XX税务所网络边界安全防护方案(共18页).doc

《XX税务所网络边界安全防护方案(共18页).doc》由会员分享，可在线阅读，更多相关《XX税务所网络边界安全防护方案(共18页).doc（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上XX税务所网络边界安全防护方案VER 1.02010-3-22目录一、 方案概述XX税务所内部局域网作为服务于全单位日常办公和行政管理的计算机信息网络，实现了单位内计算机连网、信息资源共享，并与Internet互联。税务所内部局域网络与Internet之间没有部署任何安全防护设备，整个税务所内部局域网络完全暴露在外部，流行于互联网的网络病毒、木马及恶意软件严重威胁着税务所内部网络，因此XX税务所急需在内部网络和互联网边界部署安全防护产品，防护来自互联网的各种威胁。网御神州对XX税务所当前所面临的各种威胁和风险进行了细致的分析和判断之后，结合网御神州在信息安全领域内多年

2、的丰富经验，为XX税务所制定了网络边界安全防护方案。二、 安全风险分析在进行安全风险分析前，我们应该注意到网络运行和信息化建设是一个周而复始、循序渐进的动态过程，在这个动态的发展过程中，信息化建设可能会不断暴露出新的安全风险，这就要求我们要不断保持高度的警惕性，睁大双眼，时刻发现系统中的安全风险，并不断通过各种安全技术手段完善系统，保证系统的最大安全性。通过前期与XX税务所网络管理员的多次沟通交流，了解到XX税务所先阶段主要存在以下安全风险：1) 内部局域网与互联网相连，在享受互联网方便快捷的同时，也面临着遭遇攻击的风险；2) 各种蠕虫和病毒的威胁，直接会导致网络性能的下降，甚至瘫痪；3) 各

3、种木马和后门程序造成税务所内部重要数据和个人信息泄密等严重危害；4) TCP/IP协议本身的漏洞往往会导致多种的攻击行为；5) 大量的P2P下载耗尽了网络的带宽；6) 工作时间无节制的QQ、MSN，导致工作效率下降；三、 安全需求分析信息安全重在防御，采用技术手段保护网络系统的安全是安全体系的基础。随着业务系统的不断丰富，采用的技术方法越来越多，这就要求安全系统所要采用的技术手段也要不断的丰富，只有不断采用最新的安全技术才能保护网络系统的安全，尽可能的防止攻击的发生，降低攻击发生后所带来的损失，并尽快恢复到攻击发生前的工作状态。网络边界是非法入侵者进出网络的第一道门槛，网络边界的防护在整个网络

4、安全技术体系建设中起着十分重要的作用。通过上述对XX税务所现阶段安全风险的详细分析，我们从网络建设和运行过程中各个角度出发，得出如下需求。1) 防护来自互联网的各种蠕虫、病毒、木马和后门程序对税务所内部网络的破坏；2) 对大量的P2P下载行为采取带宽控制，防止大量的P2P下载耗尽了网络的带宽；3) 禁止工作时间使用QQ、MSN等实时消息软件，以免导致工作效率下降。四、 网络边界安全防护解决方案根据XX税务所网络结构特点及面临的安全风险和安全需求，本方案将重点考虑从以下几个方面重点考虑：网络带宽控制、网络安全抗攻击、网络病毒的防范等。4.1 产品选型及防护策略制定网络边界防护是内部局域网信息安全

5、保障的核心点，它负责内部局域网中最基本的信息服务系统的安全，一旦被非法进入，存在着内容被窃取、泄密、篡改、损坏等巨大风险，属于安全等级中最严重的事件。通过在互联网与税务所内部网之间，部署一台网御神州Secgate 3600-U4-400A UTM安全网关，在两网之间建立一道安全的隔离屏障4.1.1 防护策略1) 实现数据的合法合理的流转，使得每个不同的接入点只能访问到需要访问的资源，严格控制对核心区域和数据的访问，关闭所有不必要的服务和非法IP；2) 启用抗DDOS攻击和抗扫描等安全功能，进一步保护网络最大限度的不受攻击的影响；3) 通过策略路由功能实现内网IP对互联网的访问；4) 通过UTM

