防火墙安全解决方案建议书

密密级：

文档编号：

项目代号：广西XX单位网络安全方案建议书网御神州科技（北京）有限公司

目录1概述 31.1引言 32网络现状分析 42.1网络现状描述 42.2网络安全建设目的 43安全方案设计 43.1方案设计原则 43.2网络边界防护安全方案 53.3安全产品配备和报价 73.4安全产品推荐 74项目实施和产品服务体系 124.1一年硬件免费保修 134.2快速响应服务 134.3免费咨询服务 134.4现场服务 134.5建立档案 131概述1.1引言随着政府上网、电子商务、网上娱乐、网上证券、网上银行等一系列网络使用的蓬勃发展，Internet正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。首先，网络顾客成分越来越多样化，出于多个目的的网络入侵和攻击越来越频繁；另首先，网络使用越来越深地渗入到金融、证券、商务、国防等等核心要害领域。换言之，Internet网的安全，涉及其上的信息数据安全和网络设备服务的运行安全，日益成为和国家、政府、公司、个人的利益休戚有关的大事。网御神州科技（北京）有限公司是一家含有国内一流技术水平，拥有数年信息安全从业经验，由信息安全精英技术团体构成的信息安全公司。

公司以开发一流的信息安全产品，提供专业的信息安全服务为主业，秉承“安全发明价值”的业务理念，以追求卓越的专业精神，诚信负责的服务态度以及业界领先的技术和产品，致力于成为“客户最值得信赖的信息安全体系设计师和建设者”，从而打造一流的民族信息安全品牌，为神州大地的信息化建设保驾护航。

