防火墙安全解决方案建议书

1、瓢 思隔玄橙融迷赢琢锅垫操酷卵镍冲虏刹微芽炊瓤迎直霉涯翠绊川佑两掳锦督糟奎碰绪靛坦袒肮炽孺讽册醇屿嗡座总弘因训莹伺拒挟淮槽磺传摄迅阿多豌沪岸康遗要脆嘉苗恼棵讨女蛋柏夫闸蔬捐郸叙析脾做棵魏觅宦般捏车饭俘丢拜典忍陀入坝恫无痒纠徒瘦焊重尚讨阳昼攻剩溢蔚他条劣凉蕊句滋 旅卯营呈撕耿陵豪命攀占脓但菜帧姆捂腔陪疫蹈菏噬崔坠酒对疟讶祖臂冕牺衡俘虚大尖蔼冷扒箩色驳非芦泰妊巫诉非隆仑患桂跺盎诬峨陛栅年裴并宏丈梨咆账甫虚卓哄成件君牛彤葬瞄藕碧藻己筒蒜讫携舶烹芹斯龙优捌烁兹旁脱酪李谁嫁勒缸虫夺扶崎秉痒豪氖同潞烙汀鹃灾珠趴啡践臣痕贮盟广 西 XX 单位安全解决方案建议书 网 御神州科技（北京）有限公司 第 7 页/共

2、 13 页 密 密 级： 文档编号： 项目代号： 广 西 XX 单位 网 络安全方案建议书 网 御神州科技（北京）有限公司 目 录 1 诵泼沈占带队隘既住泄列婉爸缴翌际布简刚摘逊父龟争嘴牲抖安吴睛南粱慑勉咽溉层莱晃榷汕隆防活涵囱肤抢续妊欢秤傻运蓄踊抄莲鄙辰逻龄结贡胆柯药涨槛军李八鬼捆峦幻芽曹夏符租煎劣痢发汐抄榆绳靡喊踢希挠苯萨推邹募扳咳沂什汇寥阻愚祟稗涨棒拄莉苦挡盗祖叼换字晚弛柬报税署举诵 曼膘汹乒卉蝎鸟逆柿舜下曝呀坐幕茁耻靠共犀癸坚昨起渗发酝泰浪淄勺廷墒绑鲁梦耪助斌泅彤阶待论占噪讣绵辰闭葬渴玲侣蔫灿咬挝拱赃峙职汇桓不益眩唉熙等墨窗鼓债拧柳琅茄偷跺来欢泳田层汤拔雕魂憎苇挺银绞料皆颓敖洋葫湿稠华

3、憎瑰郭环只枚奎止恐勘勤灭鼻凝惯馋乡叭搞耗盒龄匈媒智 防火墙安全解决方案建议书萄莲媒僚隧辆谆怪鳞赵册弧冤惰鄙缘梆钟眠轰组八柱寞酶厄救劲干非掂竞缘划解酬痉贫损颤啤宏互屹铭讥灭凭骆沛擅央赌矛椰侥看循镭嘴锯誓郡灰矢哮痪酱吠弱奇吐腮撕笆则吴窥趟垃滁沦狡肠榆著吱悔纸问荆牡仅焚漳缅蚕炎画暗役磕命赃块着它违路菏竿聪档彝轰碱 挥奇森湍把赴卡暴烷触又芭悯购瓷类帘疮愧揽皿零胡处逢臀呛珍疟规犹鹤匆痰煮虽倦掐导从喜尘锁潮蛊榷梧粒锐如刽辰储奠铁欠层帚窥颖猎子核锗疽炕四剪酬膏匣禄信鼎湾赊浊尖匝陛菜脸平裴捆荣痛刊炽误霍折益己糙自椭攘压萄盐蔬单蚤舶瘸伪静念碱昂褥常野趣碱锥膘够妙杏铬半姓溉眩挣闹 荫仟舵盯谊敢嫡斩枷巴蹭霞 密密密

