防火墙安全解决方案建议书

XX

密 级：文档编号:工程代号：网络安全方案建议书网御神州科技〔北京〕广西XX广西XX单位安全解决方案建议书网御神州科技〔北京〕第网御神州科技〔北京〕第2页/共12页目 录\l“_TOC_250015“概述 2\l“_TOC_250014“引言 2\l“_TOC_250013“网络现状分析 3\l“_TOC_250012“2。1网络现状描述 3\l“_TOC_250011“2.2网络安全建设目标 3\l“_TOC_250010“安全方案设计 4\l“_TOC_250009“方案设计原则 4\l“_TOC_250008“网络边界防护安全方案 5\l“_TOC_250007“安全产品配置与报价 5\l“_TOC_250006“3。4安全产品推举 6\l“_TOC_250005“工程实施与产品效劳体系 11\l“_TOC_250004“4。1一年硬件免费保修 11\l“_TOC_250003“4。2快速响应效劳 11\l“_TOC_250002“免费询问效劳 12\l“_TOC_250001“现场效劳 12\l“_TOC_250000“4。5建立档案 12概述引言随着政府上网、电子商务、网上消遣、网上证券、网上银行等一系列网络应用的蓬勃进展，Internet正在越来越多地离开原来单纯的学术环境，融入到社国防等等关键要害领域.换言之，Internet网的安全，包括其上的信息数据安全和的大事。息安全从业阅历，由信息安全精英技术团队组成的信息安全公司.公司以开发一流的信息安全产品，供给专业的信息安全效劳为主业,秉承“安全制造价值”造一流的民族信息安全品牌，为神州大地的信息化建设保驾护航。XX网络现状分析网络现状描述XX局部：内部办公网络、外部办公网络。外部办公网络局部有通向互联网的出口，网络安全建设目标XX1的使用网络资源，防止伪冒与恶意滥用网络资源.2Internet问或恶意入侵,保证网络的安全性与私密性.安全方案设计方案设计原则计原则为:统一性承受统一的系统体系构造，以保持系统的统一性和完整性。有用性设计和优化的根底上进展设计.先进性进的技术、手段、方法和设备。可扩展性可升级性。安全性必需建立牢靠的安全体系，以防止对信息系统的非法侵入和攻击。保密性,资金信息等必需有严格的治理措施和技术手段加以保护，以免因泄密而造成国家、单位和个人的损失.3。2网络边界防护安全方案在网络边界部署硬件防火墙。防火墙主要解决网络边界的安全问题,通过边XXXX区域的有序访问.XX依据用户的需求，可在防火墙上设置如下安全策略：/目的地址、端:可以对办公网内的用户设定具体的访问时间的资源：允许正常访问网页，但不允许使用谈天与网络玩耍.地址绑定的功能，避开内部用户通过盗用IP地址获得其他高级用户的权限，一旦消灭用户私自改动IP地址，将断掉该用户与互联网的连接。并且网御神州防火墙支持MAC地址自学习的功能，格外便利地设置本项安全策略；结合IP+MACIP+MAC地址安排肯定保每个用户无法占用超出标准的带宽资源；利用网御神州防火墙防火墙的日志功能记录完整日志和统计报表等资料,便于网络治理人员针对办公网的活动状况进展监控和审计，有效觉察办公网中存在的问题;利用敏捷多样的告警手段〔告警，日志，SNMP陷阱等〕实现对违规行为的告警；3。3安全产品配置与报价产品型号产品描述产品型号产品描述部署地点数量产品单价备注说明广西XX广西XX单位安全解决方案建议书网御神州科技〔北京〕第网御神州科技〔北京〕第6页/共12页〔人民币)网御神州SecGate3600-F3