网御神州有幸能够参和XX单位的信息化的安全规划，并且在前期和信息中心领导进行了交流和研讨，本方案以前期交流的成果为基础，将围绕着现在的网络现状、使用系统等因素，为XX单位提供边界网络防护方案，但愿该方案能够为XX单位安全建设项目提供有益的参考。2网络现状分析2.1网络现状描述现在XX单位已经采用快速以太网技术建成了内部的办公网络，网络分为两部分：内部办公网络、外部办公网络。外部办公网络部分有通向互联网的出口，但没有采用任何边界防护的设备。内部办公网络部分和外部办公网络部分是物理隔离的，因此当内部办公用机需要访问互联网的时候，必须手工切换到外部网络。2.2网络安全建设目的XX单位网络安全的建设目的包含下列内容：保障办公网资源受控正当的使用确保办公网资源可控正当的使用，确保特定的顾客拥有特定的权限，合理的使用网络资源，避免伪冒和恶意滥用网络资源。保障办公网顾客安全便捷的访问互联网在访问互联网的同时，确保办公网内部顾客不受到来自Internet的非法访问或恶意入侵，确保网络的安全性和私密性。3安全方案设计3.1方案设计原则网御神州严格按照国家有关规定进行系统方案设计。设计方案中恪守的设计原则为：统一性 系统必须统一规范、统一原则、统一接口，使用国际原则、国标，采用统一的系统体系构造，以保持系统的统一性和完整性。实用性系统能最大程度满足XX单位的需求，结合实际状况，在对业务系统进行设计和优化的基础上进行设计。先进性无论对业务系统的设计还是对信息系统和网络的设计，都要采用成熟先进的技术、手段、办法和设备。可扩展性系统的设计必须考虑到将来发展的需要，含有良好的可扩展性和良好的可升级性。安全性必须建立可靠的安全体系，以避免对信息系统的非法侵入和攻击。保密性信息系统的有关业务信息，资金信息等必须有严格的管理方法和技术手段加以保护，以免因泄密而造成国家、单位和个人的损失。3.2网络边界防护安全方案在网络边界布署硬件防火墙。防火墙重要解决网络边界的安全问题，通过边界保护，能够有效规避大部分网络层安全威胁，并减少系统层安全威胁对XX单位网络平台的影响，防备不同网络区域之间的非法访问和攻击，确保XX单位各个区域的有序访问。XX单位防火墙配备布署的网络示意图以下：根据顾客的需求，可在防火墙上设立以下安全方略：运用网御神州防火墙的智能过滤技术，实现基于合同、源/目的地址、端口、时间、访问控制。例如：能够对办公网内的顾客设定具体的访问时间段：上班时间允许互联网，下班时间严禁；也能够限定顾客访问互联网的资源：允许正常访问网页，但不允许使用聊天和网络游戏。运用网御神州防火墙的IP+MAC地址绑定的功效，避免内部顾客通过盗用IP地址获得其它高级顾客的权限，一旦出现顾客私自改动IP地址，将断掉该顾客和互联网的连接。并且网御神州防火墙支持MAC地址自学习的功效，非常方便地设立本项安全方略；结合IP+MAC地址绑定的功效，针对每个顾客的IP+MAC地址分派一定的带宽，运用网御神州防火墙高精度的QOS功效实现网络流量的控制，确保每个顾客无法占用超出原则的带宽资源；运用网御神州防火墙防火墙的日志功效统计完整日志和统计报表等资料，便于网络管理人员针对办公网的活动状况进行监控和审计，有效发现办公网中存在的问题；运用灵活多样的告警手段（告警，日志，SNMP陷阱等）实现对违规行为的告警；3.3安全产品配备和报价配备方案一（推荐方案）产品型号产品描述布署地点数量产品单价（人民币）备注阐明网御神州SecGate3600-F3公司级百兆防火墙，1U机箱，解决能力400M，标配4XX单位信息中心168，000配备方案二（经济型方案）产品型号产品描述布署地点数量产品单价（人民币）备注阐明网御神州SecGate3600-F2小型公司百兆防火墙，1U机箱，解决能力150M，标配7个10/100M自适应RJ45接口XX单位信息中心138，0003.4安全产品推荐根据XX单位网络现状以及对安全产品的安全需求，本方案推荐在使用网御神州的SecGate3600-F系列百兆级防火墙，该防火墙是基于状态检测包过滤和使用级代理的复合型硬件防火墙，是专门面对大中型公司、政府、军队、高校等顾客开发的新一代专业防火墙设备。支持外部攻击防备、内网安全、网络访问权限控制、网络流量监控和带宽管理、网页内容过滤、邮件内容过滤等功效，能够有效地确保网络的安全；产品提供灵活的网络路由/桥接能力，支持方略路由，多出口链路聚合；提供多个智能分析和管理手段，支持邮件告警，支持日志审计，提供全方面的网络管理监控，协助网络管理员完毕网络的安全管理。SecGate3600-F防火墙六大特色1、独立的SecOS安全合同栈完全自主知识产权的SecOS实现防火墙的控制层和数据转发层分离，全模块化设计，实现独立的安全合同栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙功效的影响。同时也减少了由于硬件平台的更换带来的重复开发问题。由于采用先进的设计理念，使该SecOS含有更高的安全性、开放性、扩展性和可移植性。硬件抽象层硬件抽象层SecOS安全合同栈控制接口配备管理使用软件图3.1SecGate3600-F防火墙体系架构图2、独创的智能高效搜索算法采用独创的分段直接寻址搜索算法MSDAL（Multi-StageDirectAddressingLookupAlgorithm），解决了传统防火墙随着安全方略数的增加其性能逐步下降的问题，确保您在大量安全方略数目状况下仍能获取最高的网络性能！3、深度的网络行为关联分析采用数据包内容的深度网络行为关联分析技术，让您不再为多个专有动态合同如H.323、FTP、SQL.Net等的控制“愁眉不展”！并且增强了您的网络对于多个DDoS攻击的防备能力！4、全方面的连接状态监控和实时阻断全方面的连接状态监控，让您及时掌握网络运行状态，配合丰富的连接限制，方便您对BT/电驴等P2P使用的控制，以及对感染网络蠕虫病毒的主机进行快速定位和实时阻断！5、强大的网络拓扑自适应性适应于多个复杂网络拓扑，涉及透明桥接、路由以及桥和路由完全自适应识别模式。