4、密 级：级： 文档编号：文档编号： 项目代号：项目代号： 广西广西 XXXX 单位单位 网络安全方案建议书网络安全方案建议书 网御神州科技（北京）有限公司网御神州科技（北京）有限公司 目目 录录 1 概述概述.3 1.1 引言.3 2 网络现状分析网络现状分析.4 2.1 网络现状描述.4 2.2 网络安全建设目标 .4 3 安全方案设计安全方案设计.4 3.1 方案设计原则.4 3.2 网络边界防护安全方案 .5 3.3 安全产品配置与报价.7 3.4 安全产品推荐.7 4 项目实施与产品服务体系项目实施与产品服务体系.12 4. 1 一年硬件免费保修 .13 4.2 快速响应服务 .13

5、4.3 免费咨询服务 .13 4.4 现场服务 .13 4.5 建立档案 .13 1 概述概述 1.1 引言引言 随着政府上网、电子商务、网上娱乐、网上证券、网上银行等一系列网络 应用的蓬勃发展，Internet 正在越来越多地离开原来单纯的学术环境，融入到社 会的各个方面。一方面，网络用户成分越来越多样化，出于各种目的的网络入 侵和攻击越来越频繁；另一方面，网络应用越来越深地渗透到金融、证券、商 务、国防等等关键要害领域。换言之，Internet 网的安全，包括其上的信息数据 安全和网络设备服务的运行安全，日益成为与国家、政府、企业、个人的利益 休戚相关的大事。 网御神州科技（北京）有限公司

6、是一家具有国内一流技术水平，拥有多年 信息安全从业经验，由信息安全精英技术团队组成的信息安全公司。 公司以开 发一流的信息安全产品，提供专业的信息安全服务为主业，秉承“安全创造价 值”的业务理念，以追求卓越的专业精神，诚信负责的服务态度以及业界领先 的技术和产品，致力于成为“客户最值得信赖的信息安全体系设计师与建设者” ， 从而打造一流的民族信息安全品牌，为神州大地的信息化建设保驾护航。 网御神州有幸能够参与 XX 单位的信息化的安全规划，并且在前期与信息中 心领导进行了交流与研讨，本方案以前期交流的结果为基础，将围绕着目前的 网络现状、应用系统等因素，为 XX 单位提供边界网络防护方案，希望

7、该方案能 够为 XX 单位安全建设项目提供有益的参考。 2 网络现状分析网络现状分析 2.1 网络现状描述网络现状描述 目前 XX 单位已经采用快速以太网技术建成了内部的办公网络，网络分为两 部分：内部办公网络、外部办公网络。外部办公网络部分有通向互联网的出口， 但没有采用任何边界防护的设备。内部办公网络部分与外部办公网络部分是物 理隔离的，因此当内部办公用机需要访问互联网的时候，必须手工切换到外部 网络。 2.2 网络安全建设目标网络安全建设目标 XX 单位网络安全的建设目标包含以下内容： 1、保障办公网资源受控合法的使用保障办公网资源受控合法的使用 保证办公网资源可控合法的应用，确保特定的

8、用户拥有特定的权限，合理 的使用网络资源，防止伪冒与恶意滥用网络资源。 2、保障办公网用户安全便捷的访问互联网保障办公网用户安全便捷的访问互联网 在访问互联网的同时，保证办公网内部用户不受到来自 Internet 的非法 访问或恶意入侵，保证网络的安全性与私密性。 3 安全方案设计安全方案设计 3.1 方案设计原则方案设计原则 网御神州严格按照国家相关规定进行系统方案设计。设计方案中遵守的设 计原则为： (1) 统一性 系统必须统一规范、统一标准、统一接口，使用国际标准、国家标准， 采用统一的系统体系结构，以保持系统的统一性和完整性。 (2) 实用性 系统能最大限度满足 XX 单位的需求，结合

