一级分行互联网接入平台选型方案-建议书.doc

一级分行互联网接入平台建议书 i 建建议议书书 一一 级级 分分 行行 互互 联联 网网 接接 入入 平平 台台 一级分行互联网接入平台建议书 ii 目目 录录 目目 录录i 1需求分析需求分析1 1.1接入平台的现状1 1.2网络建设目标1 2接入方案设计接入方案设计2 2.1一级分行接入平台的设计目标2 2.2接入方案的架构设计原则2 2.3产品选型的基本原则2 2.4接入平台的总体网络架构3 2.5方案拓扑图：4 2.6方案策略说明:.4 2.7选型部署说明:.5 3方案特点方案特点6 4产品说明：产品说明：7 4.1负载均衡器7 4.2外层防火墙：8 4.3特性与优势8 4.4内层防火墙：9 4.5ids 入侵检测： .11 4.6漏洞扫描：11 4.7防毒墙：12 4.8代理服务器：14 4.9blue coat高速缓存技术.15 5综合管理平台综合管理平台18 5.1系统功能19 5.2功能特点21 5.3系统部署21 5.4产品型号22 一级分行互联网接入平台建议书 第 1 页 共 22 页 1 需求分析需求分析 1.1接入平台的现状接入平台的现状 目前，各一级分行及其下属的分支机构已存在一些互联网的接入点，这些接入 点为各级机构利用互联网获取信息，促进业务发展起到了较好的作用，但是也应看 到，全行互联网的接入点过于分散，技术实现不规范，存在的问题较多。具体表现 如下： 1. 接入点多且分散，不符合总行网络规划要求。接入点多且分散，不符合总行网络规划要求。 根据总行网络规划，互联网接入平台只部署在总行和各一级分行。各一级分行 的互联网接入平台，负担一级分行及其所辖机构的上网流量。目前，全行的互联网 接入点非常分散，各一级分行、部分二级分行，甚至一些支行都有单独的互联网接 入。这种分散接入的方式，不符合总行网络规划要求，没有有效地利用资源。 2. 实现技术不统一、不规范，安全管理困难，存在安全隐患。实现技术不统一、不规范，安全管理困难，存在安全隐患。 一些一级分行根据业务和管理的需求，设置了互联网出口，总行对此也制定了 相关网络安全规范，但各行落实情况不一，接入技术上存在不规范的地方，接入的 方式比较复杂。一方面不便实现集中统一的安全管理，另一方面给银行的网络带来 严重的安全隐患。 3. 安全强度不够，可靠性、稳定性、可用性不高。安全强度不够，可靠性、稳定性、可用性不高。 由于网络技术的迅速发展，原有的一些防御手段已显不足，加上设备老化、性 能不够等因素，网络安全风险不断增多，大多数互联网接入点存在安全强度不够的 问题，大大降低了全行网络的安全水平。此外，由于没有采用防病毒、漏洞扫描、 缓存等机制，使得互联网的使用效率不高，效果不理想，系统可靠性和稳定性需要 增强。 1.2网络建设目标网络建设目标 接入互联网平台的部署从全行网络体系出发、从业务安全角度和节约广域网带 宽资源的角度出发，采用接入互联网平台分布式部署方式；在一级分行建立与总行 互联网接入平台相对独立的互联网接入平台，满足一级分行及其下属机构访问互联 网的需求。这样避免了互联网出口过于分散简陋造成的安全漏洞和系统的不稳定， 也避免了统一使用总行互联网出口对骨干网业务流量的冲击和带宽资源的浪费。各 一级分行分别设置代理服务器负责辖区内访问互联网的管理、控制、安全以及缓存。 一级分行（包括所辖的下属机构）的用户通过本区域的代理服务。 一级分行互联网接入平台建议书 第 2 页 共 22 页 2 接入方案设计接入方案设计 2.1一级分行接入平台的设计目标一级分行接入平台的设计目标 一级分行互联网接入平台建设的主要内容是建立一级分行的安全、可靠、高效 的互联网访问平台，配合建立以一级分行为单位的互联网接入平台网管系统，保障 相关业务和管理系统的 7*24 小时不间断运行，实现对互联网资源安全高效的利用。 2.2接入方案的架构设计原则接入方案的架构设计原则 1. 一致性原则一致性原则 必须严格按照总行的技术规范和网络安全标准制定。 2. 安全性原则安全性原则 采用足够的安全措施保障互联网接入平台的安全，对互联网公开发布的信息， 应采取安全措施保障信息不被篡改，考虑身份认证、访问控制、数据完整性和审计 等安全指标。 3. 层次性原则层次性原则 互联网接入平台采用多层次安全防御原理，在互联网区域、dmz 区域、内部 企业网区域通过划分不同安全等级的区域，设置异构防火墙网关等网络安全产品， 多层次拦截和防护降低来自互联网安全威胁，保护企业内部网络的安全。 4. 实用性原则实用性原则 根据当前互联网面临的安全风险和企业的网络安全需求设计安全方案，充分满 足当前需要，充分利用现有资源，充分利用现有的网络安全设备和管理软件，利用 现有的 aaa 软件、用户管理设备和网络管理系统，尽量降低建设成本。 5. 可扩展性原则可扩展性原则 在各种不安全因素的网络和应用环境中，建立一定时期内相对安全稳定的互联 网接入平台系统；整个系统的安全策略部署可以随着系统的变化、发展而变化、发 展的，同时具有长期的有效性；虽然不同时期网络安全策略可能不同，但安全体系 能够随着网络的扩展和安全策略的变化而保持相对的稳定并具有灵活性。 6. 可管理性原则可管理性原则 整个互联网接入平台应当具有可管理性，防火墙产品、入侵检测产品、漏洞扫 描等网络安全设备应提供方便、安全的管理特性，入侵检测特征库、病毒库等具备 实时、在线的更新。