6、安全网关自带的P2P软件限制功能智能跟踪P2P软件的特征码，根据事先定义的策略智能实现P2P软件的限制；5) 根据不同的IP组对带宽的不同需求制定不同的带宽管理策略；6) 禁止多种知名蠕虫病毒通过UTM安全网关进行传播；7) 通过内网管理功能可以方便监控到每个IP的流量和并发连接数，根据这些数据快速判断出哪些IP在P2P下载、哪些IP在FTP下载、哪些IP中了蠕虫病毒或ARP病毒、哪些IP在正常使用，从而快速定位网络问题解决问题；8) 定期查看UTM安全网关访问日志，及时发现攻击行为和不良的上网记录；4.1.2 选型产品性能指标产品名称网神SecGate 3600 防火墙UTM安全网关产品型号

7、SecGate 3600-U4-400A产品性能网络处理能力600Mbps最大并发连接数100万HTTP杀毒100MIPS吞吐100M每秒新建连接数20000MTBF（小时）80000延时40sVPN隧道数100接口说明10/100/1000Base-T4可扩展1000M接口无异步串行管理接口1个远程配置管理接口1个硬件特性机箱标准1U机箱电源单电源4.2 网御神州UTM安全网关产品特色n 安全防御水平高：系统采用自主开发的SecOS安全操作系统，独立实现各种安全访问控制，摆脱了庞大复杂的通用操作系统束缚。系统内核稳定，安全应用功能随需扩展，安全防御水平保持与国际一流厂商保持同步领先。n 深度

8、内容检测细：采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤，支持对P2P和即时通讯软件的限制、支持千万级别URL库以及WEB内容过滤，支持FTP内容过滤，还可以和多种IDS产品联动，为细粒度的网络安全管理提供了有利的技术保障。n VPN功能：企业对VPN应用越来越普及，但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时，病毒等有害数据有可能通过VPN隧道从远程PC或网络传递进来，这种威胁的传播方式极具隐蔽性，很难防范。网神SecGate 3600 防火墙UTM安全网关同时具备防火墙、VPN、防病毒和内容过滤等功能，并且

9、各功能相互融合，能够对VPN数据进行检查，拦截病毒等有害数据，彻底保证了VPN通信的安全，为用户提供放心的VPN服务。n 入侵防护：IPS是抵制外部网络威胁最有效的安全防范技术。网神SecGate 3600 防火墙UTM安全网关内置可以针对协议进行分类防范，每个分类下边有多种特征库，并且每周特征库会自动升级。网神SecGate 3600 防火墙UTM安全网关能够对所有数据进行实时检测，对于可疑的行为会采取相应的措施。n 防病毒：网神SecGate 3600 防火墙UTM安全网关的杀毒模块设计非常完美，基于SecOS自主研发的专业杀毒引擎，可以实现对计算机病毒、蠕虫、木马等病毒的查杀。目前能够扫

10、描出20万多种病毒，支持包括zip、gzip、rar、arp和pklite等多种压缩格式文件病毒检测，它支持病毒库的自动更新以提供最新病毒的防御。n 反垃圾邮件：网神SecGate 3600 防火墙UTM安全网关支持对SMTP、POP3等协议的垃圾邮件检测能力。网神SecGate 3600 防火墙UTM安全网关提供了丰富的自定义检测规则项目，可对邮件大小、邮件附件大小、邮件内容、邮件主题、收/发邮件地址过滤，另外还可和实时黑白名单进行联动，避免遭受垃圾邮件的烦恼。n 一机多用，管理简单：网神SecGate 3600 防火墙UTM安全网关作为一款优秀的UTM产品，具备多种安全功能，既可以作为防火

