防火墻安全解決方案建議書

密密級：

文檔編號：

項目代號：廣西XX單位網(wǎng)絡(luò)安全方案建議書網(wǎng)御神州科技（北京）有限公司

目錄1概述 31.1引言 32網(wǎng)絡(luò)現(xiàn)狀分析 42.1網(wǎng)絡(luò)現(xiàn)狀描述 42.2網(wǎng)絡(luò)安全建設(shè)目標(biāo) 43安全方案設(shè)計 43.1方案設(shè)計原則 43.2網(wǎng)絡(luò)邊界防護(hù)安全方案 53.3安全產(chǎn)品配置和報價 73.4安全產(chǎn)品推薦 74項目實施和產(chǎn)品服務(wù)體系 124.1一年硬件免費保修 134.2快速響應(yīng)服務(wù) 134.3免費咨詢服務(wù) 134.4現(xiàn)場服務(wù) 134.5建立檔案 131概述1.1引言隨著政府上網(wǎng)、電子商務(wù)、網(wǎng)上娛樂、網(wǎng)上證券、網(wǎng)上銀行等一系列網(wǎng)絡(luò)使用的蓬勃發(fā)展，Internet正在越來越多地離開原來單純的學(xué)術(shù)環(huán)境，融入到社會的各個方面。一方面，網(wǎng)絡(luò)用戶成分越來越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁；另一方面，網(wǎng)絡(luò)使用越來越深地滲透到金融、證券、商務(wù)、國防等等關(guān)鍵要害領(lǐng)域。換言之，Internet網(wǎng)的安全，包括其上的信息數(shù)據(jù)安全和網(wǎng)絡(luò)設(shè)備服務(wù)的運行安全，日益成為和國家、政府、企業(yè)、個人的利益休戚相關(guān)的大事。網(wǎng)御神州科技（北京）有限公司是一家具有國內(nèi)一流技術(shù)水平，擁有多年信息安全從業(yè)經(jīng)驗，由信息安全精英技術(shù)團(tuán)隊組成的信息安全公司。

公司以開發(fā)一流的信息安全產(chǎn)品，提供專業(yè)的信息安全服務(wù)為主業(yè)，秉承“安全創(chuàng)造價值”的業(yè)務(wù)理念，以追求卓越的專業(yè)精神，誠信負(fù)責(zé)的服務(wù)態(tài)度以及業(yè)界領(lǐng)先的技術(shù)和產(chǎn)品，致力于成為“客戶最值得信賴的信息安全體系設(shè)計師和建設(shè)者”，從而打造一流的民族信息安全品牌，為神州大地的信息化建設(shè)保駕護(hù)航。

網(wǎng)御神州有幸能夠參和XX單位的信息化的安全規(guī)劃，并且在前期和信息中心領(lǐng)導(dǎo)進(jìn)行了交流和研討，本方案以前期交流的結(jié)果為基礎(chǔ)，將圍繞著目前的網(wǎng)絡(luò)現(xiàn)狀、使用系統(tǒng)等因素，為XX單位提供邊界網(wǎng)絡(luò)防護(hù)方案，希望該方案能夠為XX單位安全建設(shè)項目提供有益的參考。2網(wǎng)絡(luò)現(xiàn)狀分析2.1網(wǎng)絡(luò)現(xiàn)狀描述目前XX單位已經(jīng)采用快速以太網(wǎng)技術(shù)建成了內(nèi)部的辦公網(wǎng)絡(luò)，網(wǎng)絡(luò)分為兩部分：內(nèi)部辦公網(wǎng)絡(luò)、外部辦公網(wǎng)絡(luò)。外部辦公網(wǎng)絡(luò)部分有通向互聯(lián)網(wǎng)的出口，但沒有采用任何邊界防護(hù)的設(shè)備。內(nèi)部辦公網(wǎng)絡(luò)部分和外部辦公網(wǎng)絡(luò)部分是物理隔離的，因此當(dāng)內(nèi)部辦公用機(jī)需要訪問互聯(lián)網(wǎng)的時候，必須手工切換到外部網(wǎng)絡(luò)。2.2網(wǎng)絡(luò)安全建設(shè)目標(biāo)XX單位網(wǎng)絡(luò)安全的建設(shè)目標(biāo)包含以下內(nèi)容：保障辦公網(wǎng)資源受控合法的使用保證辦公網(wǎng)資源可控合法的使用，確保特定的用戶擁有特定的權(quán)限，合理的使用網(wǎng)絡(luò)資源，防止偽冒和惡意濫用網(wǎng)絡(luò)資源。