采用统一的网络管理平台，实现对安全设备和网络各层应用的 管理。 2.3产品选型的基本原则产品选型的基本原则 1)满足互联网接入需求，可靠性、安全性高。 一级分行互联网接入平台建议书 第 3 页 共 22 页 2)符合规范中技术架构的要求。 3)性价比高。 4)可扩展性高，可有效保护投资。 5)可操作性强，易于网络人员维护。 6)在市场上有一定知名度。 2.4接入平台的总体网络架构接入平台的总体网络架构 一级分行互联网接入平台建议书 第 4 页 共 22 页 2.5方案拓扑图：方案拓扑图： 2.6方案策略说明方案策略说明: 1)采用两层防火墙和多种访问控制、安全监控措施，建立非军事区 （dmz）接入互联网，隔离内部网。 2)在外层防火墙做 nat 转换和门户网站设备的静态地址映射。 3)内外层防火墙、内网区采用缺省路由和静态路由。 4)代理服务器管理用户对互联网的访问路径： 代理服务器内层防火墙 dmz外层防火墙linkproofisp 外部访问门户网站：经过 isp 边界路由器linkproof外层防火墙dmz 5)在非军事区部署基于网络的实时入侵检测系统。 6)在非军事区部署硬件防病毒网关。 7)部署漏洞扫描系统，检查系统可能存在的网络安全漏洞。 一级分行互联网接入平台建议书 第 5 页 共 22 页 2.7选型部署说明选型部署说明: 考虑到双链路的负载均衡, 我们建议部署 linkproof，linkproof 是专业负载均 衡厂商 radware 公司的链路流量负载均衡器,可以实现对多条 internet 接入链路（比 如 10 条）的负载均衡，可以同时实现 outbound 流量（内部办公用户访问 internet） 和 inbound 流量（internet 用户访问内部服务器）双向的负载均衡。 同时使用 radware 专利技术动态就近性来保证进出的双向流量的智能的动态的 就近性选择，大大提高用户访问的服务质量和访问效率。优化的链路提供透明的流 量重定向。从而使路由变得简单而高效。这样也就避免了在不同 isp 之间进行复杂 的协调。另外，linkproof 使用 radware 专有的 smart nat (智能网络地址转换)技术 以保证在网络之间进行的不中断的分组传递。 外层防火墙区部署 juniper netscreen 208 的防火墙，主要执行抵御 dos 攻击， 对来自外网的访问进行访问控制和细致的过滤功能，隔离互联网和 dmz,并且提供 到 vpn 移动办公平台的接口。 最大吞吐量:550m 安全过滤带宽（mb）：200 最 多会话数: 128,000 ，vpn：1000 条 这样的处理能力足够满足当前网络的安全控制 要求。 对 ip 包过滤，仅允许从互联网到 dmz 公共服务器的访问和经由内层防火墙到 互联网访问的 ip 包进出,从安全的角度出发，连接防火墙内端口和外端口采用单独 的交换机，避免采用同一台交换机上划分不同 vlan 分别连接防火墙内外端口的方 式造成安全漏洞，外层防火墙作为 nat 服务器, 实现地址转换，隐藏 dmz 及内部 网络拓扑结构。 由于 dmz 区的设备与外网的通讯较多，过多的安全措施会降低通讯效率，所 以 dmz 设置在外层防火墙和内层防火墙之间，这里部署启明星辰的天阗 ids 和天 镜漏洞扫描系统，在 dmz 交换机上部署一台天阗 ns500 入侵检测探测引擎，同时， 天阗 ns500 具有双监听口，建议将另外一个监听口与内网交换机的镜像端口相连， 对内网区相互之间的访问进行实时监测。 在 dmz 交换机及内网交换机上部署分布版天镜脆弱性扫描与分析系统扫描引 擎，通过天阗入侵检测系统的控制中心进行同台管理，直接输入目标主机的 ip 地 址，对其网络系统的漏洞进行扫描. 由于天阗入侵检测系统与天镜脆弱性扫描与分 析系统（分布版）支持同台管理，因此在网络内部（dmz）部署天阗 ns500 控制 中心，作为天阗入侵检测系统与天镜脆弱性扫描与分析系统的控制中心。对天阗 ns500 的探测引擎管理的同时,对天镜脆弱性扫描与分析系统进行管理，从而实现对 全网内天阗入侵检测系统与天镜脆弱性扫描与分析系统的统一管理。 这样一来能对整个网络能够实时准确捕捉到入侵，能够检测出系统管理员及内 部用户的误操作，发现入侵能够及时作出响应并在审计日志作详细记录，查找系统 网络可能存在的安全漏洞、配置问题并给出报告和修改建议。 在 dmz 网关处部署 symantec gateway security 5660 的硬件防毒墙，http 28m/秒,140000 封/小时的处理能力，对 smtp、http、ftp 和 pop3 等通讯进行扫 描，从而保护企业内部网避免各类病毒、蠕虫攻击、木马和垃圾邮件的干扰。 在内层区部署天融信 4000 的百兆防火墙，用来隔离 dmz 和内部网，其百万以 上的并发连接处理能力,充分保障网络访问需求,从而更好的控制内层区的访问。 一级分行互联网接入平台建议书 第 6 页 共 22 页 同时部署 bluecoat 安全代理服务器，作为企业内部访问互连网的接入平台，代 理内网用户上网，并提供缓存加速功能，因此内层防火墙支持代理服务器从内部网 到互联网和 dmz 的单向访问，保障内网安全。 