11、墙设备，也可以作为VPN设备、防病毒设备等，更重要的是这些功能融为一体，可同时任意组合使用，满足用户各种安全需求，为用户节省大量购置与维护成本。4.3 网御神州UTM安全网关主要功能指标指标项规格要求功能防火墙功能支持基于状态检测技术；支持路由、透明、透明桥及混合接入模式；可针对源接口、目的接口、协议类型、源地址、目的地址、服务、时间表、域名和vlan等对象设定安全策略； 支持接口的带宽控制；支持基于每ip、多ip的流量控制，并提供父带宽和子带宽支持DNS中继，支持DNS中继自动寻找上级DNS服务器；支持多纯透明子桥和接口联动；支持策略路由功能，支持路由备份、路由负载均衡，支持基于服务、源IP

12、、目的IP的策略路由；支持channel模式，支持子接口，最多支持16个桥接口支持设定网段内共享的或者任一地址的新建连接限制，支持设定网段内共享的或者任一地址的并发连接限制；提供连接限制的查询和统计功能支持IP/MAC地址绑定和自动探测；链路探测支持icmp，tcp，http，arp等协议，并且能对ADSL线路的探测支持VLAN和MAC地址的绑定；支持PPPOE协议，提供多条ADSL（3）同时拨号和自动负载均衡方式支持802.1Q VLAN，支持VLAN透传和VLAN终结；支持SIP/H.323/H.323网守/Ftp/SQL.Net等动态协议；支持MMS/RTSP等多媒体协议；支持DHCP服

13、务器/中继及客户端；支持OSPF、RIP等动态路由协议；入侵防御功能支持入侵防御功能，入侵防御特征库数量不少于3000条；可以针对HTTP、FTP、POP3、SMTP、DNS协议进行IPS防护；支持指定IDS阻断的网口；支持入侵防御特征库自动升级和手工导入，升级频率至少确保每周一次；支持对SYN Flood、ICMP Flood、Ping of Death、UDP Flood、PING SWEEP、TCP端口扫描、UDP端口扫描、WinNuke等DOS/DDOS攻击防护；支持和IDS设备联动；防病毒功能支持对HTTP、FTP、SMTP、POP3等协议的病毒检测和过滤功能；支持对HTTP免杀毒白

14、名单设置；并能提供对图片的病毒的查杀；支持断点续传支持对压缩文件、邮件格式、文件格式进行病毒查杀；支持对传输文件大小、文件容量、文件夹压缩最大20层数进行限制支持向发送端报警，病毒邮件作为提示邮件附件发送给接受端支持病毒配置模板，灵活进行病毒配置支持对非标准协议的病毒过滤支持对文件感染型病毒、蠕虫病毒等的过滤，病毒库数量不少于21万；支持病毒库自动升级和手工导入，升级频率至少确保每周一次；支持杀毒引擎自动升级；支持对sobig、ramen、welchia、agobot、opaserv、blaster、sadmind、slapper、novarg、slammer、zafi、bofra、dipne

15、t等蠕虫的过滤；反垃圾邮件功能支持自定义RBL服务器，同时可以启用2个RBL服务器支持对SMTP、POP3协议进行过滤；支持基于发件人地址、收件人地址、邮件主题关键字、邮件内容关键字、附件扩展名等过滤；支持基于邮件附件类型的过滤功能；VPN功能支持IPSec VPN、L2TP VPN、PPTP VPN及SSL VPN功能；支持和第三方设备设备对接；支持静态IP地址、域名、动态IP地址等VPN组网方式；支持基于策略、路由的VPN；支持DES/3DES/AES/国密办加密算法等加密算法；支持DHCP over IPSEC VPN；支持MD5、SHA1、SHA256、SHA384、SHA512等认证

16、算法；支持预置密钥、证书、LDAP证书、X-AUTH扩展认证等认证方式；支持主模式和野蛮模式；支持VPN隧道实时监视及控制；支持VPN双向NAT穿越；支持数据包封装ESP、AH；支持远端状态探测DPD；内容过滤功能支持绿色上网功能 内置强大的URL库，50余种分类，1000多万条URL库； 支持手工自定义添加URL； 支持黑白名单URL； 支持对URL关键字过滤、关键字导入； 提供URL配置的模板提供上网行为管理的模板 支持对apple、ares、bt、dc、edonkey、gnu、kazaa、soul、winmx等P2P软件进行封堵、流控； 支持对QQ，MSN，SKYPE等IM软件进行封堵，

