网络安全整体解决方案288

网络安全整体解决方案网络安全整体解决方案

目次第1章总体分析及需求第2章总体设计第3章防火墙筹划........................................................................................................................................3....................................................................................................................................................4................................................................................................................................................43.1本筹划的收集拓扑构造........................................................................................................................53.2本筹划的优势：....................................................................................................................................63.3本筹划的产品特点.................................................................................................................................7第4章内网行动治理筹划....................................................................................................................................84.1内网安稳治理体系介绍........................................................................................................................84.2内网治理体系重要功能.........................................................................................................................9第5章报价单.........................................................................................................................错误!未定义书签。

第1章总体分析及需求珠海市网佳科技新办公大年夜楼由五层办公区域构成，公司范畴较大年夜、部分较多，总PC数量估量在200阁下，个中公司财务部分须要相对的自力，以包管财务的绝对安稳；关于通俗职员，若何防止其应用公司收集处理私家事务，若何防止因小我误操作而引起全部公司收集的瘫痪，这些差不多上现在企业收集急待解决的问题。跟着公司范畴的赓续强大年夜，逐步形成了企业总部－各地分支机构－移动、移动办公人员的信息共享安稳，既要包管信长过程中不得不推敲的问题。同时，若何防止骇办公人员的新型互动运营模式，如何处理总部与分支机构息的及时共享，又要防止隐秘的泄漏差不多成为企业成客进击、病毒传播、蠕虫进击、敏锐信息泄漏等差不多上须要推敲的问题，如：第一、跟着电脑数量的增长，假如收集不划分VLAN，所有的PC都在一个广播域内，万一网内有一台PC中了ARP，那么将阻碍到全部收集的稳固；第二、各类办事器是企业重要数据地点，而办事器假如不采取必定的爱护机制，则会经常遭受来自表里网病毒及其它黑客的进击，导致办事器不克不及正常工作及信息泄漏，经企业带来弗成估量的损掉；第三、收集没有网管型的设备，无法对收集进行有效的操纵，使收集治理员心有余力而力不从心，往往是事倍功半，如无法操纵P2P软件下载而占用收集带宽；无法限制QQ、MSN、SKYPE等即时谈天软件；网管员无法对收集内的流量进行操纵，造成收集资本的应用白费；第四、企业有分支机构、移动办公人员，无法与总部互动、拜望总部K3、ERP等重要数据资本，从而不克不及及时猎取办公所需数据。综上分析，珠海市网佳科技按照企业今朝收集情形，有针对性地实施收集安稳方面的方法，为收集的正常运行及办事器数据的安稳性做好前期工作。

第2章总体设计依照珠海市网佳科技的实际收集情形，结合今朝的具体需求，从以下几个层面来为珠海市网佳科技设计一个以硬件防火墙为主体的收集安稳解决筹划，保证珠海市网佳科技收集的正常运行及办事器的安稳。公司收集的大年夜致构造是:光纤-路由器-交换机-PC,公司大年夜概有200多台电脑,依照公司今朝的收集范畴及上面的分析，现提出以下整体解决筹划。1.2.在收集出口处架构一台硬件防火墙,以防止不法进击在每台PC上安装内网行动治理软件，对每台PC实施应用法度榜样治理、屏幕监控、上彀策略治理等第3章防火墙筹划本筹划建议采取国康防火墙.依照公司的收集构造,合适的型号是FX-500。经由过程前国康防火墙公司现在所需解决的问题，具体表示如下：下载安装游戏软件；用QQ与MSN谈天造成工作效力低下；主动或被动的扫瞄色情网载片子、在线听歌、QQ直播，造成收集带宽堵塞；同时收集治理员须要只许可拜望固定网站或樊篱某些网站。职员上彀治理：自定义时刻开放网上有效爱护对外宣布的WEB、FTP、邮件办事器。防止对从内到外及从外到内的收集拜望做好有效的日记记录，以对收集整体进行流量限制防止ARP欺诈现象的产生，当产生欺诈现象时，能够经由过程防火墙泉源地点，保证收集正常运行。能够实现移动办公，经由过程防火墙内能，即使出差在外，也可便利地拜望公司内部ERP办事器IP/MAC地址绑定，防止职员随便更换IP地址，造成收集内地址冲突现象而产生收集中断，使网管员便利治理筹划网内IP地址资本。面的分析与需求，能够达到贵站；BT猖狂下谈天、游戏、查询股票项目。黑客入侵修改网站信息，宣布反动黄色内容帖子。备网监处查询。日记端快速的查找到ARP欺诈置的各类VPN（PPTP、L2TPVPN、IPSecVPN、SSLVPN）功资本。

