SQLNET、MMS、PPTP等；传输层协议：TCP、UDP；支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能；可配置支持地址转换的有效时间；支持多种NAT ALG，包括DNS、FTP、H.323、SIP等 包过滤与状态检测 NAT地址转换支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYNFlood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查抗攻击特性 询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能；支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法，并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法；支持各种NAT网络环境下的VPN组网；支持第三方标准IPSEC VPN IPSec VPN进行对接；*总部与分支有多条线路，可在线路间一一进行IPSecVPN隧道建立，并设置主隧道及备份隧道，对主隧道可进行带宽叠加、按包或会话进行流量平均分配，主隧道断开备份隧道自动启用，保证IPSecVPN连接不中断；可为每一分支单独设置不同的多线路策略；单臂部署下同样支持多线路策略；支持对1000种以上应用、2500种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应应用访问控制策略 用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议；支持自定义规则; 提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定；内置超过20万的病毒，木马，间谍软件等恶意软件特征库，并且在不断的持续更新特征内容；APT检测IPS入侵防护 支持通过安全云实现虚拟沙盒动态检测技术。可检测未知威胁在沙盒中对注册表、文件系统等的修改，通过云端联动的方式快速更新到各节点设备中，可实现快速统一的防护未知攻击； 微软“MAPP”计划会员，漏洞特征库: 3500+并获得CVE“兼容性认证证书”，能够自动或者手动升级；防护类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等；防护对象分为保护服务器和保护客户端两大类，便于策略部署；漏洞详细信息显示：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容；支持自动拦截、记录日志、上传灰度威胁到“云端”服务器防护 支持web攻击特征数量2500+；支持Web网站隐藏，包括HTTP响应报文头出错页面的过滤，web响应报文头可自定义；支持FTP服务应用信息隐藏包括：服务器信息、软件版本信息等；支持OWASP定义10大web安全威胁，保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解；支持web站点扫描、web站点结构扫描、漏洞扫描等扫描防护；可严格控制上传文件类型，检查文件头的特征码防止有安全隐患的文件上传至服务器，并支持结合病毒防护、插件过滤等功能检查文件安全性；支持指定URL的黑名单、加入排除URL目录，ftp弱口令防护、telnet弱口令防护等功能；敏感信息防泄漏风险评估 内置常见敏感信息的特征，如身份证信息、MD5、手机号码、银行卡号、邮箱等，并可自定义具有特殊特征的敏感信息；支持正常访问http连接中非法敏感信息的外泄防护；支持数据库文件敏感信息检测，防止数据库文件被“拖库”、“暴库”； 支持服务器、客户端的漏洞风险评估功能，支持对目标IP进行端口、服务扫描；支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描；支持SQL注入，SQL盲注，跨站脚本攻击（XSS），跨站请求伪造（CSRF），操作系统命令，本地文件包含，远程文件包含，暴力破解，弱密码登录，XPATH注入，LDAP注入，服务器端包含（SSI）等丰富的Web应用服务漏洞检测；风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动，自动生成策略；实时漏洞分析 支持对经过设备的流量被动进行分析，分析内容包括底层软件漏洞分析，Web应用风险分析，Web不安全配置检测以及服务器弱密码检测，并实时生成分析报告。具备单独的针对服务器安全风险和潜在威胁的特征识别库；业务风险报表 提供基于用户/业务的综合风险报表，统计维度为用户和业务而非IP地址；根据网络风险状况提供优、良、中、差评级；攻击统计提供所有检测攻击数和有效攻击数两个维度；报表内容呈现主动扫描的漏洞分布情况，匹配攻击日志输出已被攻击的漏洞数和发现的所有漏洞数的统计报表；业务安全报表提供攻击分析、漏洞评估、业务系统漏洞详情等信息；用户安全报表提供遭攻击最多的用户详情、异常连接用户详情等信息；安全风险类型汇总基于业务系统遭受攻击类型、业务系统存在最多漏洞类型、用户遭受最多威胁类型进行统计；网页篡改防护 网关型网页防篡改，无需在服务器中安装任何插件；支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式，保证网站安全；全面保护网站的静态网页和动态网页，支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改；支持各级页面模糊框架匹配、精确匹配的方式适用不同的网页类型；支持提供管理员业务操作界面与网管管理界面分离功能，方便业务人员更新网站内容；支持通过替换、重定向等技术手段，防护篡改页面；网站维护管理员必须通过短信认证才可进行网站更新业务操作（选配）；支持短信报警、邮件报警、控制台报警等多种篡改报警方式；病毒防护 支持基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等协议进行查杀；能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒；内置10万条以上的病毒库，并且可以自动或者手动升级；检测到病毒后支持记录日志、阻断连接；Web过滤 对用户web行为进行过滤，保护用户免受攻击；支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为；并进行阻断和记录日志；支持针对上传、下载等操作进行文件过滤；支持自定义文件类型进行过滤；支持基于时间表的策略制定；支持的处理动作包括：阻断和记录日志流量管理用户管理 支持将多条外网线路虚拟映射到设备上，实现对多线路的分别流控；支持基于应用类型、网站类型、文件类型的带宽划分与分配；支持时间和IP的带宽划分与分配； 支持基于用户名/密码、单点登陆以及