3 方案特点方案特点 1. 技术先进，性能优越技术先进，性能优越 采用业内领先厂商的先进技术，充分发挥各个产品在自己领域中的领先性能， 网络性能最佳，在国内网络建设中的居于领先地位。 2. 带宽利用率高带宽利用率高 从防火墙,负载均衡器的选型上,都考虑到对网络性能的影响,这些设备上都可实 现针对不同协议的排队、优先级、压缩等功能，充分有效的利用带宽。 3. 可靠性高可靠性高 双链路的负载均衡,dmz 区的防毒墙网关,及 ids 全网分布式监控,保障了整个网 络的正常通讯。 4. 安全性高安全性高,保证数据安全性保证数据安全性 关键设备本身具备抗攻击的功能，同时加上内外层防火墙过滤，防止非法用户 对关键数据的破坏。 5. 可升级性、可扩展性强可升级性、可扩展性强 模块化设备,随时可以添加新功能用来提高性能,dmz 区和内网区的关键设备均 留有扩展端口, 整个网络都易于升级。 6. 可管理性的网络可管理性的网络 关键设备都自带有多种管理方式,不但提高了网络的可管理性、减轻网管人员的 负担、减少网络管理上的费用，而且对于网络性能分析、故障诊断有很大的帮助。 一级分行互联网接入平台建议书 第 7 页 共 22 页 4 产品说明：产品说明： 4.1负载均衡器负载均衡器 radware 公司的链路流量管理应用交换机（也称作链路流量负载均衡器） linkproof application switch，可对公司接入 internet 的多条链路进行流量管理，是 为具有多个 internet 接入链路的网络提供综合的、易于使用的基于内容的流量管理 解决方案。目前日益增多的机构，如电子商务公司、二级 isp 和企业为了保证公司 各个部门之间、供应商和客户之间连续的 internet 访问，都逐步采用多个 internet 接 入链路（多归路）接入 internet。 1. internet 链路流量管理链路流量管理 linkproof 专门为满足多归路网络的特殊要求而设计，radware 优化的内容路由 技术能够保证以最快的速度将内容传递给您的用户。linkproof 在保证网络完全可用 的同时还会根据网络需求的增长提供可扩展的解决方案。对于在其重要的商业应用 中需要保证可靠性的多归路网络，它提供了创新的、完整的基于内容的流量管理解 决方案。 2. 最快的内容传递最快的内容传递 linkproof 特有的即将获得专利的“优化的内容路由“技术能够确保通过最佳链 路传递特定内容。在决定哪条链路能够为特定的内容提供最佳性能时，linkproof 会 综合考虑与请求内容的网络就近性，链路的实时负载与链路的成本。因此，最终用 户将充分享到经过优化的服务和极快的响应时间。 3. 保证不中断的保证不中断的 internet 访问访问 linkproof 连接监视每个 internet 连接的状态。它通过定时检测网络内部和外部 节点的状态来检查每个路由器接入 internet 的路径。linkproof 还自动检测各种故障， 如链路、路由器、dns 服务器和其它故障。通过检测可以确保只使用那些高效运转 的接入链路。可以安装两台 linkproof 设备实现冗余配置，从而保证即使主用设备 发生故障的情况下也可以保证不中断的 internet 链路流量管理。 4. 具有最大限度的可扩展性具有最大限度的可扩展性 增加新的链路和路由器非常简单，只要求做很少的配置工作，并且不需要对网 络进行大的改动。linkproof 对所使用的 isp、链路或路由器是完全透明的，您可以 根据需要灵活扩充多归路网络。 5. 降低运行成本和多链路网络解决方案的复杂性降低运行成本和多链路网络解决方案的复杂性 配置与多个 isp 的冗余 internet 连接需要使用复杂的路由协议和聘请高级技术 人员来维护网络。而且对于无法预知的流量模式所产生的问题它也不能提供丝毫帮 助。linkproof 无需用户配置就可以利用优化的链路提供透明的流量重定向。从而 使路由变得简单而高效。这样也就避免了在不同 isp 之间进行复杂的协调。另外， linkproof 使用 radware 专有的 smart nat (智能网络地址转换)技术以保证在网络之 间进行的不中断的分组传递。 一级分行互联网接入平台建议书 第 8 页 共 22 页 选型：选型： linkproof application switch i risc 处理器：mpc 750 （power pc 266mhz） 背板速度：9.6 gbps 10/100 兆以太网端口：8 千兆以太网端口：2 l2 交换：线速 ram：64m（128m） vlan：64 vi：512/3000 ip 路由表数：128,000 ip 路由接口：2,000 并发客户：500,000 同时会话数：无限制 路由协议：ospf， rip， rip2 4.2外层防火墙：外层防火墙： 选用选用 netscreen 208 防火墙防火墙 juniper 网络公司 netscreen-200 系列包括两款企业网络产品：带 4 个 10/100 接 口的 netscreen-204 以及带 8 个 10/100 接口的 netscreen-208。这两种产品都是目前 市场上功能最全面的安全产品，易于集成到多种不同环境中，如大中型企业网络、 办事处、电子商务站点、数据中心和运营商基础设施等。