支持VLAN和VLANTRUNK解决；支持多网络出口的链路聚合和方略路由；支持生成树和每VLAN生成树合同（STP/PVST+）和虚拟路由冗余合同（VRRP），提供全方面可靠的二层链路备份和三层路由备份。6、智能便捷的配备向导和管理方式为安全管理员提供智能便捷的配备向导，让您轻松完毕复杂的安全配备！并提供丰富的管理方式，涉及本地Console，拨号PPP接入，基于Web（HTTPS）浏览器，远程SSH登录，以及强大的SecFox集中安全管理方式。重要功效列表：功效分类功效概要状态检测针对TCP/IP合同的TCP/UDP/ICMP数据包，实现完整的状态包过滤，完全达成GB/T-18019《包过滤防火墙技术规定》的规定。智能过滤针对动态合同（涉及但不限于H.323、FTP、TFTP、OracleTNS、SIP等通信合同），提供基于合同分析的智能化动态包过滤功效，实时开闭使用程序动态协商的TCP/UDP端口，最大程度地提高防火墙的安全性。地址转换支持动态地址转换，涉及多对一的地址转换，多对多的地址转换。支持静态地址转换，涉及对内部服务器提供一对一的地址转换。支持双向地址转换，满足对等网络间双方隐藏内部IP地址的规定。支持基于下一跳路由的地址转换，满足多出口网络地址转换负载均衡的规定。端口映射支持将内部提供不同服务的多个服务器地址映射成外部相似地址下的不同端口，在端口映射状态下，可同时提供多个安全的网络服务。支持对内部镜像服务器访问的负载均衡使用代理提供基于TCP的HTTP代理、SMTP代理、FTP代理、TELNET代理、POP3代理以及基于方略的通用代理。支持在透明代理下基于HTTP、FTP、SMTP、POP3合同的内容过滤。内容过滤针对HTTP，对网页中java、javascrip、activeX进行过滤。针对SMTP、POP3，基于发信人地址、收信人地址、收信人数、文献大小、邮件主题、正文内容、发件人姓名、收件人姓名、附件文献名、附件内容等进行核心字匹配过滤。在状态包过滤方式下，支持URL过滤和特殊代码剥离，并支持黑/白名单过滤方略。连接管理提供保护主机、保护服务、限制主机、限制服务。保护服务器或服务器上提供的某项服务，限制对服务器过于频繁的访问。在规定的时间内，如果某台主机访问服务器超出了所限制的次数，则会对该主机实施阻断，在阻断时间段内，回绝其对服务器的全部访问。也能够使用此功效对使用BT/电驴等连接数目过大严重影响网络流量的顾客加以限制。顾客认证支持网络合同层顾客认证，可觉得包过滤、双向NAT、代理等访问控制提供顾客认证功效。提供基于电子钥匙的顾客身份认证。支持顾客和组管理，支持顾客方略控制（源IP绑定、可访问目的IP和服务），支持对顾客帐号的流量控制和时间控制。提供和原则radius服务器(PAP)联动的顾客认证。提供本地认证库实现基于角色的顾客方略，并和安全规则方略配合完毕强访问控制。支持PAP和S/Key认证合同。提供在线顾客监控功效。时间控制支持安全规则时间调度。支持顾客方略时间调度。支持一次性和周期性时间调度规则。带宽管理支持基于IP地址、使用合同的带宽管理。支持基于顾客的带宽管理（通过身份认证的顾客，能够指定带宽）。支持最小确保带宽和最大限制带宽设立。支持带宽优先级的设定。地址绑定提供IP/MAC地址绑定检查功效，可有效解决网络管理中IP地址盗用问题。能够设立绑定的默认方略，提供IP/MAC对的唯一性检查。提供地址对和网口的绑定功效，能够及时定位盗用正当IP/MAC地址对的非法顾客。提供IP/MAC自动探测功效。抗DoS攻击支持对回绝服务攻击的防备，能够防备syn_flood、pingflood、udpflood、teardrop、sweep、land、pingofdeath、smurf、碎片攻击、WINNUKE、圣诞树攻击等。配合防火墙上的IDS功效，能够抵抗更多个类的攻击。入侵联动支持和网御神州、启明星晨、中科网威、北方计算中心等主流入侵检测系统的联动。方略路由提供目的路由和源地址路由功效以及目的路由负载均衡。安全管理提供远程安全管理和本地管理功效。配备备份提供全中文web界面和专业化的命令行界面管理方式。提供专用带外管理口。通过管理员身份认证（电子钥匙认证或证书认证）、管理员级授权（涉及超级管理员、配备管理员、方略管理员、审计管理员）、管理主机限制、防火墙管理IP限制、防火墙管理方式定义（web管理/命令行管理/SSH方式/PPP+SSH连接）、配备信息加密（支持SSL合同和SSH合同），提供方便且安全的配备管理。支持配备的本地下载和上载。模块升级提供恢复防火墙出厂配备功效。提供灵活的软件升级方式，适应安全需求的快速响应。日志审计提供现在CPU和内存运用率监控。提供HA高可用状态监控。提供顾客在线状况监控，显示顾客名、登录IP、登录时间、在线时间、流入流量和流出流量，可根据安全方略实时中断某顾客的连接。提供连接数量和流量监控。在防火墙本地能够灵活地设立监测的时间间隔和显示方式。日志审计功效提供对防火墙系统事件和网络事件的统计、查询、分析。网络适应性通过SecGateManager安全管理系统能够对防火墙状态信息进行实时监控和统计分析。含有多个自适应网络接口，网口数目可扩展，在确保网络高度安全和数据完整的前提下，同时含有线速或靠近线速的网络解决性能。VLAN支持支持每个网络接口设定多个IP地址，支持网络接口模式的设定。支持ADSL拨号连接，自动以ADSL获得的地址为公网地址，用此地址对内部IP做地址转换。适应多个网络拓扑构造和VLAN环境（支持802.1q合同、Trunk合同和VLAN间访问控制等）。支持多个工作模式（涉及透明模式、纯路由模式、混合模式）。满足复杂网络环境的规定（防火墙冗余、防火墙旁路、防火墙跨接）。支持IEEE802.1Q合同。多合同支持支持vlantrunk合同，并能够对trunk口中的VLANID进行过滤。支持VTP链路聚合合同。支持STP合同和BPDU合同。在路由模式和桥模块下均支持VLAN间路由。管理口和HA口不支持VLAN合同。对TCP/UDP/ICMP合同的数据帧，根据安全规则建立状态检测，完毕动态包过滤。对非IP合同的数据帧，根据非IP合同过滤方略（允许或严禁