网络安全解决方案

1、网络安全解决方案一、 安全方案设计1、 方案概述我们为XXXXXX网络构架了一个整套的安全体系结构，整个体系中最基本单元是每台在线主机的安全，即安全体系中的每一个点；子网/局域网是体系中的块状组成部分，是安全体系中的各个面；整个安全体系由各个层次和面组成，形成安全体系的立体框架。我们知道实现网络安全不是一次可以完成的任务，需要不断根据网络环境和网络管理进行调整，我们设计的解决方案充分兼容今后的安全管理及优化的需求。基于以上的分析，我们建议以入侵检测系统、防火墙和网闸等安全产品对网络施以自动监控和防御，在各个面形成有效的防御体系，最后通过加强人员培训，提高管理水平，制定先进的安全策略，消除全网的

2、各种安全威胁，全面提高软件、硬件和人员的安全水平，形成一个牢固的，立体的网络安全防御体系。2、 总体设计依据我们的安全系统设计原则，并结合XXXX网络系统的实际情况和需求，采用一系列产品搭建安全防范体系，通过安全技术和管理手段，使安全产品充分发挥其安全保护的作用。首先，从安全区域上，我们将网络划分为：内网区和外网区，并采用天行安全隔离网闸将上述各个区域进行隔离，以对各个区域之间的相互访问进行访问控制，构成第一道安全防护体系。对于接入Internet的区域，都将Internet的LAN接口接在防火墙的接口上，从而实现对来自Internet的入侵的防护。第二，为了对保护重要服务器（如管理服务器、邮

3、件服务器、数据库服务器），特将这些重要的服务器放在同一网段，用天网防火墙进行访问控制，该网段称为核心防护区。可以使用原有网关处的防火墙的多网络接口功能，只多增加一个网络接口。第三，在服务器区的网络出口处部署天网网络入侵检测系统IDS，自动地对网络运行进行监控，对可疑的事件给予检测和响应，在主机和网络遭受破坏之前阻止非法的入侵行为。由于IDS是被动监听的特点，所以不产生流量不会影响网络的带宽。网络入侵检测系统可以和防火墙形成联动，当发现入侵行为，可自动通知防护墙动态改变规则，构造深层防御体系。3 1防火墙产品方案防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一

4、系列部件的组合，目的是为了保障“可信任的”网络安全并且维护“可信任的”网络与“不可信任的”网络之间通讯的方便。防火墙被设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网(Intranet)和互联网(Internet)之间的任何活动，保证了内部网络的安全。3.1.1防火墙部署在网络的网关处部署防火墙，拦截过滤所有的外部数据，将现有网络划分为物理上相互独立的三个网段：外部网

5、段（Public_Nework）中立网段（DMZ_Network）内部网段（Private_Network）其中，外部网段提供面向外部网的连接；中立网段放置各种提供数据库、Web服务器及邮件服务器；内部网段保护内部网络安全，并使数据库安全与中立区交换网络资源，以及对中立区内各服务设备进行更新和维护。安全策略为先关闭全部服务和端口，再开放部分服务和端口。分属三个安全区域的网段通过天网防火墙进行互连。No安全区域安全级别访问级别1外部网段低级无。提供网络连接。2中立网段中级外部可访问符合安全策略的网络资源；内部可以更新和维护。3内部网段高级可自由访问外部网络资源；对外不可见。天网防火墙特点及优势：

6、n 天网防火墙独特的DOS防御设计和专业的系统体系结构为众多的企业数据提供了最可靠的安全保障。n 网络地址转换（NAT）：隐藏在内部的IP地址n 动态访问过滤（Dynamic Filter）：自适应网络服务保护n 地址限定：限制站点的访问，过滤不需要的站点n 用户认证（Authentication）：只允许有授权的访问n 虚拟专用网（VPN）及控制n 流量控制及实时监控n 流量控制功能为网络管理员提供了全部监测和管理网络的信息，诸如DMZ服务器 负载平衡和带宽优先级设置等先进功能。 n 流量带宽控制及优先级设置。按您的需求管理流量 n 实时日志及报警纪录。攻时监控网络状态透明性及配置方便，无I