保障辦公網(wǎng)用戶安全便捷的訪問互聯(lián)網(wǎng)在訪問互聯(lián)網(wǎng)的同時，保證辦公網(wǎng)內(nèi)部用戶不受到來自Internet的非法訪問或惡意入侵，保證網(wǎng)絡(luò)的安全性和私密性。3安全方案設(shè)計3.1方案設(shè)計原則網(wǎng)御神州嚴(yán)格按照國家相關(guān)規(guī)定進(jìn)行系統(tǒng)方案設(shè)計。設(shè)計方案中遵守的設(shè)計原則為：統(tǒng)一性 系統(tǒng)必須統(tǒng)一規(guī)范、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一接口，使用國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)，采用統(tǒng)一的系統(tǒng)體系結(jié)構(gòu)，以保持系統(tǒng)的統(tǒng)一性和完整性。實用性系統(tǒng)能最大限度滿足XX單位的需求，結(jié)合實際情況，在對業(yè)務(wù)系統(tǒng)進(jìn)行設(shè)計和優(yōu)化的基礎(chǔ)上進(jìn)行設(shè)計。先進(jìn)性無論對業(yè)務(wù)系統(tǒng)的設(shè)計還是對信息系統(tǒng)和網(wǎng)絡(luò)的設(shè)計，都要采用成熟先進(jìn)的技術(shù)、手段、方法和設(shè)備。可擴(kuò)展性系統(tǒng)的設(shè)計必須考慮到未來發(fā)展的需要，具有良好的可擴(kuò)展性和良好的可升級性。安全性必須建立可靠的安全體系，以防止對信息系統(tǒng)的非法侵入和攻擊。保密性信息系統(tǒng)的有關(guān)業(yè)務(wù)信息，資金信息等必須有嚴(yán)格的管理措施和技術(shù)手段加以保護(hù)，以免因泄密而造成國家、單位和個人的損失。3.2網(wǎng)絡(luò)邊界防護(hù)安全方案在網(wǎng)絡(luò)邊界部署硬件防火墻。防火墻主要解決網(wǎng)絡(luò)邊界的安全問題，通過邊界保護(hù)，可以有效規(guī)避大部分網(wǎng)絡(luò)層安全威脅，并降低系統(tǒng)層安全威脅對XX單位網(wǎng)絡(luò)平臺的影響，防范不同網(wǎng)絡(luò)區(qū)域之間的非法訪問和攻擊，確保XX單位各個區(qū)域的有序訪問。XX單位防火墻配置部署的網(wǎng)絡(luò)示意圖如下：根據(jù)用戶的需求，可在防火墻上設(shè)置如下安全策略：利用網(wǎng)御神州防火墻的智能過濾技術(shù)，實現(xiàn)基于協(xié)議、源/目的地址、端口、時間、訪問控制。例如：可以對辦公網(wǎng)內(nèi)的用戶設(shè)定具體的訪問時間段：上班時間允許互聯(lián)網(wǎng)，下班時間禁止；也可以限定用戶訪問互聯(lián)網(wǎng)的資源：允許正常訪問網(wǎng)頁，但不允許使用聊天和網(wǎng)絡(luò)游戲。利用網(wǎng)御神州防火墻的IP+MAC地址綁定的功能，避免內(nèi)部用戶通過盜用IP地址獲得其他高級用戶的權(quán)限，一旦出現(xiàn)用戶私自改動IP地址，將斷掉該用戶和互聯(lián)網(wǎng)的連接。并且網(wǎng)御神州防火墻支持MAC地址自學(xué)習(xí)的功能，非常方便地設(shè)置本項安全策略；結(jié)合IP+MAC地址綁定的功能，針對每個用戶的IP+MAC地址分配一定的帶寬，利用網(wǎng)御神州防火墻高精度的QOS功能實現(xiàn)網(wǎng)絡(luò)流量的控制，確保每個用戶無法占用超出標(biāo)準(zhǔn)的帶寬資源；利用網(wǎng)御神州防火墻防火墻的日志功能記錄完整日志和統(tǒng)計報表等資料，便于網(wǎng)絡(luò)管理人員針對辦公網(wǎng)的活動情況進(jìn)行監(jiān)控和審計，有效發(fā)現(xiàn)辦公網(wǎng)中存在的問題；利用靈活多樣的告警手段（告警，日志，SNMP陷阱等）實現(xiàn)對違規(guī)行為的告警；3.3安全產(chǎn)品配置和報價配置方案一（推薦方案