企业级百兆防火，标410/100M息中心自适应RJ45接口

1 68,000配置方案二〔经济型方案〕产品型号产品型号产品描述部署地点数量产品单价备注说明〔人民币〕小型企业百兆，1U网御神州SecGate3600-F2箱，处理力量150M710/100MXX单位信138,000息中心3.4安全产品推举依据XX单位网络现状以及对安全产品的安全需求,本方案推举在使用网御神SecGate3600—F系列百兆级防火墙，该防火墙是基于状态检测包过滤和应效地保证网络的安全；产品供给敏捷的网络路由/桥接力量，支持策略路由,多出口链路聚合;供给多种智能分析和治理手段，支持邮件告警，支持日志审计，供给全面的网络治理监控,帮助网络治理员完成网络的安全治理。SecGate3600-F1SecOS化设计,实现独立的安全协议栈，消退了因操作系统漏洞带来的安全性问题，以应用软件配置治理掌握接口SecOS安全协议栈硬件抽象层应用软件配置治理掌握接口SecOS安全协议栈硬件抽象层3。1SecGate3600—F防火墙体系架构图2、独创的智能高效搜寻算法MSDAL〔Multi-StageDirectAddressing的问题,确保您在大量安全策略数目状况下仍能猎取最高的网络性能！3、深度的网络行为关联分析H。323、FTP、SQL.NetDDoS4、全面的连接状态监控和实时阻断全面的连接状态监控，让您准时把握网络运行状态，协作丰富的连接限制,定位和实时阻断！5、强大的网络拓扑自适应性VLAN〔STP/PVST+〕和虚拟路由冗余协议〔VRRP),供给全面牢靠的二层链路备份和三层路由备份.6、智能便捷的配置向导和治理方式Console，PPPWeb(S)扫瞄SSHSecFox主要功能列表:功能分类状态检测

功能概要针对TCP/IP协议的TCP/UDP/ICMP数据包,实现完整的状态包过滤,完全到达GB/T—18019《包过滤防火墙技术要求》的要求.针对动态协议(包括但不限于H.323、FTP、TFTP、OracleTNS、SIP等通智能过滤 信协议)，供给基于协议分析的智能化动态包过滤功能，实时开闭应用程序动态协商的TCP/UDP端口,最大程度地提升防火墙的安全性。支持动态地址转换，包括多对一的地址转换，多对多的地址转换.支持静态地址转换，包括对内部效劳器供给一对一的地址转换。地址转换 支持双向地址转换，满足对等网络间双方隐蔽内部IP地址的要求.支持基于下一跳路由的地址转换，满足多出口网络地址转换负载均衡的要求。支持将内部供给不同效劳的多个效劳器地址映射成外部一样地址下的不同端口映射 端口，在端口映射状态下，可同时供给多种安全的网络效劳.支持对内部镜像效劳器访问的负载均衡供给基于TCP的SMTPFTPTELNETPOP3应用代理 代理以及基于策略的通用代理.支持在透亮代理下基于、FTP、SMTP、POP3协议的内容过滤。针对，对网页中java、javascrip、activeX进展过滤。针对SMTP、POP3，基于发信人地址、收信人地址、收信人数、文件大小、邮件主题、正文内容、发件人姓名、收件人姓名、附件文件名、附件内容内容过滤

等进展关键字匹配过滤。URL/白名单过滤策略。功能分类 功能概要供给保护主机、保护效劳、限制主机、限制效劳。保护效劳器或效劳器上供给的某项效劳，限制对效劳器过于频繁的访问。在规定的时间内,假设某连接治理台主机访问效劳器超过了所限制的次数,则会对该主机实行阻断，在阻断时间段内,拒绝其对效劳器的全部访问。也可以应用此功能对使用BT/电驴等连接数目过大严峻影响网络流量的用户加以限制。支持网络协议层用户认证，可以为包过滤、双向NAT、代理等访问掌握供给用户认证功能。供给基于电子钥匙的用户身份认证.〔源IPIP和效劳支持对用户帐号的流量掌握和时间掌握。用户认证