netscreen-200 系列产品可 配备 4 个或 8 个自感 10/100 base-t 以太网端口，从而使其能够提供线速防火墙功 能（550 mbps） 。即便是 3des 和 aes 加密等计算最密集的应用，也能在这些产品 上以 200 mbps 以上的速率运行。除了物理接口密度外，netscreen-200 系列还可提 供虚拟化功能选项，包括 vlan 支持、额外的定制安全区及虚拟路由器等。 4.3特性与优势特性与优势 netscreen-208 设备的主要特性和优势如下： 1)集成解决方案，提供安全性优化的硬件、操作系统和应用 2)高性能平台，提供卓越的性价比和特性 3)全面的高可用性解决方案，可在一秒内实现接口间或设备间的故障切换 4)可定制的安全区，能够提高接口密度，无需增加硬件开销 5)集成的深层检测防火墙可以逐策略提供应用层攻击防护，以保护互联网 协议安全 6)冗余 vpn 网关，允许在丢失 vpn 连接时定义备份隧道，从而提高 vpn 网络的冗余级别 7)在每个接口上提供防火墙攻击防护，保护内外部网络的安全 一级分行互联网接入平台建议书 第 9 页 共 22 页 8)透明模式，允许将设备用作第 2 层 ip 安全网桥，但只需对现有网络进行 最少的修改 9)通过图形 web ui、cli 或 netscreen-security manager 集中管理系统进 行管理 10) 基于策略的管理，用于进行集中的端到端生命周期管理 技术规格技术规格 高级特性/功能netscreen-208 advanced 接口数8 个 10/100 可信接口中的最多 ip 地址数无限 最大吞吐量550m 防火墙 ； 200m 3des vpn 最多会话数128,000 最多 vpn 隧道数1000 最多策略数4000 最多虚拟 lan 数默认设置为 32 个，最多可增加 64 个 最多安全区数默认设置为 8 个，最多可增加 10 个 最多虚拟路由器数默认设置为 3 个，最多可增加 5 个 支持的路由协议ospf, bgp, ripv1/v2 支持的高可用性模式 主用/备用；主用/主用 主用/主用，全网状 ips（深层检测防火墙）是 集成/ 重新定向 web 过滤否 / 是 4.4内层防火墙：内层防火墙： 选用天融信选用天融信 ngfw4000 大中型企业防火墙大中型企业防火墙，网络吞吐量 100m ，最大并发连 接数 60-160 万。网络卫士防火墙采用先进的核检测技术，突破了芯片设计、网络 通信、安全防御及内容分析等诸多难点，实时进行网络行为、内容和状态分析，在 网络边界布署应用防护措施，确保企业网络安全，而不会影响网络性能。网络卫士 防火墙系统采用专有的易于管理的平台，包括了全套的安全服务防火墙、 vpn、入侵检测/阻断和流量控制，同时还具有高效的应用层服务，如反病毒、内容 过滤等功能。 一级分行互联网接入平台建议书 第 10 页 共 22 页 ngfw4000 系列是网络卫士系列防火墙的中端产品，是一款成熟的广受市场 认同的主流产品，具有访问控制、内容过滤、防病毒、nat、ipsec vpn、ssl vpn、带宽管理、负载均衡、双机热备等多种功能，广泛支持路由、多播、生成树、 vlan、dhcp 等协议，适用于网络结构复杂、应用丰富的政府、军工、学校、中 型企业等网络环境。 1. 稳定可靠稳定可靠 ngfw4000 系列产品吸收了天融信多年来在防火墙领域的设计和制作经验，硬 件性能稳定可靠，软件功能丰富，网络适应能力强，是一款成熟的广受市场认同的 主流产品。该系列产品上市以来广泛应用于政府机构、大中型企业、金融、学校等 网络环境，并受到众多用户欢迎，市场占有量巨大，是名副其实的经过市场检验的 高稳定高可靠防火墙产品。 2. 卓越的网络及应用环境适应能力卓越的网络及应用环境适应能力 支持众多网络通信协议和应用协议，如 vlan、adsl、ppp、isl、802.1q、spanning tree、ipsec、h.323、mms、rtsp、oracle sqlnet、ppoe、ms rpc 等协议， 适用网络的范围更加广泛，保证了用户的网络应用。同时，方便用户实施对 voip、视频会议、vod 点播及数据库等应用的使用和控制。 3. 多级过滤的立体访问控制多级过滤的立体访问控制 采用了多级过滤措施，以基于 os 内核的核检测技术为核心，提供从链路层到 应用层的全面安全控制。 在 mac 层提供基于 mac 地址的过滤控制能力，同时支持对各种二层协议的 过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、 网络协议以及 tcp 、udp 端口进行过滤，并进行完整的协议状态分析；在应用层 通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件 资源、关键字、移动代码等实现内容安全控制；同时还直接支持丰富的第三方认证， 提供用户级的认证和授权控制。网络卫士系列防火墙的多级过滤形成了立体的、全 面的访问控制机制，实现了全方位的安全控制。 4. 