）產(chǎn)品型號產(chǎn)品描述部署地點數(shù)量產(chǎn)品單價（人民幣）備注說明網(wǎng)御神州SecGate3600-F3企業(yè)級百兆防火墻，1U機(jī)箱，處理能力400M，標(biāo)配4XX單位信息中心168，000配置方案二（經(jīng)濟(jì)型方案）產(chǎn)品型號產(chǎn)品描述部署地點數(shù)量產(chǎn)品單價（人民幣）備注說明網(wǎng)御神州SecGate3600-F2小型企業(yè)百兆防火墻，1U機(jī)箱，處理能力150M，標(biāo)配7個10/100M自適應(yīng)RJ45接口XX單位信息中心138，0003.4安全產(chǎn)品推薦根據(jù)XX單位網(wǎng)絡(luò)現(xiàn)狀以及對安全產(chǎn)品的安全需求，本方案推薦在使用網(wǎng)御神州的SecGate3600-F系列百兆級防火墻，該防火墻是基于狀態(tài)檢測包過濾和使用級代理的復(fù)合型硬件防火墻，是專門面向大中型企業(yè)、政府、軍隊、高校等用戶開發(fā)的新一代專業(yè)防火墻設(shè)備。支持外部攻擊防范、內(nèi)網(wǎng)安全、網(wǎng)絡(luò)訪問權(quán)限控制、網(wǎng)絡(luò)流量監(jiān)控和帶寬管理、網(wǎng)頁內(nèi)容過濾、郵件內(nèi)容過濾等功能，能夠有效地保證網(wǎng)絡(luò)的安全；產(chǎn)品提供靈活的網(wǎng)絡(luò)路由/橋接能力，支持策略路由，多出口鏈路聚合；提供多種智能分析和管理手段，支持郵件告警，支持日志審計，提供全面的網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理。SecGate3600-F防火墻六大特色1、獨立的SecOS安全協(xié)議棧完全自主知識產(chǎn)權(quán)的SecOS實現(xiàn)防火墻的控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層分離，全模塊化設(shè)計，實現(xiàn)獨立的安全協(xié)議棧，消除了因操作系統(tǒng)漏洞帶來的安全性問題，以及操作系統(tǒng)升級、維護(hù)對防火墻功能的影響。同時也減少了因為硬件平臺的更換帶來的重復(fù)開發(fā)問題。由于采用先進(jìn)的設(shè)計理念，使該SecOS具有更高的安全性、開放性、擴(kuò)展性和可移植性。硬件抽象層硬件抽象層SecOS安全協(xié)議?？刂平涌谂渲霉芾硎褂密浖D3.1SecGate3600-F防火墻體系架構(gòu)圖2、獨創(chuàng)的智能高效搜索算法采用獨創(chuàng)的分段直接尋址搜索算法MSDAL（Multi-StageDirectAddressingLookupAlgorithm），解決了傳統(tǒng)防火墻隨著安全策略數(shù)的增加其性能逐漸下降的問題，確保您在大量安全策略數(shù)目情況下仍能獲取最高的網(wǎng)絡(luò)性能！3、深度的網(wǎng)絡(luò)行為關(guān)聯(lián)分析采用數(shù)據(jù)包內(nèi)容的深度網(wǎng)絡(luò)行為關(guān)聯(lián)分析技術(shù)，讓您不再為各種專有動態(tài)協(xié)議如H.323、FTP、SQL.Net等的控制“愁眉不展”！并且增強(qiáng)了您的網(wǎng)絡(luò)對于各種DDoS攻擊的防范能力！4、全面的連接狀態(tài)監(jiān)控和實時阻斷全面的連接狀態(tài)監(jiān)控，讓您及時掌握網(wǎng)絡(luò)運行狀態(tài)，配合豐富的連接限制，方便您對BT/電驢等P2P使用的控制，以及對感染網(wǎng)絡(luò)蠕蟲病毒的主機(jī)進(jìn)行快速定位和實時阻斷！5、強(qiáng)大的網(wǎng)絡(luò)拓?fù)渥赃m應(yīng)性適應(yīng)于各種復(fù)雜網(wǎng)絡(luò)拓?fù)洌ㄍ该鳂蚪?、路由以及橋和路由完全自適應(yīng)識別模式。支持VLAN和VLANTRUNK處理；支持多網(wǎng)絡(luò)出口的鏈路聚合和策略路由；支持生成樹和每VLAN生成樹協(xié)議（STP/PVST+）和虛擬路由冗余協(xié)議（VRRP），提供全面可靠的二層鏈路備份和三層路由備份。