中小企业网络安全解决方案

1、瑞华中小企业网络安全解决方案2009-10-26e 路有我 网络更安全网络现状分析伴随网络的普及，安全日益成为影响网络效能的重要问题，而 Internet 所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受病毒和黑客的入侵，已成为所有用户信息化健康发展所要考虑的重要事情之一。尤其是证券行业、企业单位所涉及的信息可以说都带有机密性，所以，其信息安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等，都将对用户机构信息安全构成威胁。为保证网络系统的安全，有必要对其网络进行专门安全防护设计。网络的发展加剧了病毒的快速传播企业网络分

2、析?企业网络面临的安全问题? 系统漏洞、安全隐患多? 可利用资源丰富? 病毒扩散速度快? 企业用户对网络依赖性强? 网络使用人员安全意识薄弱16? 网络管理漏洞较多? 内部网络无法管控? 信息保密性难以保证? 基础网络应用成为黑客和病毒制造者的攻击目标? 黑客和病毒制造者将攻击重点由以前的广域网转移到企业内网?可能带来的损失? 网络安全/病毒事故导致信息外泄和数据破坏，导致巨大财产损失? 网络安全/病毒事故导致内部网络瘫痪，无法正常工作? 网络带宽的不断加大，员工的行为无法约束，使工作效率大大下降。? 系统漏洞的不断增加，攻击方式多样化发展，通过漏洞辐射全网快速传播，导致网 络堵塞，业务无法正

3、常运行。? 病毒侵入导致黑客攻击使用户业务系统计算机受远程控制并实现自动与境外服务器 连接，将会使用户信息网面临失、窃密和遭受境外敌对势力黑客破坏的严重威胁。? 网络行为无法进行严格规划和审计，致使网络安全处于不可预知和控制的状态。瑞华中小网络安全解决方案华中小网络安全解决方案面对以上的问题，瑞华公司根据对典型中小网络的分析，制定整体的网络安全防护体系，对网络边界和网络内部进行了合理化的方案制定，做到最大限度的保障用户网络安全和内部业务的正常运行。对所有通过的数据进行检测，包括 HTTP、FTP、SMTP、POP3 等协议传输的数据，内部网络的规范应用进行管控，而且还提供了对外服务器的保护、防

4、止黑客对这些网络的攻击等等。下面是部署典型中小网络结构拓扑图：方案设计思路?划分安全域控制网络的安全的一种方法就是把网络化分成单独的逻辑网络域，如组织内部的网络 域，和外部网络域，每一个网络域由所定义的安全边界来保护。这种边界的实施可通过在相 连的两个网络或多个网络之间安全网关来控制其间访问和信息流。网关要经过配置，以过滤 两个区域或多个网络之间的通信量和根据组织的访问控制方针来堵塞未授权访问。?边界防护的技术对策u从外部传入计算机病毒、蠕虫和特洛伊木马等重大威胁 使用防毒墙中的防病毒模块进行病毒、木马的分析和查杀。u修改传输中的数据 使用防火墙的状态检测来完成发现对传输中数据的非授权访问，另

5、外也将阻止未授权用户在一个远程会话过程中的插入。u从外部攻击 web 服务器、导致内部服务器瘫痪，业务终止。 网络中应用的服务器，信息量大、处理能力强，往往是攻击的主要对象。另外，服务器提供的各种服务本身有可能成为黑客攻击的突破口，因此，在实施方案时要对服务器的安全进行一系列安全保护。如果服务器没有加任何安全防护措施而直接放在公网上提供对外服 务，就会面临着黑客各种方式的攻击，安全级别很低。因此当安装防火墙后，所有访问服 务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规 则后，才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击，外界 只能接触到

6、防火墙上的特定服务，从而防止了绝大部分外界攻击。u非法用户侵入网络和 ARP 攻击等重大威胁使用防火墙的 IP 和 MAC 地址绑定可以有效的避免 arp 攻击导致网络瘫痪的发生。从而 避免了外部用户非法接入现象的发生。?局域网病毒防护u单一的防毒策略，导致局域网病毒无限制蔓延 使用瑞星网络级防病毒体系可以部署多层次病毒防线，截断病毒可能传播的各种渠道，如服务器、客户端等，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面防范u局域网用户无法在线升级，无法统一管理，导致整个网路没有规范性。 没有集中管理的防病毒系统是不完整的防毒系统。只有构建了统一的防病毒集中管理系统，才能保证了整个防毒产

7、品可以从病毒监控管理中心及时得到更新，同时又使系统管理人 员可以在任何时间通过管理控制台对整个防毒系统进行集中管理，使整个系统中任何一个节 点都可以被管理人员随时管理，保证整个防毒系统有效、及时地拦截病毒。u局域网用户系统漏洞日益增加，蠕虫病毒的不断泛滥等重大威胁 使用瑞星网络版杀毒软件可以统一修复局域网用户的系统漏洞及其不安全设置。u无法确定内部机器中毒范围，定义机器进行处理 通过管理控制台全面直观地展现整个网络中的安全情况：网络内存在哪些病毒，哪些客户端存在病毒，客户端的升级情况和比例，防病毒系统系统的运行情况（系统中心升级情况， 日志记录是否超大，授权数是否超出）。并针对这些分析给出指导