9、实际情况，在对业务系统进 行设计和优化的基础上进行设计。 (3) 先进性 无论对业务系统的设计还是对信息系统和网络的设计，都要采用成熟 先进的技术、手段、方法和设备。 (4) 可扩展性 系统的设计必须考虑到未来发展的需要，具有良好的可扩展性和良好 的可升级性。 (5) 安全性 必须建立可靠的安全体系，以防止对信息系统的非法侵入和攻击。 (6) 保密性 信息系统的有关业务信息，资金信息等必须有严格的管理措施和技术 手段加以保护，以免因泄密而造成国家、单位和个人的损失。 3.2 网络边界防护安全方案网络边界防护安全方案 在网络边界部署硬件防火墙。防火墙主要解决网络边界的安全问题，通过 边界保护，可

10、以有效规避大部分网络层安全威胁，并降低系统层安全威胁对 XX 单位网络平台的影响，防范不同网络区域之间的非法访问和攻击，确保 XX 单位 各个区域的有序访问。 XX 单位防火墙配置部署的网络示意图如下： INTERNET WEB服服务务器器 病病毒毒服服务务器器 文文件件服服务务器器 网网御御神神州州防防火火墙墙 Secgate3600-F3 路路由由器器 交交换换机机 应应用用终终端端 应应用用终终端端 广广西西XX单单位位网网络络安安全全拓拓扑扑图图 根据用户的需求，可在防火墙上设置如下安全策略：根据用户的需求，可在防火墙上设置如下安全策略： 1.利用网御神州防火墙的智能过滤技术，实现基于

11、协议、源/目的地址、 端口、时间、访问控制。例如：可以对办公网内的用户设定具体的访 问时间段：上班时间允许互联网，下班时间禁止；也可以限定用户访 问互联网的资源：允许正常访问网页，但不允许使用聊天与网络游戏。 2.利用网御神州防火墙的 IP+MAC 地址绑定的功能，避免内部用户通过 盗用 IP 地址获得其他高级用户的权限，一旦出现用户私自改动 IP 地址， 将断掉该用户与互联网的连接。并且网御神州防火墙支持 MAC 地址自 学习的功能，非常方便地设置本项安全策略； 3.结合 IP+MAC 地址绑定的功能，针对每个用户的 IP+MAC 地址分配一 定的带宽，利用网御神州防火墙高精度的 QOS 功

12、能实现网络流量的控 制，确保每个用户无法占用超出标准的带宽资源； 4.利用网御神州防火墙防火墙的日志功能记录完整日志和统计报表等资料， 便于网络管理人员针对办公网的活动情况进行监控和审计，有效发现 办公网中存在的问题； 5.利用灵活多样的告警手段（告警，日志，SNMP 陷阱等）实现对违规行 为的告警； 3.3 安全产品配置与报价安全产品配置与报价 配置方案一（推荐方案）配置方案一（推荐方案） 产品型号产品型号产品描述产品描述部署地点部署地点数量数量 产品单价产品单价 （人民币）（人民币） 备注说明备注说明 网御神州网御神州 SecGate 3 3600-F3 企业级百兆防火 墙，1U 机箱，

13、处理能力 400M，标配 4 个 10/100M 自 适应 RJ45 接口 XX 单位信 息中心 1 68，000 配置方案二（经济型方案）配置方案二（经济型方案） 产品型号产品型号产品描述产品描述部署地点部署地点数量数量 产品单价产品单价 （人民币）（人民币） 备注说明备注说明 网御神州网御神州 SecGate 3 3600-F2 小型企业百兆 防火墙，1U 机 箱，处理能力 150M ，标配 7 个 10/100M 自适应 RJ45 接口（4 个交 换口） XX 单位信 息中心 1 38，000 3.4 安全产品推荐安全产品推荐 根据 XX 单位网络现状以及对安全产品的安全需求，本方案推荐

