XX税务所网络边界安全防护方案

1、XX 税务所网络边界安全防护方案VER 1.02010-3-22目录一、方案概述 . 4-可编辑修改 -二、安全风险分析 . 5三、安全需求分析 . 6四、网络边界安全防护解决方案 . 74.1产品选型及防护策略制定 . 84.1.1防护策略 . 84.1.2选型产品性能指标 . 94.2网御神州 UTM 安全网关产品特色 .网御神州 UTM 安全网关主要功能 .1.1.五、选型产品资质 . 20六、选型产品成功案例 . 21-可编辑修改 -方案概述XX税务所内部局域网作为服务于全单位日常办公和行政管理的计算机信 息网络，实现了单位内计算机连网、信息资源共享，并与In terne

2、t互联。税务所内部局域网络与In ternet之间没有部署任何安全防护设备，整个税 务所内部局域网络完全暴露在外部，流行于互联网的网络病毒、木马及恶意软 件严重威胁着税务所内部网络，因此XX税务所急需在内部网络和互联网边界部署安全防护产品，防护来自互联网的各种威胁。网御神州对XX税务所当前所面临的各种威胁和风险进行了细致的分析和 判断之后，结合网御神州在信息安全领域内多年的丰富经验，为XX税务所制定了网络边界安全防护方案。-可编辑修改 -安全风险分析在进行安全风险分析前，我们应该注意到网络运行和信息化建设是一个周 而复始、循序渐进的动态过程，在这个动态的发展过程中，信息化建设可能会 不断暴露出

3、新的安全风险，这就要求我们要不断保持高度的警惕性， 睁大双眼， 时刻发现系统中的安全风险，并不断通过各种安全技术手段完善系统，保证系 统的最大安全性。通过前期与XX税务所网络管理员的多次沟通交流，了解到 XX税务所先 阶段主要存在以下安全风险：1）内部局域网与互联网相连，在享受互联网方便快捷的同时，也面临着遭 遇攻击的风险；2）各种蠕虫和病毒的威胁，直接会导致网络性能的下降，甚至瘫痪；3）各种木马和后门程序造成税务所内部重要数据和个人信息泄密等严重 危害；4） TCP/IP协议本身的漏洞往往会导致多种的攻击行为；5）大量的P2P下载耗尽了网络的带宽；6）工作时间无节制的QQ、MSN，导致工作效

4、率下降；-可编辑修改 -三、安全需求分析信息安全重在防御，采用技术手段保护网络系统的安全是安全体系的基础。随着业务系统的不断丰富，采用的技术方法越来越多，这就要求安全系统所要 采用的技术手段也要不断的丰富，只有不断采用最新的安全技术才能保护网络 系统的安全，尽可能的防止攻击的发生，降低攻击发生后所带来的损失，并尽 快恢复到攻击发生前的工作状态。网络边界是非法入侵者进出网络的第一道门 槛，网络边界的防护在整个网络安全技术体系建设中起着十分重要的作用。通过上述对XX税务所现阶段安全风险的详细分析，我们从网络建设和运 行过程中各个角度出发，得出如下需求。1）防护来自互联网的各种蠕虫、病毒、木马和后门

5、程序对税务所内部网络 的破坏；2）对大量的P2P下载行为采取带宽控制，防止大量的 P2P下载耗尽了网 络的带宽；3）禁止工作时间使用QQ、MSN等实时消息软件，以免导致工作效率下 降。-可编辑修改 -MEHTM汇聚办公区1四、网络边界安全防护解决方案根据XX税务所网络结构特点及面临的安全风险和安全需求，本方案将重点考虑从以下几个方面重点考虑：网络带宽控制、网络安全抗攻击、网络病毒 的防范等。-可编辑修改 -4.1 产品选型及防护策略制定网络边界防护是内部局域网信息安全保障的核心点，它负责内部局域网中 最基本的信息服务系统的安全，一旦被非法进入，存在着内容被窃取、泄密、 篡改、损坏等巨大风险，属