安全高效的安全高效的 tos 操作系统操作系统 具有完全自主知识产权的 tos 安全操作系统，采用全模块化设计，使用中间 层理念，减少了系统对硬件的依赖 基本性能：基本性能： 并发连接数1000000 网络吞吐量100mpps mpps 安全过滤带宽100mb mb 用户数限制无用户数限制 入侵检测dos、ddos 管理snmp 一级分行互联网接入平台建议书 第 11 页 共 22 页 安全标准 ul 1950，en 41003，as/nzs 3260，as/nzs 3548 class a，csa class a，fcc class a，en 60555-2，vcci （classii ） 控制端口rs-232 4.5ids 入侵检测：入侵检测： 采用 启明星辰的天阗 ns500，双路检测，带宽可以达到 200m.天阗网络入侵检 测系统采用了新一代的入侵检测技术，包括基于状态的协议分析技术、规范的入侵 特征描述语言、准确的特征分析和提取、标准的安全信息知识库，以先进的体系结 构配合高性能的专用硬件设备，能够准确地识别来自网络外部或内部的多种攻击行 为，实时报警和记录入侵信息，具有多样化的响应方式，产生适合不同人员的综合 入侵分析报告，可以最大程度地为网络系统提供安全保障。此外，它还可以与漏洞 扫描、防火墙、交换机紧密联动，形成以主动检测为核心的动态防御体系。 4.6漏洞扫描：漏洞扫描： 天镜脆弱性扫描与管理系统是启明星辰信息技术有限公司自主研发的基于网络 的安全性能评估分析系统,它采用实践性的方法扫描分析网络系统，综合检测网络系 统中存在的弱点和漏洞，并以报表的方式提供给用户，适时提出修补方法和安全实 施策略，天镜脆弱性扫描与管理系统内含基于国际标准建立的安全漏洞库，并通过 网络升级与国际最新标准保持同步。 天镜脆弱性扫描与分析系统具备以下性能特点： 可以动态地分析目标系统的安全脆弱性可以动态地分析目标系统的安全脆弱性 根据不同的对象类型，自动寻找匹配的扫描策略进行下一步的分析扫描。 灵活的策略配置灵活的策略配置 系统内置“强“、“中“、“弱“三种扫描策略，用户也可以根据需要自定义扫描策 略并进行储存，就用户所关心的项目进行重点检测；可按照特定的需求配置多种扫 描策略和扫描参数，实现不同内容、不同级别、不同程度、不同层次的扫描。 多种形式、人性化的扫描报表多种形式、人性化的扫描报表 系统对于被检测主机的漏洞危险级别利用红、黄、绿分别对高、中、低风险进 行标示，同时对于被选中的主机检测信息进行突出显示，方便管理员的查询管理全 面详细的分析报告能力；可根据用户的不同需求提供不同层次的报告，并提供安全 补丁供应商的热连接，快速及时的修补漏洞。 实用的模拟攻击工具实用的模拟攻击工具 系统提供用于测试的模拟攻击工具，较好反映了黑客实际攻击的必经之路，同 时对被测试系统的测试力度可控，不会为系统带来危害。 合理的结构化设计、模块的继承性，使得系统具有很大的可扩展空间合理的结构化设计、模块的继承性，使得系统具有很大的可扩展空间 全自动、大规模的扫描任务全自动、大规模的扫描任务 每次最大可扫描多达 255 台主机，扫描任务一经启动，无需人工干预； 一级分行互联网接入平台建议书 第 12 页 共 22 页 多线程扫描多线程扫描 保证了扫描任务的高效性和稳定性； 定时扫描机制定时扫描机制 保证充分利用网络空闲间隙进行网络安全状况评估； 丰富的漏洞检查列表丰富的漏洞检查列表 共计 32 大类 800 多种漏洞检测，并跟进最新的漏洞，将其加入到漏洞库中， 大大减少用户系统中的隐患； 分级、灵活的预定义报告分级、灵活的预定义报告 扫描结果可以生成三种不同类型的报告，供领导、技术主管、技术员等不同级 别的人审阅； 远程在线升级远程在线升级 远程下载升级模块，自动完成升级过程 详尽的安全解决方案详尽的安全解决方案 帮助用户在了解网络安全状况的情况下得到详尽可行的解决措施。 4.7防毒墙：防毒墙： 选用 symantec gateway security 5640， 该系列是新型的网关安全设备，作为业 界功能最全面的企业网关安全设备，它将全封包检测防火墙、基于协议异常和基于 特征的入侵防御及入侵检测引擎、著名的病毒防护、基于 url 的内容过滤、反垃 圾邮件以及符合 ipsec 和 ssl 标准的 vpn 技术无缝地集成在一起。symantec gateway security 5600 系列对最恶意的互联网安全威胁也能提供最大程度的防护， 其“即插即用”简易配置功能使得管理员在 30 分钟就可以完成配置工作，其内置 ha/lb 功能可轻松实现扩展，总之，symantec gateway security 5600 系列为企业 internet 和 intranet 安全提供最大安全的、可管理的和可扩展的安全解决方案。 1. 病毒防护病毒防护 symantec gateway security 5640 中集成了著名的赛门铁克病毒扫描引擎，对需 要扫描的流量直接做到“盒中（on-box） ” 扫描，无需调用任何外接的扫描服务程 序，因此处理效率很高。集成其中的赛门铁克病毒扫描引擎采用了大量屡获国际性 大奖的赛门铁克的防病毒独有技术。例如： 1)bloodhound（侦探）启发式扫描技术 2)神经网络技术检测和修复引导型未知病毒技术 3)宏病毒自动分析修复技术 4)striker32（打击）检测处理多态病毒技术 5)navex 模块化升级技术 6) symantec gateway security 5640 在网关位置主要针对 http、smtp、pop3 和 ftp 数据流进行病毒处理。