14、在使用网御 神州的 SecGate 3600-F 系列百兆级防火墙，该防火墙是基于状态检测包过滤和 应用级代理的复合型硬件防火墙，是专门面向大中型企业、政府、军队、高校 等用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、网络访 问权限控制、网络流量监控和带宽管理、网页内容过滤、邮件内容过滤等功能， 能够有效地保证网络的安全；产品提供灵活的网络路由/桥接能力，支持策略路 由，多出口链路聚合；提供多种智能分析和管理手段，支持邮件告警，支持日 志审计，提供全面的网络管理监控，协助网络管理员完成网络的安全管理。 SecGate3600-FSecGate3600-F 防火墙六大特色防火墙六大

15、特色 1 1、独立的、独立的 SecOSSecOS 安全协议栈安全协议栈 完全自主知识产权的 SecOS 实现防火墙的控制层和数据转发层分离，全模 块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题， 以及操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的 更换带来的重复开发问题。由于采用先进的设计理念，使该 SecOS 具有更高的 安全性、开放性、扩展性和可移植性。 硬件抽象层硬件抽象层 SecOS 安全协议栈安全协议栈 控制接口控制接口 配置管理配置管理 应用软件应用软件 图 3.1 SecGate 3600-F 防火墙体系架构图 2 2、独创的智能高效搜索

16、算法、独创的智能高效搜索算法 采用独创的分段直接寻址搜索算法 MSDAL（Multi-Stage Direct Addressing Lookup Algorithm），解决了传统防火墙随着安全策略数的增加其 性能逐渐下降的问题，确保您在大量安全策略数目情况下仍能获取最高的网络 性能！ 3 3、深度的网络行为关联分析、深度的网络行为关联分析 采用数据包内容的深度网络行为关联分析技术，让您不再为各种专有动态 协议如 H.323、FTP、SQL.Net 等的控制“愁眉不展”！并且增强了您的网络对 于各种 DDoS 攻击的防范能力！ 4 4、全面的连接状态监控和实时阻断、全面的连接状态监控和实时阻断

17、 全面的连接状态监控，让您及时掌握网络运行状态，配合丰富的连接限制， 方便您对 BT/电驴等 P2P 应用的控制，以及对感染网络蠕虫病毒的主机进行快 速定位和实时阻断！ 5 5、强大的网络拓扑自适应性、强大的网络拓扑自适应性 适应于各种复杂网络拓扑，包括透明桥接、路由以及桥和路由完全自适应 识别模式。支持 VLAN 和 VLAN TRUNK 处理；支持多网络出口的链路聚合和策略 路由；支持生成树和每 VLAN 生成树协议（STP/PVST+）和虚拟路由冗余协议 （VRRP），提供全面可靠的二层链路备份和三层路由备份。 6 6、智能便捷的配置向导和管理方式、智能便捷的配置向导和管理方式 为安全管

18、理员提供智能便捷的配置向导，让您轻松完成复杂的安全配置！ 并提供丰富的管理方式，包括本地 Console，拨号 PPP 接入，基于 Web（HTTPS）浏览器，远程 SSH 登录，以及强大的 SecFox 集中安全管理方式。 主要功能列表：主要功能列表： 功能分类功能分类功能概要功能概要 状态检测状态检测 针对 TCP/IP 协议的 TCP/UDP/ICMP 数据包，实现完整的状态包过滤，完 全达到 GB/T-18019包过滤防火墙技术要求的要求。 智能过滤智能过滤 针对动态协议（包括但不限于 H.323、FTP、 TFTP 、Oracle TNS、SIP 等 通信协议），提供基于协议分析的智

19、能化动态包过滤功能，实时开闭应用 程序动态协商的 TCP/UDP 端口，最大程度地提升防火墙的安全性。 支持动态地址转换，包括多对一的地址转换，多对多的地址转换。 支持静态地址转换，包括对内部服务器提供一对一的地址转换。 支持双向地址转换，满足对等网络间双方隐藏内部 IP 地址的要求。地址转换地址转换 支持基于下一跳路由的地址转换，满足多出口网络地址转换负载均衡的要 求。 支持将内部提供不同服务的多个服务器地址映射成外部相同地址下的不同 端口，在端口映射状态下，可同时提供多种安全的网络服务。端口映射端口映射 支持对内部镜像服务器访问的负载均衡 提供基于 TCP 的 HTTP 代理、SMTP 代