6、于安全等级中最严重的事件。通过在互联网与税务 所内部网之间，部署一台网御神州 Secgate 3600-U4-400A UTM 安全网关， 在两网之间建立一道安全的隔离屏障4.1.1 防护策略1)实现数据的合法合理的流转，使得每个不同的接入点只能访问到需要访问 的资源，严格控制对核心区域和数据的访问，关闭所有不必要的服务和非 法 IP ；2)启用抗 DDOS 攻击和抗扫描等安全功能， 进一步保护网络最大限度的不受攻击的影响；3)通过策略路由功能实现内网 IP 对互联网的访问；4)通过UTM安全网关自带的P2P软件限制功能智能跟踪P2P软件的特征码，根据事先定义的策略智能实现 P2P 软件的限制

7、；5)根据不同的 IP 组对带宽的不同需求制定不同的带宽管理策略；6)禁止多种知名蠕虫病毒通过 UTM 安全网关进行传播；7)通过内网管理功能可以方便监控到每个 IP 的流量和并发连接数， 根据这些数据快速判断出哪些IP在P2P下载、哪些IP在FTP下载、哪些IP中了蠕 虫病毒或 ARP 病毒、哪些 IP 在正常使用，从而快速定位网络问题解决问-可编辑修改 -题;8）定期查看UTM安全网关访问日志，及时发现攻击行为和不良的上网记录;4.1.2选型产品性能指标产品名称网神SecGate 3600 防火墙UTM安全网关产品型号SecGate 3600-U4-400A产品性能网络处理能力600Mbp

8、s取大并发连接数100万HTTP杀毒100MIPS吞吐100M每秒新建连接数20000MTBF （小时）80000延时40 pSVPN隧道数100接口说明10/100/1000Base-T4可扩展1000M接口无异步串行管理接口1个远程配置管理接口1个硬件特性-可编辑修改 -机箱标准1U机箱电源单电源4.2网御神州UTM安全网关产品特色安全防御水平高：系统采用自主开发的SecOS安全操作系统，独立实现各 种安全访问控制，摆脱了庞大复杂的通用操作系统束缚。系统内核稳定， 安全应用功能随需扩展，安全防御水平保持与国际一流厂商保持同步领先。深度内容检测细：采用独立的安全协议栈，可以自由处理通过协议栈

9、的网 络数据，基于网络行为检测的多流关联分析技术，支持对网络数据的病毒 过滤，支持对P2P和即时通讯软件的限制、支持千万级别URL库以及WEB 内容过滤，支持FTP内容过滤，还可以和多种IDS产品联动，为细粒度的 网络安全管理提供了有利的技术保障。VPN功能：企业对VPN应用越来越普及，但是当企业员工或合作伙伴通 过各种VPN远程访问企业网络时，病毒等有害数据有可能通过VPN隧道从远程PC或网络传递进来，这种威胁的传播方式极具隐蔽性，很难防范。网神SecGate 3600 防火墙UTM安全网关同时具备防火墙、 VPN、防病毒和内容过滤等功能，并且各功能相互融合，能够对 VPN数据进行检查， 拦

10、截病毒等有害数据，彻底保证了 VPN通信的安全，为用户提供放心的 VPN服务。入侵防护：IPS是抵制外部网络威胁最有效的安全防范技术。网神SecGate3600防火墙UTM安全网关内置可以针对协议进行分类防范， 每个分类下边有多种特征库，并且每周特征库会自动升级。网神SecGate 3600防火墙UTM安全网关能够对所有数据进行实时检测，对于可疑的行为会采取 相应的措施。-可编辑修改 -防病毒：网神SecGate 3600防火墙UTM安全网关的杀毒模块设计非常 完美，基于SecOS自主研发的专业杀毒引擎，可以实现对计算机病毒、蠕 虫、木马等病毒的查杀。目前能够扫描出 20万多种病毒，支持包括z