因为这些数据流几乎占了企业数据流总量的 80以上， 而且这几种数据流也是病毒传播的主要载体。当然，用户可以在 symantec gateway 一级分行互联网接入平台建议书 第 13 页 共 22 页 security 5600 中指定这四种数据流中的哪些文件类型需要做病毒扫描，而哪些类型 不需要做病毒扫描，默认情况是“除了排除列表中所列的类型文件不扫描，其他类 型的文件都要扫描” 。对于 smtp 数据流，symantec gateway security 5640 的防病 毒功能更可以提供细化的控制处理，例如对最大邮件整体大小、最大邮件附件大小、 邮件附件名称等等。而病毒扫描发现病毒后的后续响应可以选择“修复感染病毒的 文件”或者“删除感染病毒的文件” 。 symantec gateway security 5640 内置了 liveupdate 技术模块，通过 liveupdate 技术可以手动执行或者自动调度执行病毒定义码的升级，由于使用了 navex 模块 化升级技术，每次 liveupdate 执行时，能够同时升级病毒定义码和病毒扫描引擎。 这样，大大简化了用户的防病毒维护工作量，使得用户可轻松保持最新最强的病毒 防护能力。 2. 内容过滤内容过滤 symantec gateway security 5640 提供可选择的内容过滤功能。基于一些重要的 原因，内容过滤功能成了网关安全的一种需要，例如：内容过滤可以节约网络带宽、 内容过滤可以避免员工访问危险的网站、内容过滤可以保障机密信息的安全等等。 symantec gateway security 5640 的内容过滤功能分为动态和静态内容过滤。 symantec gateway security 5640 提供 web 站点分类，用户可以根据这些分类进行 有针对性的允许或限制访问，从而达到内容过滤效果，例如在上班时间限制访问在 线游戏类 web 站点，而这些分类中具体的 web 站点名单则是以 liveupdate 自动 方式从赛门铁克不断获得更新。这种功能称为动态内容过滤。 同时，symantec gateway security 5640 提供用户可自定义的静态内容过滤机制， 可以基于以下条件进行手工指定来实现内容过滤： 1)url 地址 2)mi me 类型 3)文件扩展名 4)新闻组 5)新闻组分类 symantec gateway security 5640 还提供反垃圾邮件功能。近年来，垃圾邮件是 一个日益突出的安全问题。垃圾邮件是指不请自来的邮件，轻的说它是让人烦的东 西；重的说它会消耗网络带宽和服务器资源并传播不良甚至攻击性的内容而造成网 络用户的重大损失。 首先，symantec gateway security 5640 可以根据已知的垃圾邮件发送者黑名单 进行发送者检查，一旦发送来自黑名单上的来源立即采取拒绝操作。 其次，symantec gateway security 5640 的 smtp 协议安全代理模块具备内置的 深入的 smtp 控制功能，例如，smtp 命令检查、esmtp 命令检查、硬或软接收 限制、畸形邮件头处理等等。通过这些强制控制可以限制许多潜在垃圾邮件的进入。 最后，通过邮件控制高级选项也能够迅速的达到反垃圾邮件的效果。邮件控制 高级选项包括了： 1)邮件大小 一级分行互联网接入平台建议书 第 14 页 共 22 页 2)邮件附件大小 3)邮件附件扩展名 4)邮件主题 5)邮件正文信息 适当的指定这些高级选项，直接对邮件的这些主要属性进行检查，对蠕虫或混 合威胁爆发时发出的大量有害垃圾邮件特别有效果。 选型：选型：5640 http（only）：）：20m /秒秒 smtp（only）：）：108，000 封封/秒秒 sgs 5600 series 562056405660 cpu2.8 ghz3.2 ghz3.6 ghz memory1 gb2 gb4 gb disk1 x 80 gb 1x160 gb std, 1x160 gb optional 2x160 gb std ports 6 x gige (2 fast) 8 x gige (3 fast) 10 x gige (all fast) ( 4 sfps) raid 1no optional with second disk yes, standard encryption accelerator yes, aes and 3des yes, aes and 3desyes, aes and 3des chassis1u2u2u security functions 集成: 全封包检测防火墙, vpn (ipsec a/p-active/passive, load balancing) 4.8代理服务器：代理服务器： 采用 bluecoat 代理/缓存/安全/加速设备 800-1 一级分行互联网接入平台建议书 第 15 页 共 22 页 blue coat 专注于提供互联网安全代理专用设备来控制用户的 web 访问。blue coat proxysg 专用 设备在不影响网络性能的前提下，集成了先进的代理功能和安 全服务，如内容过滤、即时消息控制 、web 病毒扫描和 p2p 文件共享应用控制。 