6、智能便捷的配置向?qū)Ш凸芾矸绞綖榘踩芾韱T提供智能便捷的配置向?qū)?，讓您輕松完成復(fù)雜的安全配置！并提供豐富的管理方式，包括本地Console，撥號PPP接入，基于Web（HTTPS）瀏覽器，遠(yuǎn)程SSH登錄，以及強(qiáng)大的SecFox集中安全管理方式。主要功能列表：功能分類功能概要狀態(tài)檢測針對TCP/IP協(xié)議的TCP/UDP/ICMP數(shù)據(jù)包，實現(xiàn)完整的狀態(tài)包過濾，完全達(dá)到GB/T-18019《包過濾防火墻技術(shù)要求》的要求。智能過濾針對動態(tài)協(xié)議（包括但不限于H.323、FTP、TFTP、OracleTNS、SIP等通信協(xié)議），提供基于協(xié)議分析的智能化動態(tài)包過濾功能，實時開閉使用程序動態(tài)協(xié)商的TCP/UDP端口，最大程度地提升防火墻的安全性。地址轉(zhuǎn)換支持動態(tài)地址轉(zhuǎn)換，包括多對一的地址轉(zhuǎn)換，多對多的地址轉(zhuǎn)換。支持靜態(tài)地址轉(zhuǎn)換，包括對內(nèi)部服務(wù)器提供一對一的地址轉(zhuǎn)換。支持雙向地址轉(zhuǎn)換，滿足對等網(wǎng)絡(luò)間雙方隱藏內(nèi)部IP地址的要求。支持基于下一跳路由的地址轉(zhuǎn)換，滿足多出口網(wǎng)絡(luò)地址轉(zhuǎn)換負(fù)載均衡的要求。端口映射支持將內(nèi)部提供不同服務(wù)的多個服務(wù)器地址映射成外部相同地址下的不同端口，在端口映射狀態(tài)下，可同時提供多種安全的網(wǎng)絡(luò)服務(wù)。支持對內(nèi)部鏡像服務(wù)器訪問的負(fù)載均衡使用代理提供基于TCP的HTTP代理、SMTP代理、FTP代理、TELNET代理、POP3代理以及基于策略的通用代理。支持在透明代理下基于HTTP、FTP、SMTP、POP3協(xié)議的內(nèi)容過濾。內(nèi)容過濾針對HTTP，對網(wǎng)頁中java、javascrip、activeX進(jìn)行過濾。針對SMTP、POP3，基于發(fā)信人地址、收信人地址、收信人數(shù)、文件大小、郵件主題、正文內(nèi)容、發(fā)件人姓名、收件人姓名、附件文件名、附件內(nèi)容等進(jìn)行關(guān)鍵字匹配過濾。在狀態(tài)包過濾方式下，支持URL過濾和特殊代碼剝離，并支持黑/白名單過濾策略。連接管理提供保護(hù)主機(jī)、保護(hù)服務(wù)、限制主機(jī)、限制服務(wù)。保護(hù)服務(wù)器或服務(wù)器上提供的某項服務(wù)，限制對服務(wù)器過于頻繁的訪問。在規(guī)定的時間內(nèi)，如果某臺主機(jī)訪問服務(wù)器超過了所限制的次數(shù)，則會對該主機(jī)實行阻斷，在阻斷時間段內(nèi)，拒絕其對服務(wù)器的所有訪問。也可以使用此功能對使用BT/電驢等連接數(shù)目過大嚴(yán)重影響網(wǎng)絡(luò)流量的用戶加以限制。用戶認(rèn)證支持網(wǎng)絡(luò)協(xié)議層用戶認(rèn)證，可以為包過濾、雙向NAT、代理等訪問控制提供用戶認(rèn)證功能。提供基于電子鑰匙的用戶身份認(rèn)證。支持用戶和組管理，支持用戶策略控制（源IP綁定、可訪問目的IP和服務(wù)），支持對用戶帳號的流量控制和時間控制。提供和標(biāo)準(zhǔn)radius服務(wù)器(PAP)聯(lián)動的用戶認(rèn)證。提供本地認(rèn)證庫實現(xiàn)基于角色的用戶策略，并和安全規(guī)則策略配合完成強(qiáng)訪問控制。支持PAP和S/Key認(rèn)證協(xié)議。提供在線用戶監(jiān)控功能。時間控制支持安全規(guī)則時間調(diào)度。支持用戶策略時間調(diào)度。支持一次性和周期性時間調(diào)度規(guī)則。帶寬管理支持基于IP地址、使用協(xié)議的帶寬管理。支持基于用戶的帶寬管理（通過身份認(rèn)證的用戶，可以指定帶寬）。