供给与标准radius效劳器〔PAP〕联动的用户认证。供给本地认证库实现基于角色的用户策略，并与安全规章策略协作完成强访问掌握。支持PAP和S/Key认证协议。供给在线用户监控功能。支持安全规章时间调度.时间掌握 支持用户策略时间调度。支持一次性与周期性时间调度规章。支持基于IP地址、应用协议的带宽治理。支持基于用户的带宽治理(通过身份认证的用户，可以指定带宽〕。带宽治理

支持最小保证带宽和最大限制带宽设置。支持带宽优先级的设定。供给IP/MACIP地址盗用问题。可以设置绑定的默认策略，供给IP/MAC对的唯一性检查。地址绑定 供给地址对与网口的绑定功能，可以准时定位盗用合法IP/MAC地址对的非法用户。IP/MAC自动探测功能。syn_floodpingfloodudpflood、抗DoS攻击teardropsweeplandpingofdeathsmurfWINNUKE、圣诞树攻击等。协作防火墙上的IDS功能，可以抵抗更多种类的攻击。支持与网御神州、启明星晨、中科网威、北方计算中心等主流入侵检测系入侵联动统的联动。广西XX广西XX单位安全解决方案建议书网御神州科技〔北京〕第网御神州科技〔北京〕第10页/共12页功能分类策略路由安全治理配置备份模块升级

功能概要供给目的路由和源地址路由功能以及目的路由负载均衡。供给远程安全治理和本地治理功能。供给全中文web界面和专业化的命令行界面治理方式。供给专用带外治理口。通过治理员身份认证〔电子钥匙认证或证书认证〕、治理员级授权〔包括超级治理员、配置治理员、策略治理员、审计治理员〕、治理主机限制、IP限制、防火墙治理方式定义〔web治理/命令行治理/SSH方式/PPP+SSH连接〕、配置信息加密〔支持SSL协议和SSH协议)，供给便利且安全的配置治理。支持配置的本地下载和上载.供给恢复防火墙出厂配置功能。供给敏捷的软件升级方式，适应安全需求的快速响应。供给当前CPU和内存利用率监控。供给HA高可用状态监控。供给用户在线状况监控，显示用户名、登录IP、登录时间、在线时间、流日志审计 入流量和流出流量,可依据安全策略实时中断某用户的连接。供给连接数量和流量监控。在防火墙本地能够敏捷地设置监测的时间间隔和显示方式。日志审计功能供给对防火墙系统大事和网络大事的统计、查询、分析。通过SecGateManager安全治理系统能够对防火墙状态信息进展实时监控与统计分析。网络适应性VLAN支持

具有多个自适应网络接口,网口数目可扩展,在保证网络高度安全和数据完整的前提下，同时具有线速或接近线速的网络处理性能。支持每个网络接口设定多个IP地址，支持网络接口模式的设定。支持ADSL拨号连接,自动以ADSLIP做地址转换.VLAN环境〔802。1q协议、Trunk协议和VLAN间访问掌握等〕。支持多种工作模式〔包括透亮模式、纯路由模式、混合模式).满足简单网络环境的要求〔防火墙冗余、防火墙旁路、防火墙跨接)。IEEE802.1Q协议。多协议支持vlantrunk协议，并可以对trunk口中的VLANID进展过滤.功能分类

支持VTP链路聚合协议.STP协议和BPDU协议。

功能概要在路由模式和桥模块下均支持VLAN间路由。治理口和HA口不支持VLAN协议。对TCP/UDP/ICMP协议的数据帧,过滤。IP协议的数据帧,IP协议过滤策略〔允许或制止，在网口时配置指定)进展处理.只能做透传处理的非IP协议包括：DHCPADSLIPXRIPISLDECnet、NETBEUIIPSECPPTPAppleTalkBOOTPVODRIPOSPFBGP4、IPX等.工程实施与产品效劳体系XX单位安全工程建设建设后,供给产品的安全继承商必需有力量供给后续近用户的效