NS204解决方案.doc

Page 21 网络安全系统解决方案网络安全（防火墙部分）解决方案此方案为计算机网络应用方案的提案，着重讲述在计算机网络的应用中存在的问题，以及解决问题的办法。不涉及产品的调试！目录概述：。3一、 客户资源与状况。31、网络目前的状况。32、网络的安全现状。33、网络的安全威胁。4二、网络安全的需求。4 1、网络安全的分析。4 2、网络安全所要达到的目标。4三、方案规划。5 1、安全体系结构。5 2、网络安全体系的设计原则。53、网络产品的选型原则。6四、网络安全产品的方案设计。6网络安全部分（防火墙）。7五、产品选型。8网络安全产品。8六、网络拓扑图。151、系统安装前的网络拓扑图。15 2、系统完成后的网络拓扑图。15七、产品报价。16八、售后服务条款。17九、公司成功案例。171、 外企用户。172、 国企、事业单位。18概述： 首先，感谢某企业给XX公司这样一个好的机会为：某企业的网络安全建设提供解决方案。我们XX公司将本着：切合实际、保护投资、着眼未来的原则，为某企业提供最优质的网络安全建设方案。企业资料！企业一直非常重视计算机网络的建设，经过多年的发展，根据自身的业务需求，采用国际上先进的网络技术，已建立起自己的信息网，形成自己 的Intranet。另外，企业自己还有一些对外服务的服务器，为企业和企业外的网络用户提供网络应用服务。随着企业的规模不断扩大，业务不断增长，网络上的应用也越来越多。另外，由于与国际互联网 - Internet的连接，信息安全问题愈来愈显得突出。企业已敏锐地认识到网络安全的重要性。为提高企业的信息安全性，公司决定大力推动网络安全的建设。我们XX公司与国内外的多家网络安全产品的开发生产公司有着密切的合作，如：Cisco、NetScreen、浙大网新、SonicWall等；我们会以极大的信心和饱满的热情，根据企业对网络安全的特点和需求，提出了针对企业安全需求的解决方案。我们相信本方案中的设计能较好地满足某企业对网络安全系统的需求，并希望与企业有关领导进一步进行深入的讨论。 返回目录一、客户的资源与状况1、网络的目前状况：1、网络接入方式为：专线的接入方式。2、网络规模及主干：数十台计算机，数台服务器；主干网络为百兆三层设备，内部提供百兆到桌面。3、内部网络通过中心交换机进行了VLAN划分，不同VLAN之间可以互相通信。2、网络的安全现状：利用操作系统、数据库、电子邮件、应用系统本身的安全性，对用户的访问权限进行控制。路由器应用简单管理策略，进行一般意义上的访问控制。以上的控制措施，不足以满足对网络安全防护方面的实际需求。3、网络的安全威胁：1）、服务器和内网用户之间通过中心三层交换机相连，内部用户可以访问服务器。由于服务器没有隔离于内网，因此，服务器系统较容易遭到内部用户的不安全信息攻击。2）、来自服务器网络内部的的破坏，计算机所在网络与其他服务器在同一网络中，当网络中的计算机被攻破时，黑客完全可以利用被攻克的计算机对其他的服务器再次进行攻击和破坏活动。3）、缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。4）、外部网的破坏主要的方式为： 黑客用户的恶意攻击、窃取信息， 通过网络传送的病毒和Internet的电子邮件夹带的病毒。 来自Internet 的Web浏览可能存在的恶意Java/ActiveX控件。5）、缺乏一套完整的安全策略、政策。 返回目录二、网络安全的需求1、网络安全的分析：在总体的需求中我们认为：服务器和办公网络的最小化网络为内部网络，该网络只包括企业自己的服务器所在的网络和内部办公用网络，除此之外，全部认为是外部网络。来自外部网络的访问，除特定用户外，则只能访问指定服务器的指定服务。2、络安全所要达到的目标：1）、实现网络安全。a) 保证数据的安全性。b) 保证网络结构不外漏。c) 保证内部地址信息不外漏。d) 保证内部对外服务的服务器只提供最小化的服务端口，防止因打开的端口过多造成的安全隐患。e) 保证内部数据不受病毒的侵害。2）、实现共享访问Internet。a) 保证内部计算机都可以通过防火墙外出访问Internet。b) 可以控制内部计算机的网络访问的服务类型。c) 可以提供更多的管理功能。3）、实现网络管理和访问记录。a) 提供详细的日志记录功能。b) 可以根据不同的需要顶制不同的日志信息。c) 提供日志分析功能，保证对需要的日志记录可以进行有效的统计。4）、防火墙的扩展能力a) 防火墙的可升级能力。b) 防火墙对更高性能的网络连接的接入能力。 