支持最小保證帶寬和最大限制帶寬設(shè)置。支持帶寬優(yōu)先級的設(shè)定。地址綁定提供IP/MAC地址綁定檢查功能，可有效解決網(wǎng)絡(luò)管理中IP地址盜用問題?？梢栽O(shè)置綁定的默認(rèn)策略，提供IP/MAC對的唯一性檢查。提供地址對和網(wǎng)口的綁定功能，可以及時定位盜用合法IP/MAC地址對的非法用戶。提供IP/MAC自動探測功能?？笵oS攻擊支持對拒絕服務(wù)攻擊的防范，可以防范syn_flood、pingflood、udpflood、teardrop、sweep、land、pingofdeath、smurf、碎片攻擊、WINNUKE、圣誕樹攻擊等。配合防火墻上的IDS功能，可以抵抗更多種類的攻擊。入侵聯(lián)動支持和網(wǎng)御神州、啟明星晨、中科網(wǎng)威、北方計算中心等主流入侵檢測系統(tǒng)的聯(lián)動。策略路由提供目的路由和源地址路由功能以及目的路由負(fù)載均衡。安全管理提供遠(yuǎn)程安全管理和本地管理功能。配置備份提供全中文web界面和專業(yè)化的命令行界面管理方式。提供專用帶外管理口。通過管理員身份認(rèn)證（電子鑰匙認(rèn)證或證書認(rèn)證）、管理員級授權(quán)（包括超級管理員、配置管理員、策略管理員、審計管理員）、管理主機(jī)限制、防火墻管理IP限制、防火墻管理方式定義（web管理/命令行管理/SSH方式/PPP+SSH連接）、配置信息加密（支持SSL協(xié)議和SSH協(xié)議），提供方便且安全的配置管理。支持配置的本地下載和上載。模塊升級提供恢復(fù)防火墻出廠配置功能。提供靈活的軟件升級方式，適應(yīng)安全需求的快速響應(yīng)。日志審計提供當(dāng)前CPU和內(nèi)存利用率監(jiān)控。提供HA高可用狀態(tài)監(jiān)控。提供用戶在線狀況監(jiān)控，顯示用戶名、登錄IP、登錄時間、在線時間、流入流量和流出流量，可根據(jù)安全策略實時中斷某用戶的連接。提供連接數(shù)量和流量監(jiān)控。在防火墻本地能夠靈活地設(shè)置監(jiān)測的時間間隔和顯示方式。日志審計功能提供對防火墻系統(tǒng)事件和網(wǎng)絡(luò)事件的統(tǒng)計、查詢、分析。網(wǎng)絡(luò)適應(yīng)性通過SecGateManager安全管理系統(tǒng)能夠?qū)Ψ阑饓顟B(tài)信息進(jìn)行實時監(jiān)控和統(tǒng)計分析。具有多個自適應(yīng)網(wǎng)絡(luò)接口，網(wǎng)口數(shù)目可擴(kuò)展，在保證網(wǎng)絡(luò)高度安全和數(shù)據(jù)完整的前提下，同時具有線速或接近線速的網(wǎng)絡(luò)處理性能。VLAN支持支持每個網(wǎng)絡(luò)接口設(shè)定多個IP地址，支持網(wǎng)絡(luò)接口模式的設(shè)定。支持ADSL撥號連接，自動以ADSL獲得的地址為公網(wǎng)地址，用此地址對內(nèi)部IP做地址轉(zhuǎn)換。適應(yīng)多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和VLAN環(huán)境（支持802.1q協(xié)議、Trunk協(xié)議和VLAN間訪問控制等）。支持多種工作模式（包括透明模式、純路由模式、混合模式）。滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的要求（防火墻冗余、防火墻旁路、防火墻跨接）。支持IEEE802.1Q協(xié)議。多協(xié)議支持支持vlantrunk協(xié)議，并可以對trunk口中的VLANID進(jìn)行過濾。支持VTP鏈路聚合協(xié)議。支持STP協(xié)議和BPDU協(xié)議。在路由模式和橋模塊下均支持VLAN間路由。管理口和HA口不支持VLAN協(xié)議。對TCP/UDP/ICMP協(xié)議的數(shù)據(jù)幀，根據(jù)安全規(guī)則建立狀態(tài)檢測，完成動態(tài)包過濾。對非IP協(xié)議的數(shù)據(jù)幀，根據(jù)非IP協(xié)議過濾策略（允許或禁