11、ip、 gzip、rar、arp和pklite等多种压缩格式文件病毒检测，它支持病毒库的 自动更新以提供最新病毒的防御。反垃圾邮件：网神SecGate 3600防火墙UTM安全网关支持对SMTP、POP3等协议的垃圾邮件检测能力。网神 SecGate 3600防火墙UTM安 全网关提供了丰富的自定义检测规则项目，可对邮件大小、邮件附件大小、邮件内容、邮件主题、收/发邮件地址过滤，另外还可和实时黑白名单进行 联动，避免遭受垃圾邮件的烦恼。一机多用，管理简单：网神SecGate 3600防火墙UTM安全网关作为一 款优秀的UTM产品，具备多种安全功能，既可以作为防火墙设备，也可 以作为VPN设备、

12、防病毒设备等，更重要的是这些功能融为一体，可同时 任意组合使用，满足用户各种安全需求，为用户节省大量购置与维护成本。4.3网御神州UTM安全网关主要功能指标指标项规格要求-可编辑修改 -指标指标项规格要求功能防火墙功能支持基于状态检测技术；支持路由、透明、透明桥及混合接入模式；可针对源接口、目的接口、协议类型、源地址、目的 地址、服务、时间表、域名和 vian等对象设定安全策 略；支持接口的带宽控制；支持基于每ip、多ip的流量 控制，并提供父带宽和子带宽支持DNS中继，支持DNS中继自动寻找上级 DNS 服务器；支持多纯透明子桥和接口联动；支持策略路由功能，支扌寸路由备份、路由负载均衡， 支

13、持基于服务、源IP、目的IP的策略路由；支持channel模式，支持子接口，最多支持16个桥 接口支持设定网段内共享的或者任一地址的新建连接限 制，支持设定网段内共享的或者任一地址的并发连接限 制；提供连接限制的查询和统计功能支持IP/MAC地址绑定和自动探测；链路探测支持icmp，tcp，http，arp等协议，并且 能对ADSL线路的探测-可编辑修改 -指标指标项规格要求支持VLAN和MAC地址的绑定；支持PPPOE协议，提供多条ADSL (3 )同时拨号 和自动负载均衡方式支持802.1Q VLAN，支持VLAN透传和VLAN终结；支持 SIP/H.323/H.323 网守/Ftp/SQ

14、L.Net 等动态协 议；支持MMS/RTSP等多媒体协议；支持DHCP服务器/中继及客户端；支持OSPF、RIP等动态路由协议；入侵防御功能支持入侵防御功能，入侵防御特征库数量不少于3000 条；可以针对 HTTP、FTP、POP3、SMTP、DNS 协议进行IPS防护；支持指定IDS阻断的网口；支持入侵防御特征库自动升级和手工导入，升级频率至少确保每周一次；支持对 SYN Flood、ICMP Flood、Ping of Death 、 UDP Flood、PING SWEEP、TCP 端口扫描、UDP 端 口扫描、Win Nuke 等DOS/DDOS 攻击防护；支持和IDS设备联动；-可

15、编辑修改 -指标指标项规格要求防病毒功能支持对HTTP、FTP、SMTP、POP3等协议的病毒检测和过滤功能；支持对HTTP免杀毒白名单设置；并能提供对图片的病毒的查杀；支持断点续传支持对压缩文件、邮件格式、文件格式进行病毒查杀； 支持对传输文件大小、文件容量、文件夹压缩最大20 层数进行限制支持向发送端报警，病毒邮件作为提示邮件附件发送给接受端支持病毒配置模板，灵活进仃病毒配置支持对非标准协议的病毒过滤支持对文件感染型病毒、蠕虫病毒等的过滤，病毒库数量不少于21万；支持病毒库自动升级和手工导入，升级频率至少确保每周一次；支持杀毒引擎自动升级；支持对 sobig、ramen、welchia、a