blue coat 目前在全球拥有超过 3000 个用户，总发货数超过 17000 台，已被许多世 界上最具影响力的组织和机构所信任，来确保 web 环境的安全高效。 proxysg 专用设备针对互联网内容特性而设计的操作系统，以及多向互联网加 速技术，提供了对 web 内容的强大缓存能力，是业界最强的 web 内容缓存设备。 通过强大的访问策略控制技术，对各种“应用级威胁”进行防御，从而保障员 工互联网访问的效率和速度。 同时 proxysg 运行的 sgos 操作系统还具有更多的关键能力包括： 简便的管理：简便的管理： blue coat systems 产品设计为在数分钟内就可安装，几乎没有日常管理的工作， 它们是自适应、能自愈的专用设备。其它厂商的解决方案往往要求定期的维护和停 机，blue coat systems 提供的是使用简便的真正的专用设备。 高可靠性和可用性高可靠性和可用性 blue coat systems 专用设备为复杂的网络要求而设计，具有极高的可靠性；当 设备意外失效时，实现了“fast restart”功能，在数秒内启动，无需人工干预，没有 能感觉到的服务丢失现象，设备的自动提示向管理员发出警告。 维护简单维护简单 在现存网络体系中使用专用设备的首要目的，就是减轻维护服务器和防火墙带 来的“头疼”问题。blue coat systems 专用设备可以通过命令行或浏览器界面进行 远程管理。 web 内容的安全控制内容的安全控制 sgos 是从最底层开发出的安全产品，具有高性能的操作信托，始终考虑的一 个功能就是让 web 内容快速、安全地通过整个网络。 4.9blue coat 高速缓存技术高速缓存技术 blue coat 高速缓存内置于 blue coat systems 公司互 proxysg 专用设备的操作 系统中，包含多项专利技术的操作系统，是业界唯一得到证明的、将内容快速而新 鲜地传递给最终用户的解决方案： 快速快速 blue coat 产品以比其它竞争对手提供更快的 web 页面传递速度而闻名。 （参考： tolly group report, the blue coat security gateway, august 2002） 新鲜新鲜 只有 blue coat 产品对传递给最终用户的内容的实际新鲜度进行测算和报告， 并使用专用算法来确定内容新鲜度。 一级分行互联网接入平台建议书 第 16 页 共 22 页 blue coat systems 通过针对互联网延迟而设计的算法技术来改善互联网的服务 质量（qos） ，使用 blue coat 产品，网络管理员能够确信：当用户请求互联网上的 内容时，他们能够获得最快的响应速度。 1. pipelining：快速的内容抓取：快速的内容抓取 当浏览器请求内容时，在浏览器和远端的 web 服务器之间将有许多的往返通 讯发生，这是因为一个 web 页面通常由许多对象组成，而对于每个对象的获取都 必须首先有一个 tcp 会话建立，然后进行 http “get”请求，如下图： 这种串行的对象获取对于最终用户来说就意味着大量的延时，blue coat proxysg 设备的运用，将消除这种延迟的大部分；用户连接将终结在 blue coat proxysg 设备，该设备运行 sgos，包含了针对延迟的算法；这些算法之一就是 pipeline 抓取，该专利算法将打开尽可能多的到源服务器的 tcp 连接，并发地获取 web 对象，这些对象将在浏览器请求它们时，被直接从专用设备快速地传递到用户 桌面系统。 2. 自适应的刷新：快速、新鲜的内容自适应的刷新：快速、新鲜的内容 由于在 web 服务器上的内容在不断变化，blue coat proxysg 设备必须保持缓 存内容的更新；对于 blue coat 专用设备在将内容从其存储传递给用户时，必须确 信内容是新鲜的，那么，一个“refresh check”必须被发给源服务器；然而，为了 快速地提供内容，那就不能等到用户请求时才实现“refresh”操作。如果 “refresh”检查只在用户请求内容时进行，用户就必须忍受使得网络变慢的延时， web 页面的响应时间必然也得不到很大的改善。 传递快速、新鲜的 web 页面的唯一可行的方法是将“refresh”操作与实际的 用户访问分开处理；blue coat 专用设备实现这个操作是通过另一个针对延迟的算 法自适应的刷新算法；该专利算法根据 web 对象的需要进行有选择地刷新， 刷新操作与实际的用户请求是异步进行的。 通过自适应的刷新算法，blue coat proxysg 专用设备自动与源服务器实现“新 鲜度检查” ，从而保证旧的内容被删除，并用新鲜的内容替代。例如，如果在 首页中的对象，对于通过 blue coat 专用设备访问的用户群，是访问 量很大的；blue coat sgos 将更新那些变化的对象（例如：“top story”对象） ，而 不刷新那些不变化的对象（例如：“cnn logo”对象） ；这样保证当前内容被快速 地传递给用户。 并发抓取能够改善 web 页面的第一次请求的响应，同时，动态刷新由于使用 户不必等待对象的刷新时的延迟，从而巨大地改善对象的后续请求的响应。 