返回目录三、方案规划1、安全体系结构：网络安全体系结构主要考虑安全对象和安全机制，安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等。2、网络安全体系的设计原则：1). 需求、风险、代价平衡分析的原则 ： 对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。2). 综合性、整体性原则 ： 运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。3). 一致性原则 ： 这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。4). 易操作性原则 ： 安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。5). 适应性、灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。6). 多重保护原则 任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。3、安全产品的选型原则：在进行某企业的网络安全方案的产品选型时，要求安全产品至少应包含以下功能： 访问控制：完善的访问控制管理功能，通过对特定网段、IP地址的控制，服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。 入侵检测：通过对访问信息的监测，发现入侵行为，继而进行通告报警，使网络管理员可以在第一时间内了解入侵状况，采取相应的措施。 产品的可升级和扩展能力：产品有比较好的升级保证，并且在网络升级之后，仍然可以达到很好的应用效果，不会成为网络应用当中的瓶颈。 良好的售后服务体系：良好、完善的售后服务体系，通过各种技术支持。 产品通过国家和行业的相关认证：安全产品必须通过国家和行业的相关认证，保证有很好的安全防护效果。 返回目录四、网络安全方案的设计XX公司认为，最佳的信息安全解决方案是：在先进的安全理论指导下，充分了解客户对安全的特定需求，正确评估客户信息资源的价值，根据实用、够用、好用的原则，综合运用多种产品与服务，制定出适合客户需求的安全计划并加以有效地贯彻执行，同时提供长期的技术支持，达到合理保护客户信息资源的目的。一个完善的网络安全方案包括以下几个部分：网络安全、入侵检测、漏洞扫描、病毒防护、人员管理、数据安全、设备安全这几个方面，在下面的方案中，限于目前的实际情况，在方案中只体现了网络安全部分。网络安全部分（防火墙）Netscreen 25 网络安全防火墙完全可以满足对要求苛刻的客户的各种需求。对于网络安全方面：防火墙通过三层的数据过滤功能，保证通过防火墙的数据通过防火墙都是安全的访问信息，对于不安全的访问请求，防火墙一经判定，则自动终止该信息的访问请求，保证了内部数据的安全性。防火墙提供多种应用模式，选择适当的应用模式，可以很好的隐藏网络的内部结构，如NAT和路由方式；在防火墙内使用私有不可路由的IP地址，经过防火墙外端口的地址转换，则对端看到的地址信息只是防火墙的外端口的地址信息，无法了解到防火墙内部的地址信息，在隐藏了内部网络结构的同时，也隐藏了内部的地址信息。对于对外服务的服务器，防火墙可以通过一对一的地址映射的方式，将内部的服务器的私有IP地址信息经过防火墙的转换之后，映射为互联网上的可路由的地址信息，方便互联网上的其它网络用户访问服务器；详细统计服务器提供的服务，只打开具体的网络服务，没有或不需要的端口一律关闭，从而保证了服务器只提供了最小化的服务，避免了因为暴露的非必要的端口过多，导致的网络安全方面的隐患。对于共享访问Internet：Netscreen 204 防火墙提供了基于NAT和ROUTE模式的代理功能，可以满足网络内部的多台计算机同时访问Internet的需求，机遇ASIC芯片技术设计的防火墙保证了防火墙更高的实际处理能力。防火墙提供了访问控制功能，对于网络内部的计算机用户来说，防火墙可以规定具体的访问类型，如：web、ftp、telnet等等。防火墙还提供了各种其它的管理功能，如网络带宽的分配：保证某些网络用户拥有一定的网络带宽；时间控制：规定一部分的计算机用户在规定的时间内可以访问Internet，而其它的时间不可以访问Internet等。指定地址服务：可以控制拥有固定IP地址的网络计算机访问特定的服务。日志方面的应用：Netscreen 204 防火墙提供了详细的日志记录功能，对于不同的客户，Netscreen防火墙还提供了日志内容的分类功能，如：是基于策略的访问日志，还是基于事件的报警信息等等。