16、gobot、opaserv、 blaster、sadmind 、slapper、novarg、slammer、zafi、 bofra、dip net等蠕虫的过滤；-可编辑修改 -指标指标项规格要求反垃圾邮件功能支持自定义RBL服务器，同时可以启用2个RBL服 务器支持对SMTP、POP3协议进行过滤；支持基于发件人地址、收件人地址、邮件主题关键字、 邮件内容关键字、附件扩展名等过滤；支持基于邮件附件类型的过滤功能；-可编辑修改 -指标指标项规格要求VPN功能支持 IPSec VPN、L2TP VPN、PPTP VPN 及 SSL VPN功能；支持和第三方设备设备对接；支持静态IP地址、域名、动

17、态IP地址等VPN组网方 式；支持基于策略、路由的VPN ；支持DES/3DES/AES/国密办加密算法等加密算法；支持 DHCP over IPSEC VPN ；支持 MD5、SHA1、SHA256、SHA384、SHA512 等认证算法；支持预置密钥、证书、LDAP证书、X-AUTH扩展认证 等认证方式；支持主模式和野蛮模式；支持VPN隧道实时监视及控制；支持VPN双向NAT穿越；支持数据包封装ESP、AH ；支持远端状态探测DPD ；-可编辑修改 -指标指标项规格要求内容过滤功能支持绿色上网功能?内置强大的URL库，50余种分类，1000多万条URL 库；?支持手工自定义添加URL；?支

18、持黑白名单URL；?支持对URL关键字过滤、关键字导入；?提供URL配置的模板提供上网行为管理的模板?支持对 apple、ares、bt、de、edonkey、gnu、 kazaa、soul、winmx等P2P软件进行圭寸堵、流控；?支持对QQ , MSN , SKYPE等IM软件进行封堵，流控?支持对魔兽世界、劲舞团、梦幻西游、联众、中国 游戏中心、新浪游戏大厅、网易泡泡、浩方游戏等 网络游戏的封堵和流控?支持对大智慧、同花顺，钱龙，证券之星、通达信 等炒股软件的封堵和流控-可编辑修改 -指标指标项规格要求地址转换功能支持源地址NAT （多对一 NAT） 支持目的地址NAT （多对一 NAT

19、） 支持目的端口转换支持静态NAT （对一 NAT） 支持地址池NAT （多对多NAT） 支持服务器负载分担（一对多 NAT）咼可用性支持端口链路备份和负载均衡支持故障自启动功能支持配置、连接状态自动同步支持VRRP协议，实现主备、主主热备方式用户认证功能支持Web/Portal弹出页面（无客户端）认证；支持基于客户端的用户认证；支持RADIUS认证；管理功能支持 HTTPS、CONSOLE、SSH、TELNET 等多种管 理方式；支持配置的部分导入导出功能支持管理员权限分级，支持用户自定义管理员权限表； 支持远程管理功能；支持集中管理功能；支持策略统一下发功能；-可编辑修改 -指标指标项规格

20、要求日志与报表支持对IM的聊天记录监控，如 MSN等支持图表显示实时CPU、内存、硬盘、连接数、流量 等参数；支持本地日志存储，支持外部日志存储，如SYSLOG、SNMP V3 等;支持日志集中管理；支持日志上传功能；支持邮件报警功能；支持当前配置的显示；-可编辑修改 -五、选型产品资质公安部销售许可证国家信息安全认证产品型号证书国家保密局涉密信息系统产品检测证书军B级信息安全产品认证证书计算机软件著作权登记证书-可编辑修改 -六、选型产品成功案例网神SecGate 3600系列统一安全网关以其咼安全性、咼可靠性和易部署 能力，被广泛的应用于市县级政府部门、大型企业分支机构（连锁企业）和教 育行业中。上海市房地局上海市房地资源管理局是上海市土地交易、房产买卖登记、住房规划、城 区改造、物业管理相关事务的管理机构，下属区县单位2百多个，为了保证网上业务办理、交易登记