7、P地址设置。无须更改任何路由器及主机配置n 任意IP转换和DHCP服务器：理想的移动接人方案 n 管理简单，网址浏览器进行远程的配置管理，或用命令行界面进行本地管理。n SNMP管理方式：通过网络管理软件管理3.1.2天网防火墙技术参数技术特征： 采用专用硬件平台与专用的安全操作系统SNOS 基于状态检测的包过滤 支持TCP/IP、UDP、ICMP协议过滤 提供DHCP服务及PPPOE拨号服务 提供防火墙集中管理模块 支持SNMP网管功能，可与HP OPENVIEW集成，可查看CPU及内存情况 支持DMZ区，并且可以通过扩展网络接口增加管理区域 支持与天网入侵检测系统联动 具有路由模式、网桥模

8、式和网桥路由混用模式 DoS防御网关，有效的防止各种类型的DoS攻击，保护服务器群 TCP标志位检测功能，防止不法攻击者利用常用服务的低端口与内部主机的高端口的连接 支持对802.1q（VLAN）协议的过滤，可设置过滤规则 双向网络地址转换(NAT)，支持NAT环境下对FTP、H.323协议、GIOP协议、PPTP协议、XDMCP协议、ORACLE服务代理。 流量统计与流量限制，合理地分配网络流量，保证重要用户的带宽 网络接口可绑定255个IP地址 IP地址与MAC地址绑定，防止IP欺骗 多层登录权限控制 可设置可信主机对防火墙进行管理 实时系统监控，能观察系统的运行状态及网络连接状况 实时报

9、警，通过拨打电话和Email的方式报警 系统操作记录，记录系统管理员的所有操作情况 系统审计，记录系统日志情况 提供CONSOLE命令行管理、WEB图形化管理和基于SSH的登录管理 可支持升级网络黑洞功能,用于阻挡非法的网络探测 可支持升级网络数据记录功能,用于记录通过防火墙的数据类型和流量 可支持升级双机热备份,在瞬间自动切换不正常工作的防火墙系统 可支持升级PPTP VPN及IPSEC VPN，支持IKE 可支持升级SYN-DI防洪模块功能，抗拒高强度的DDoS攻击 可支持升级虚拟防火墙模块，支持数据中心应用技术指标： 基于SN0S操作系统 终端控制接口：RS-232,DTE, 9600-

10、8-N-1 吞吐量=99% 标准1U机箱硬件设计482W255D45Hmm 净重：3.5KG 工作温度：050（32122）；存放温度：1070（14158）；相对湿度：5 9540（不凝露） 安全标准：IEC60 950，EN 60 950，UL1950 电磁兼容性EMC：EN55022&EN55024，FCC CFR 47 Part 15 (B级) ， ICES-003(B级) ，CISPR 22(B级)，AS/NZS 3548(B级) ，VCCI(B级) 电源系统：200V240V, 4Amps(max), 300W(max) MTBF小时3.2天网入侵检测产品方案入侵检测系统可以实时地

11、检测网络的攻击行为，不论是来自于外部攻击还是内部的越权行为，IDS都能记录下来并及时报警。3.2.1入侵检测系统部署我们建议在服务器区安装一台网络型的入侵检测系统。如果采用天网防火墙，则入侵检测系统可以和防火墙形成联动，动态改变规则。同时由于IDS是被动监听的特点，所以不产生流量不会影响网络的带宽。在本方案中，我们推荐天网网络入侵检测系统。天网入侵检测系统为基于网络的入侵检测系统，它不仅能够实时的对网络内的数据进行协议分析和模式匹配，而且还能根据网络自身的需要建立起适合网络应用的安全策略，并根据检测的结果以及此略的违反情况来确定入侵行为，同时通过与防火墙的联动、主动响应或者控制主机入侵切断来做

12、出积极的相应，切断入侵行为的继续发生，保障内部网络的网络安全。有关详细介绍参见第二章产品介绍。以下部署天网入侵检测系统后的作用： 可以对所有进出内外网的数据进行监控（包括上网数据、邮件数据等等）； 可以对内部人员的上网行为进行监视、控制（控制上网时间、访问网址等）； 可以对外网、内网人员针对内部服务器的各种攻击进行监控（包括DOS攻击、扫描攻击、后门攻击、黑客代码攻击等）； 对内部网络状态监控，为优化网络管理作依据。 对于80%以上的网络病毒可以起到监控作用（常见的网络蠕虫病毒、冲击波病毒等）； 对于内部人员对数据库服务器的访问可以进行简单的监控 该系统的引入不会对现有网络的正常运行造成任何影