17、流控 支持对魔兽世界、劲舞团、梦幻西游、联众、中国游戏中心、新浪游戏大厅、网易泡泡、浩方游戏等网络游戏的封堵和流控 支持对大智慧、同花顺，钱龙，证券之星、通达信等炒股软件的封堵和流控地址转换功能支持源地址NAT（多对一NAT）支持目的地址NAT（多对一NAT）支持目的端口转换支持静态NAT（一对一NAT）支持地址池NAT（多对多NAT）支持服务器负载分担（一对多NAT）高可用性支持端口链路备份和负载均衡支持故障自启动功能支持配置、连接状态自动同步支持VRRP协议，实现主备、主主热备方式用户认证功能支持Web/Portal弹出页面（无客户端）认证；支持基于客户端的用户认证；支持RADIUS认证；

18、管理功能支持HTTPS、CONSOLE、SSH、TELNET等多种管理方式；支持配置的部分导入导出功能支持管理员权限分级，支持用户自定义管理员权限表；支持远程管理功能；支持集中管理功能；支持策略统一下发功能；日志与报表支持对IM的聊天记录监控，如MSN等支持图表显示实时CPU、内存、硬盘、连接数、流量等参数；支持本地日志存储，支持外部日志存储，如SYSLOG、SNMP V3等；支持日志集中管理；支持日志上传功能；支持邮件报警功能；支持当前配置的显示；五、 选型产品资质公安部销售许可证国家信息安全认证产品型号证书国家保密局涉密信息系统产品检测证书军B级信息安全产品认证证书计算机软件著作权登记证书

19、六、 选型产品成功案例网神SecGate 3600 系列统一安全网关以其高安全性、高可靠性和易部署能力，被广泛的应用于市县级政府部门、大型企业分支机构（连锁企业）和教育行业中。上海市房地局上海市房地资源管理局是上海市土地交易、房产买卖登记、住房规划、城区改造、物业管理相关事务的管理机构，下属区县单位2百多个，为了保证网上业务办理、交易登记、信息查询的安全性和可靠性，需要在各个单位出口部署安全设备。 而传统的单一安全产品比如防火墙、VPN、AV、IPS、反垃圾邮件都无法解决所有问题， 而部署多台设备的成本太高、且部署、使用非常复杂。于是在采用了两百多台网神SecGate 3600 UTM产品，网

20、神UTM产品能够同时提供防火墙、VPN、反垃圾邮件、防病毒、IPS等功能，客户可以根据需要灵活开启，且配置简单，很好的满足了用户的需求。北京某小学北京海淀区某小学通过中国网通的宽带连到互联网，主要是为了普及计算机教育和提高税务所办公效率，然而一方面没有办法对学生微机教室内PC上网进行限制，同时税务所内部的主机和服务器经常遭到病毒侵害、部分服务器遭到外来入侵。对正常的教学和办公造成很大的影响。部署了网神SecGate 3600 UTM产品后，通过对各个区域采用不同时间段的访问策略，有效的对学生上网进行限制；同时网神UTM产品专业的防病毒和入侵防御功能有效的保护内部主机和服务器免受病毒和攻击干扰。吉林大药房吉林大药房，是亚泰集团医药产业所属企业，是国家食品药品监督管理局确定的吉林省唯一一家全国药品零售跨省连锁试点企业，2008年中国医药零售行业20强，下属上百家连锁药店。为了规范企业管理，提高工作效率，企业加强了信息化建设，采购、财务等关键系统都是通过网络访问。然而病毒、网络攻击等成为影响业务运转最大的问题，在各个药店部署网神SecGate 3600 UTM产品后，基本解决了病毒、网络攻击网络安全问题，保证了业务高效运转。专心-专注-专业