3.1本筹划的收集拓扑构造

建议的收集拓扑构造3.2本筹划的优势：1、珠海市网佳科技整体处于安稳区域内,对公司内部宣布的2、可对收集3、能够随便封堵QQ.MSN,YAHOO通等即时谈天软件.4、能够整体操纵BT、电驴、迅雷等下载软件占据大年夜量带宽。5、能够对公司的6、防火墙的办事器起到爱护,有效防护外部进击。限制整体流量.数据进行安稳过滤。设置简单化，专门是没有专职网管的公司,为治理者带来极大年夜的便利。7、增长了SSLVPN功能，极其简化的设置方法，只须要用户名、暗码、办事器IP数参即能轻松完成设备。为长途拨入的移动客户端，供给了便利。8、强大年夜的日记审计，完成了对及时流量监控，对ARP、蠕虫病毒的监控，对客户端上彀记录的监控等。3.3本筹划的产品特点防火墙特点功能灵活的治理界面，面象对象的治理多WAN口链路负载均衡---网通电信线路智能确信PPPOE拨号功能，完全解决ARP病毒实名上彀功能，无需安装插件多动态域名互为备份应用路由功能，可设置某种协定流量走特定的外网口可樊篱内网客户端发贴IPSEC/SSLVPN功能:可基于路由、透亮、单臂模式安排，不改变客户收集构造；支撑以口令或口令加证书USBKey的方法进行身份验证;内置CA中间VPN帐号能够和特定的机械特点主动绑定；灵活的应用宣布机制和权限分布机制；支撑B/S、C/S和T/S应用法度榜样；灵活的安稳策略，便应用户长途拜望；完美的日记和报表；解决多种宽带收集间互访“南北不通”问题；支撑低宽带前提下的数据及时紧缩，最高可进步50%的数据传输速度；TCP/IP协定优化,集成了数据紧缩技巧穿透性好，支撑移动、电信3G收集终端治理功能:USB储备设备认证与加密外联监控外设操纵共享目次监控硬件变革监控、软件监控过程监控离线策略资产治理软件分发收集拜望操纵长途桌面治理、准时截屏功能流量操纵功能客户端连接数操纵针对IP/地址段设置带宽辨认操纵P2P软件和加密P2P数据

当有余外带宽，许可冲破限制，充分应用带宽及时显示各客户端连接数、收发包量、速度、累计流量流控对应到人强大年夜的流量分析日记及图形报表行动治理功能:网站分类封堵，支撑自定义组、通配符定义域名QQ号治理、只有指定的QQ号才能上岸封堵MSN、YahooMessage、AIM、IRC与终端治理结合，可监控谈天记录讯雷、BT、电驴等P2P软件按协定封堵游戏、长途操纵软件、VOIP等不法软件封堵禁止从内到外或从外到内POST提交发贴、高低传文件第4章内网行动治理筹划4.1宝内网安稳治理体系介绍完全的国康防水墙由三部分构成，办事器模块要被监督的运算机上。办事器模块用来储备和治理所有安装有客户端材料，一样安装在一台具有高机能CPU和大年夜容量内存的用作办事器的运算机上。监控端督每台安装有客户端模块的运算机及查看汗青记录，一样安装在公司的治理人员的运算机也能够和办事器模块安装在同一台运算机上。体系的全然框架如下图所示：、监控端模块和客户端模块。客户端模块安装在每一台须模块的运算机，用于治理监督所产生的重要用于监模块上，