8、性的操作建议。让网络管 理员能够轻松地掌握网络中的总体安全情况并及时调整防毒策略。?内部网络管理互联网控制网关是面向企业用户的软硬件一体化的控制管理网关，它提供强大的网页过 滤功能，屏蔽员工对非法网站的访问；提供了基于时间、用户、应用的精细管理控制策略， 控制员工在上班时间干与工作无关的事情。如：网络游戏、炒股、观看在线视频，以及无节 制的网络聊天等等，从而保障工作效率；提供了对通过电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计，避免了企业机密信息泄露；此外网康 ICG 还提供应用层的带宽 管理，有效阻止、限制 P2P 等严重消耗带宽的应用，确保企业的核心业务带宽得以保障。企业管理最

9、头疼的事推荐产品防火墙：联想网御防火墙拥有创新的 VSP、USE、MRP 等安全关键技术，采用了独创的较为先进技术- 深度核过滤技术，即基于 OS 内核的深度内容过滤技术。其产品在众多领域已经部署了 4 万台以上，市场 占有率名列前茅。今年 6 月，联想网御发布了万兆级安全网关产品金刚安全网关 KingGuard。该款产 品成为迄今为止业界处理性能最高的万兆安全网关产品，它首创在信息安全产品中应用矩阵式并行计算系统Windrunner。网络防病毒软件：瑞星中小企业版杀毒软件具备优秀的病毒查杀引擎，实现全方位、多 层防护，针对服务器、工作站等部署病毒防护系统，保证斩断病毒可以传播、寄生的每一个

10、节点，实现病毒的全面防范。上网行为管理系统：网康 ICG 集上网行为管理和网络安全防御于一体，全面解决中小企 业在网页过滤。内容审计。应用管理、流量控制、用户管理和安全防御等多方面的网络管理 问题。产品具有部署方便、灵活，易于操作等特点。方案实施后达到的效果? 瑞星网络版防病毒实施后达到的效果通过对网络建立统一的整体网络病毒防范体系，在网络内部建立统一的病毒防范策略， 从而达到对整个网络达到以下病毒防范效果：u建立防病毒中央控管系统 可以实时记录防护体系内每台计算机上的查杀病毒情况、主动防御信息、漏洞情况、安全状况等，为超级管理员分析整个网络中的安全情况提供了大量的依据。通过管理控制台发布查杀

11、病毒、升级等各项命令，统一设置网络安全的各种策略，实现对整个防护系统的自动 控制，保障整个网络安全。u实时监控客户端防毒状况 网络管理员在管理控制台上能实时地查看到每个客户端的下列信息：l扫描状态l实时监控的状态l主动防御的状态l版本信息l感染了哪些病毒 根据上述信息，管理员可实时跟踪到每一个客户端的防毒状况，以便做出应对措施。u支持集中的病毒报警和报告 在管理服务器上能够方便地查看全部范围（或组范围）的病毒报警和报告，包括感染节点的主机名、IP 地址、病毒名称、清除情况、被感染文件的路径等。u快速响应 建立及时、快速的病毒响应、处理机制，能够迅速抑制病毒在网络中的传播。从发现病毒及病毒行为到

12、上报控制台报警信息更迅速，能够快速的定位病毒来源，病毒名称，以便网络管理员能够迅速觉察并进行处理。u统一的自动升级 为了满足不同用户的升级需求，瑞星制定了多种升级方式，网络智能升级、手动升级、代理升级。u客户端病毒防护效果 对客户端进行全面的升级防护，统一升级、统一管理。实施保持客户端病毒库处于最新状态，全面监控客户端的运行状况。包括：病毒日志、不安全设置、系统漏洞等等。u主动防御更可靠 系统加固：针对系统的薄弱环节进行加固，防止系统被病毒破坏。木马入侵拦截：最大程度保护用户访问网页时的安全，阻止绝大部分挂马网页对用户的侵害。木马行为防御：基于病毒行为的防护，可以阻止未知病毒的破坏。u漏洞扫描

13、与补丁分发管理瑞星漏洞信息管理工具给网络管理员提供了一个便捷的途径，使网络管理员在短时间内 做好整个网络系统的安全防范工作。是网络更加彻底的清除各种漏洞、加固了系统。许多病 毒行为是借助系统的漏洞及缺陷等，不修补漏洞而单纯反复的借助防病毒系统来清除借助此 漏洞进行传播及破坏的病毒程序将是徒劳的。漏洞扫描配合补丁分发功能对每台客户端的漏 洞扫描结果有针对性的分发补丁程序、修补漏洞，才能真正解决系统的安全性，防止重复性 的入侵及病毒感染。特别能够有效的防止威金系列病毒在网络中的传播。? 防火墙实施后达到的效果u防火墙是网络安全的屏障： 防火墙系统可以说是网络的第一道防线。一个防火墙（作为阻塞点、控