一级分行互联网接入平台建议书 第 17 页 共 22 页 只有通过 blue coat systems 独创的针对延迟的算法，才能对首次及多次请求基 于 web 的通讯进行加速；通过“快速、新鲜”地传递内容，blue coat sgos 成为 业界领先的互联网 proxysg 的基础。 3. 自适应的刷新：对带宽消耗的影响自适应的刷新：对带宽消耗的影响 自适应的刷新技术是关键技术，用于将常用的 web 内容保存在靠近用户的地 方，并在不引入不必要的网络流量前提下保持内容更新。测量 blue coat proxysg 对 wan 或互联网连接带宽的影响，一种有效方法就是区分出提供给用户内容的流 量和 proxysg 消耗的流量，这两者的差被称为“带宽增益” ；当一个 proxysg 传递 给用户的通讯量超过他从主干获取内容的通讯量时，带宽增益就产生了。 4. 新鲜度测量和报告新鲜度测量和报告 blue coat 专用设备自动测量和报告传递给用户的内容的新鲜度，这种报告的功 能基于自适应的刷新算法所跟踪的 web 对象属性。 测量功能首先跟踪存储在 blue coat 专用设备中的对象，从上次被检查新鲜度 之后被用户访问的次数，然后与自适应的刷新操作相比较；当一个刷新操作发生时 不同的结果将会产生： 如果一个对象在服务器上没有改变，那么该对象前面的传递被记录为“新鲜的” ；如果该对象在服务器上已经变化了，sgos 将依据该对象在源服务器上改变的时 间来计算该对象新鲜传递的比率和是否传递了“陈旧的”内容。 这些信息将报告在 blue coat 管理终端的统计部分，如下图： 通过这种实际的报告机制，网络管理员能够确定用户获得的内容是他们生成请 求时 web 上存在的内容。 5. 主要参数：主要参数： 磁盘驱动器类型 ultra160 scsi 一级分行互联网接入平台建议书 第 18 页 共 22 页 磁盘容量 2*73gb 内存容量 1.5gb 网络接口 2x10/100 base-t；1 个可选扩展槽：100/100 base-t or 10/100/1000 base-t 或 sx 接口 操作系统安全网关 os 安装可安装于标准 19“机架 电源参数： 电源电压(v)100-240 5 综合管理平台综合管理平台 根据总行规范整个互联网接入平台应当具有可管理性，防火墙产品、入侵 检测产品、漏洞扫描等网络安全设备应提供方便、安全的管理特性，入侵检测特征 库、病毒库等，具备实时、在线的更新。需采用统一的网络管理平台，实现对安全 设备和网络各层应用的管理。从安全的角度考虑，接入互联网平台的网管采用带外 网管。 我们选用启明星辰公司的泰合信息安全运营中心泰合信息安全运营中心(简称：简称：tsoc), 将不同位 置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析， 得出全局角度的安全风险事件，并形成统一的安全决策对安全事件进行响应和处理。 启明星辰泰合信息安全运营中心由“四个中心、五个功能模块”组成。四个中 心为漏洞评估中心、运行状况监控中心、事件/流量监控中心、安全预警风险管理与 响应管理中心；五个功能模块为策略管理、资产管理、用户管理、安全知识管理、 自身系统维护管理。具有以下功能特点：安全事件集中收集和处理、漏洞评估管理、 关联分析、资产管理风险评估、安全事件/流量监控安全、策略管理、响应管理、全 面知识管理、多样化显示方式以及丰富直观的报表。 一级分行互联网接入平台建议书 第 19 页 共 22 页 5.1系统功能系统功能 脆弱性管理脆弱性管理 通过脆弱性管理可以掌握全网各个系统中存在的安全漏洞情况，结合当前安全 的安全动态和预警信息，有助于各级安全管理机构及时调整安全策略，开展有针对 性的安全工作，并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督 促各级安全管理机构将安全工作落实。 综合分析与预警综合分析与预警 综合分析与预警是综合安全运营管理平台的核心模块，其接收来自安全事件监 控中心的事件，依据资产管理和脆弱性管理中心进行综合的事件协同关联分析，并 基于资产（cia 属性+价值）进行风险评估分析，按照风险优先级针对各个业务区 域和具体事件产生预警，参照网络安全运行知识管理平台的信息，并依据安全策略 管理平台的策略驱动响应管理中心进行响应处理。 响应管理响应管理 仅仅及时检测到安全事件是不够的，必须做出即时的、正确的响应才能保证网 络的安全。响应管理作为 tsoc 的重要组成部分之一为响应服务实现工具化、程序 化、规范化提供了管理平台。 安全策略管理安全策略管理 网络安全的整体性要求需要有统一安全策略和基于工作流程的管理。通过为全 网安全管理人员提供统一的安全策略，指导各级安全管理机构因地制宜的做好安全 策略的部署工作，有利于在全网形成安全防范的合力，提高全网的整体安全防御能 力，同时通过 tsoc 策略和配置管理平台的建设可以进一步完善整个 ip 网络的安 全策略体系建设，为指导各项安全工作的开展提供行动指南，有效解决目前因缺乏 口令、认证、访问控制等方面策略而带来到安全风险问题。 报表处理报表处理 做为整个系统的公共基础模块，为各个功能提供提供报表支持。报表输出格式 可转换为 word、excel、pdf、html 等多种常用的标准格式 1)资产信息报表