4.2内网治理体系重要功能1、内网治理体系安稳、杰出的体系机能：操纵台与办事器端及客户端代理之间的操纵信息都经由过程加密通信办事器端与客户端代理之间进行认证，防止未获授权应用对不法接入的主机可割断其与内部安装过客户端代理主机之间的接洽本地用户不克不及自行卸载、封闭客户端代理法度榜样治理权限分级，利于分级操纵登录应用了严格的身份认证，保证体系的治理安稳客户端、办事器及操纵台间的数据传输全部采取加密传输方法，防止传输的数据被窃听在终端PC上运行的客户端软件采取了透亮模式客户端软件采集数据信息不阻碍终端PC的应用机能传输中的数据经由专门紧缩，对收集带宽的占用专门少备份和复原办事器数据库中的信息，包管汗青记录的便利查阅2、内网治理体系对企业的赞助：爱护隐秘贸易材料具体记录文件操作（拜望、修改、删除等）记录文件操作时的屏幕对移动储备设备的灵活治理对设备端口的治理规范职员的上班行动限制与工作无关应用法度榜样的应用禁止扫瞄工作无关网站对违规行动的报警客不雅评估职职员作状况具体记录职员应用的应用法度榜样具体记录职员扫瞄的网页职员应用电脑情形图表分析便利的电脑资产治理主动猎取电脑硬件设备清单主动猎取电脑安装的应用法度榜样协助企业治理者的工作灵活完美的规矩设定完美丰富的报表功能严格的权限治理追踪重要事宜记录电脑屏幕，直不雅不雅察职员的电脑操作记录设置报警，查询职员的违规行动3、内网治理体系的重要功能：内网治理体系包含了下列的六大年夜功能模块：收集监督模块、收集治理模块、收集报警模块、软硬件资产治理模块、补丁治理和软件分发、长途桌面治理。1、收集监督模块：

依照设定的安稳操纵策略，对受控对象的活动进行周全的审计，为过后明白得和确信收集安稳变乱供给了宝贵的材料，具体功能如下：文件操作的审计；屏幕记录；应用法度榜样的审计；Internet拜望的审计；收集通信协定；报警信息的审计；打印机应用的审计；收集文件拜望的审计；硬件更换的审计；软件更换的审计；IP/Mac地址的更换审计；用户的更换审计；不法笔记本电脑接入的审计；不法拨号的设计；客户端超时不连接的审计；2、收集治理模块：收集治理模块经由过程具有针对性的监控规矩的设置，主动阻拦不法操作和实现应用统计，具体功能如下：禁止或只许可扫瞄的指定网站；禁止应用指定的应用法度榜样；禁止应用设外如（USB储备设备、USB端口、软驱、刻录机、磁带驱动器、串口、并口、调制解调器、SCSI、1394总线、红外通信设备，以及笔记本电脑应用的PCMCIA卡接口）；内网治理模块对电脑的应用进行具体统计，进步工作效力。扫瞄网站状况统计、柱状图、饼状图）；应用软件应用统计、柱状图、饼状图）；（列表（列表3、收集报警模块：收集监控模块经由过程具有针对性的监控规矩的设置，同时能够向操纵台发出报警信息，报警内容有：不法对指定文件/文件夹操作报警；

不法应用指定的应用法度榜样报警；硬件更换的报警；软件更换的报警；IP/Mac地址的更换报警；用户的更换报警；不法运算机接入的报警；不法拨号的报警；客户端超时不连接的报警。4、软硬件资产治理模块：软硬件治理模块能够对全部局域网内的电脑的软硬件资产进行统计。5、补丁治理和软件分发：能够随时统计出操作体系补丁的安装情形，并对未安装重要补丁法度榜样的运算机同一批量安装；供给同一的应用软件派发功能，使得批量软件安装这一费时辛劳的工作，由软件主动完成；6、长途桌面治理：长途桌面模块经由过程具有针对性的客户端进行操纵，进步网管人职员作效力，具体包含对客户机进行如下操作：长途接收客户端（对客户端的产生的问题能够及时解决；）发送通知；锁定/解锁工作站；刊出、重起、封闭工作站；典范客户•当局电信行业江苏电信无锡分公司、大年夜唐电信、江苏南京市房产局、南京市房地产市场治理处、无锡市新区管委会、无锡经贸委、无锡市惠山区人平易近当局、无锡市锡山区公安局、福建省厦门市当局、福建省教诲厅、中国联通南京分公司、福建省龙岩市当局、河北交通厅项目办、河北省交通厅国融中间福建省漳州市当局、江苏省文化厅、江苏准安市当局、无锡市锡山区人平易近当局、山东平邑当局、江苏南京市房产局、成都会互联