13、响； 该系统可以稳定运行在100M的网络环境下，完成对网络数据流的实时检测；3.2.2天网IDS技术参数产品功能： 提供基于对象的管理，能够按照主机、对象群、网络三种方式规划检测对象；能够设置根据IP划分检测对象； 支持检测对象的自动搜索与注册；支持检测对象的管理； 提供可视化的网络流量统计分析功能。 提供探测器的当前数据流量、单位时间内的包个数，单位时间内的会话数、数据包丢失率； 提供网络的二、三层图形化数据结构显示（TCP、UDP、ICMP、ARP）;支持应用层图形化数据结构显示（支持常见的HTTP、FTP、DNS、SMTP、POP3等等）；支持数据包大小的图形化显示； 支持事件统计，能够

14、统计最近一段事件内10大事件，被攻击最多的IP，攻击最多的IP，并能够图形化显示；支持自定义设置时间段； 支持自定义显示，支持按照目的地址、目的端口、来源地址、来源端口、说明、探测器和危险等级来自定义显示报警日志； 支持分布式应用和统一的管理平台，可实现集中式安全监控管理和配置管理；支持一个管理平台同时管理多个探测器，同时也支持一个探测器同时被多个管理器管理； 基于安全知识库与安全策略定义的自适应网络检测与安全响应。 支持协议脆弱性分析； 支持网络数据的会话管理，自定义会话时间； 支持日志的缩略及再分析，能够对于扫描所产生的大量日志进行缩略报警； 支持网络数据的统计分析，并可以自定义报警阀值；

15、 支持SNMP报警、E-mail报警、警告窗口报警、警告声音报警、执行特定程序报警； 支持基于MAC地址的认证，支持认证失败的账户锁定，支持密码的最长时间，画面锁定； 支持管理员用户和普通用户的添加、删除和管理； 支持规则库的自动化升级，自定义计划任务的自动升级；支持计划任务的自动备份；支持控制台程序的开始完整性检查和关闭时候的完整性检查，支持自定义的周期性完整性检查； 支持网络对象的网络策略设定，能够按照内网、外网和注册对象以及对象群进行协议、服务、时间的事件、分析和不启用方式进行定义网络检测策略； 支持控制台的备份，日志部分的部分备份和全备份和还原； 支持探测器的单个文件、数据库、注册表的

16、完整性检查； 支持规则库的在线升级和离线升级； 支持自定义安全规则的设定； 支持日志记录原始报文、支持按照会话的记录；支持主动响应； 支持和天网防火墙的联动；支持防火墙的锁定来源地址、锁定目的地址、锁定所有地址和锁定服务的设置； 支持一个探测器可以同时检测多个冲突域； 支持入侵切断系统的联动，构筑分布式防御系统 支持IP碎片以及会话的重组； 支持TAP设备监视整个网络； 以网络地址，网络服务，域约束网络信息流定义网络安全域。 采用透明工作方式，静静地监视本网段数据流，对网络通讯不附加任何时延。 可以监控用户对敏感信息的访问。 网络安全事件的自动响应。 支持八种以上（包含八种）文本格式的系统报告

17、；支持十二种（包含十二种）图形格式的统计报告；支持报告的题目设定、公司名称、用户、日志数据库选择、主机范围、以及探测器、目的IP、来源IP、目的端口、来源端口、协议、威胁程度、事件、时间等的设定； 支持对控制台的所有操作的记录和审计； 支持多个管理员之间的控制权的切换；产品技术指标： 标准机架硬件设计 百兆探测网口/千兆探测网口 1个10/100Base-TX管理网口 终端控制接口：RS-232,DTE, 9600-8-N-1 MTBF小时4 天行安全隔离网闸产品方案41 产品介绍基本理念是“保证内网高度安全的前提下，与外网进行适度、可控的数据交换”42 产品功能 支持HTTP应用代理，实现通过网闸安全浏览网页的功能。同时可对页面内容进行脚本、内容、URL、时间段等控制；支持交互式动态页面访问；支持对用户的认证功能 支持数据库应用代理，包括SQL Server、Oracle、Sybase、DB2等数据库的数据应用代理功能，实现对数据库的安全访问，并彻底保障数据库本身的安全 支持FTP文件传输应用代理，支持通过FTP进行文件安全传输 支持邮件功能，实现通过网闸安全收发电子邮件的功能，可对邮件内容、附件类型进行检查；支持对用户的认证功能 支持基于Socks的应用代理