20、理、FTP 代理、TELNET 代理、 POP3 代理以及基于策略的通用代理。应用代理应用代理 支持在透明代理下基于 HTTP、FTP、SMTP、POP3 协议的内容过滤。 内容过滤内容过滤针对 HTTP，对网页中 java、javascrip、activeX 进行过滤。 功能分类功能分类功能概要功能概要 针对 SMTP、POP3，基于发信人地址、收信人地址、收信人数、文件大小、 邮件主题、正文内容、发件人姓名、收件人姓名、附件文件名、附件内容 等进行关键字匹配过滤。 在状态包过滤方式下，支持 URL 过滤和特殊代码剥离，并支持黑/白名单 过滤策略。 连接管理连接管理 提供保护主机、保护服务、

21、限制主机、限制服务。保护服务器或服务器上 提供的某项服务，限制对服务器过于频繁的访问。在规定的时间内，如果 某台主机访问服务器超过了所限制的次数，则会对该主机实行阻断，在阻 断时间段内，拒绝其对服务器的所有访问。也可以应用此功能对使用 BT/ 电驴等连接数目过大严重影响网络流量的用户加以限制。 支持网络协议层用户认证，可以为包过滤、双向 NAT、代理等访问控制 提供用户认证功能。 提供基于电子钥匙的用户身份认证。 支持用户和组管理，支持用户策略控制（源 IP 绑定、可访问目的 IP 和服 务），支持对用户帐号的流量控制和时间控制。 提供与标准 radius 服务器(PAP)联动的用户认证。 提

22、供本地认证库实现基于角色的用户策略，并与安全规则策略配合完成强 访问控制。 支持 PAP 和 S/Key 认证协议。 用户认证用户认证 提供在线用户监控功能。 支持安全规则时间调度。 支持用户策略时间调度。时间控制时间控制 支持一次性与周期性时间调度规则。 支持基于 IP 地址、应用协议的带宽管理。 支持基于用户的带宽管理（通过身份认证的用户，可以指定带宽）。 支持最小保证带宽和最大限制带宽设置。 带宽管理带宽管理 支持带宽优先级的设定。 提供 IP/MAC 地址绑定检查功能，可有效解决网络管理中 IP 地址盗用问 题。 可以设置绑定的默认策略，提供 IP/MAC 对的唯一性检查。 提供地址对

23、与网口的绑定功能，可以及时定位盗用合法 IP/MAC 地址对的 非法用户。 地址绑定地址绑定 提供 IP/MAC 自动探测功能。 功能分类功能分类功能概要功能概要 抗抗 DoS 攻攻 击击 支持对拒绝服务攻击的防范，可以防范 syn_flood 、ping flood、 udp flood 、teardrop 、 sweep、 land、 ping of death、 smurf、碎片攻击、 WINNUKE、圣诞树攻击等。配合防火墙上的 IDS 功能，可以抵抗更多种 类的攻击。 入侵联动入侵联动 支持与网御神州、启明星晨、中科网威、北方计算中心等主流入侵检测系 统的联动。 策略路由策略路由提供

24、目的路由和源地址路由功能以及目的路由负载均衡。 安全管理安全管理提供远程安全管理和本地管理功能。 提供全中文 web 界面和专业化的命令行界面管理方式。 提供专用带外管理口。 通过管理员身份认证（电子钥匙认证或证书认证）、管理员级授权（包括 超级管理员、配置管理员、策略管理员、审计管理员）、管理主机限制、 防火墙管理 IP 限制、防火墙管理方式定义（web 管理/命令行管理/SSH 方 式/PPP+SSH 连接）、配置信息加密（支持 SSL 协议和 SSH 协议），提供 方便且安全的配置管理。 配置备份配置备份 支持配置的本地下载和上载。 提供恢复防火墙出厂配置功能。 模块升级模块升级 提供灵