14、制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的 不安全的 NFS 协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击 内部网络。防火墙同时可以保护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理 员。u防火墙可以强化网络安全策略： 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个

15、主机上相比，防火墙的集中安全管 理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散 在各个主机上，而集中在防火墙一身上。u对网络存取和访问进行监控审计： 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并 提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常 重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙 的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。u防止内部信息的外泄

16、： 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题， 一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚 至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如 Finger，DNS 等服务。Finger 显示了主机的所有用户的注册名、真名，最后登录时间和使用 shell 类型等。但是 Finger 显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系 统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意 等

17、等。防火墙可以同样阻塞有关内部网络中的 DNS 信息，这样一台主机的域名和 IP 地址就 不会被外界所了解。? 上网行为管理系统实施达到的效果u屏蔽高风险网站随着互联网上的活动愈演愈烈、实时掌握企业员工互联网使用状况可以避免很多隐藏 的风险。通过网康互联网控制网关，您可以制定精细化的互联网活动审计策略，实时掌握互 联网使用状况，防患与未然，还可以根据业务需要制定精细化 Web 访问策略，将非业务信息 挡在门外。减少风险的发生。u外发信息监控 通过互联网传递信息已经成为企业的关键应用，然而信息的机密性、健康性、政治性等问题也随之而来。通过网康互联网控制网关，您可以制定精细化的信息收发监控策略，有

18、 效控制关键信息的传播范围，以及避免可能引起的法律风险。u提高工作效率 网络娱乐已经成为中国一大经济产业，然而不分时间不分场合的娱乐，对工作和学习的影响显而易见。通过网康互联网控制网关，您可以制定精细化的网络娱乐控制管理策略， 引导员工在合适的时间做合适的事。u带宽合理分配带宽对关键业务是否能顺畅运转至关重要，在不同的岗位、不同的工作中对带宽的需 求也不尽相同。通过网康互联网控制网关，您可以制定精细化的带宽流量分配管理策略，合 理利用宝贵的带宽资源。P2P 下载为人们快速共享文件提供了极大的便利，但其强占带宽资源的特性却常常影 响正常的业务数据传输。通过网康互联网控制网关，您可以定制精细的 P

19、2P 控制管理策略、 阻塞或者限制 P2P 上传/下载的带宽，确保企业核心业务的带宽得以保障。u规避法律道德风险 避免员工在工作时间访问涉及违反道德、低级趣味等内容的网站 ，给企业带来不必要的麻烦产品包定制方案为了更加方便用户，瑞华公司特别为大家制定了一下产品包给中小网络用户参考：序号产品型号配置说明包优惠价格建议网络规模A 包联想网御防火墙Smart V-40并发连接：200000 网络吞吐：100 网络端口：1x10/100MBase-TX 、4x10/100Mbps网络中 server 系统 1 台（服务器），普通 pc 数30 台（xp 、98 、2000 系统）用户数 31 人，出

20、口宽带 10mb 以下瑞星中小企业版1 系统中心+1 服务器端+30 客户端网康NI S110网络接口 1000M x4、支持 bypass、电源 12vB 包联想网御防火墙Smart V-60并发连接：400000 网络吞吐：100 网络端口：1 个 10/100MBase-T 端 口，4 个 10/100M Switch 端口。网络中 server 系统 1 台（服务器），普通 pc 数60 台（xp 、98 、2000 系统）用户数 61 人，出 口带宽 10-20mb瑞星中小企业版1 系统中心+1 服务器端+60 客户端网康NI 3310网络接口 100Mx4、支持 bypass、电

21、100-240vC 包联想网御防 火墙Smart V-100并发连接：600000 网络吞吐：100 网络端口：3 个 10/100M 自适应电 口，4 个 10/100M 交换 电口网络中 server 系统 1 台（服务器），普通 pc 数99 台（xp 、98 、2000 系统）用户数 100 人， 出口带宽 10-20mb瑞星中小企业版1 系统中心+1 服务器端+99 客户端网康NI 3310网络接口 100Mx4、支持 bypass、电 100-240v关于瑞华科技山东瑞华颂安信息科技有限公司致力于网络安全技术的研究和探索，形成了瑞华 EIPS（EnterpriseIntegrationProtectionStrategy）-企业整体安全防护策略的理论框 架，遵循瑞华的企业使命，我们始终如一的为用户做好安全服务，维护网络的畅通、保证网 络的可控、保障信息数据的安全。以专业的技术服务能力，丰富的安全管理经验，整合用户 信息化建设中网络与信息安全已有的资源，找出符合网络安全标准的要素，为用户定制一套 全面、规范、明晰、可控的安全管理解决方案，通过检测、预警、分析及时发现网络中存在 的安全隐患，降低用户风险，有效保障企业网络无忧运行。公司本着为用户服务的态度，根 据中小网络结构从多方面考虑为用户制定最佳有效的解决方案，所选产品具有功能丰富、性 价比高等特点。真正