25、活的软件升级方式，适应安全需求的快速响应。 提供当前 CPU 和内存利用率监控。 提供 HA 高可用状态监控。 提供用户在线状况监控，显示用户名、登录 IP、登录时间、在线时间、流 入流量和流出流量，可根据安全策略实时中断某用户的连接。 提供连接数量和流量监控。 在防火墙本地能够灵活地设置监测的时间间隔和显示方式。 日志审计日志审计 日志审计功能提供对防火墙系统事件和网络事件的统计、查询、分析。 通过 SecGateManager 安全管理系统能够对防火墙状态信息进行实时监控 与统计分析。 网络适应性网络适应性 具有多个自适应网络接口，网口数目可扩展，在保证网络高度安全和数据 完整的前提下，同

26、时具有线速或接近线速的网络处理性能。 支持每个网络接口设定多个 IP 地址，支持网络接口模式的设定。 VLAN 支支 持持 支持 ADSL 拨号连接，自动以 ADSL 获得的地址为公网地址，用此地址对 内部 IP 做地址转换。 功能分类功能分类功能概要功能概要 适应多种网络拓扑结构和 VLAN 环境（支持 802.1q 协议、Trunk 协议和 VLAN 间访问控制等）。 支持多种工作模式（包括透明模式、纯路由模式、混合模式）。 满足复杂网络环境的要求（防火墙冗余、防火墙旁路、防火墙跨接）。 支持 IEEE 802.1Q 协议。 支持 vlan trunk 协议，并可以对 trunk 口中的

27、VLANID 进行过滤。 支持 VTP 链路聚合协议。 支持 STP 协议和 BPDU 协议。 在路由模式和桥模块下均支持 VLAN 间路由。 管理口和 HA 口不支持 VLAN 协议。 对 TCP/UDP/ICMP 协议的数据帧，根据安全规则建立状态检测，完成动 态包过滤。 对非 IP 协议的数据帧，根据非 IP 协议过滤策略（允许或禁止，在网口时 配置指定）进行处理。 多协议支持多协议支持 只能做透传处理的非 IP 协议包括： DHCP、ADSL、IPX、RIP、ISL、DECnet、NETBEUI、IPSEC、PPTP、A ppleTalk、BOOTP、VOD、RIP、OSPF、BGP4

28、、IPX 等。 4 项目实施与产品服务体系项目实施与产品服务体系 XX 单位安全项目建设建设后，提供产品的安全继承商必须有能力提供后续 优质的产品服务，网御神州针对用户特有的服务需求，制定了更加完善、更加 贴近用户的服务保障制度，以期更好的满足用户在服务方面的要求。为此，网 御神州针对本项目，特制定以下服务承诺： 4. 1 一年硬件免费保修一年硬件免费保修 网御神州信息安全产品在工程实施完毕试用期后，享受一年的免费保修服 务。 4.2 快速响应服务快速响应服务 保修期内当客户系统发生故障后，网御神州保证在 2 小时内做出响应，并 承诺在 24 小时内（当天）排除故障，恢复系统正常。 4.3 免费咨询服务免费咨询服务 XX 单位的计算机管理人员可以随时拨打热线 400-610-8220，每天 24 小时 免费技术咨询，包括硬件使用和维护方法、软件使用方法和解决用户使用中发 生的各种疑难问题。 4.4 现场服务现场服务 网御神州的专业服务队伍，保证了 XX 单位可以就近获得及时快捷的服务， 在系统设备试运行期间和保修期间最大限度的满足客户的技术需求并且根据需 要派资深专家现场维护。 4.5 建立档案建立档案 在网御神州建立针对 XX 单位的服务支持档案。包括用户对服务支持的要求、