Netscreen 204 防火墙还提供了必要的端口，可以与第三方的日志记录软件相结合，如：SYSLOG，WEBTRENDS软件相结合使用，实现对日志的安全分析功能，保证用户可以查到需要的信息。防火墙的扩展能力：Netscreen200列防火墙的软件是可升级的，保证用户可以在最短的时间之内，可以防护来自网络方面的、最新的、攻击手段的攻击，硬件的升级可以保证防火墙在进行比较小的硬件投资后，获得比较大的系统性能的提升。Netscreen204防火墙非常高的数据处理能力，可以保证用户在进行主干网络升级或光纤接入升级时，依然可以正常应用，而不会成为整个网络的瓶颈。返回目录五、产品选型网络安全产品：NetScreen设备安全产品线概述NetScreen Technologies,Inc.的整合式安全设备是专为互联网网络安全而设，将防火墙、虚拟专用网(VPN) 和流量管理等功能集于一体，NetScreen整合式安全设备具有硬件加速的IPSec加密演算性能(包括在3DES加密的应用下)、低延时，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过内置的WebUI、命令行界面或NetScreen中央管理方案进行处理。防火墙NetScreen提供了可扩展的网络安全解决方案，适用于包括宽带移动用户、大型企业，以至电子商务网站。NetScreen全功能防火墙采用实时检测技术，可以防止入侵者和拒绝服务(denial-of-service)的攻击。 NetScreen的ScreenOS软件是ICSA认证的实时检测防火墙。 全功能解决方案，采用安全优化的硬件、操作系统和防火墙，比拼凑而成的软件类方案提供更高级的安全水平。 强大的攻击防御能力，包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力，配备硬件加速的会话斜率(session ramp rates)性能，即使在最关键性的环境下也可以提供安全保护。 提供网络地址翻译(NAT)、端口地址翻译(PAT)-隐藏内部、无法路由的IP地址。虚拟专用(VPN)所有NetScreen安全设备中都整合了一个全功能VPN解决方案，它们支持站点到站点VPN及远程接入VPN应用。 通过VPNC测试，与其他通过IPSec认证的厂商设备兼容。 三倍DES、DES和AES加密使用数字证书(PKI X.509)，自动的或手动的IKE。SHA-1和MD5认证。 同时支持网状式(mesh)及集中星型(hub and spoke)的VPN网络，可按VPN部署的需求，配置用其一或整合两种网络拓扑。流量管理流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽，有助确保在用户上网浏览时或在执行其他非关键性应用时而不会影响关键性业务的流量。 根据IP地址、用户、应用或时间段来进行管理。 设定保障带宽和最大带宽。 以八种优先等级，为流量分配优先权。 支援符合行业标准的diffserv数据包标记，允许NetScreen安全设备在MPLS的环境下运行。强大的ASIC功能NetScreen的安全机制采用ASIC，在硬件中处理防火墙访问策略和加密算法，这方面运算的速度是软件类方案不能相比的；同时它还可以省出中央处理器资源用于管理数据流。这种安全加密的ASIC更可与NetScreen的ScreenOS操作系统和系统软件紧密地集成起来，与其他基于通用的商用操作系统的安全产品相比，NetScreen产品消除了不必要的软件层和安全漏洞。NetScreen将安全功能提升到系统层次，更可以节省建立额外平台带来的开支。目前，其他采用PC或工作站作为平台的软件类方案，往往令系统性能大打折扣。设备的可靠性和安全性NetScreen将所有功能集成于单一硬件产品中，它不仅易于安装和管理，而且能够提供更高可靠性和安全性。由于NetScreen设备没有其它品牌对硬盘驱动器和移动部件所存在的稳定型问题，所以它是对在线时间要求极高的用户的最佳方案。采用NetScreen设备，只需要对防火墙、VPN和流量管理功能进行配置和管理，减轻了配置另外的硬件和操作系统。这个做法缩短了安装的时间，并在防范安全漏洞的工作上，减少设定的步骤。完备简易的管理NetScreen的安全设备包括强健的管理支持，允许网络管理员安全地管理设备。由于VPN功能是内置的，因此可以对所有管理加密，从而实现真正的安全远程管理。 采用NetScreen-Global PRO和NetScreen-Global PRO Express，以菜单选项形式实现中央站点管理。 通过内置WebUI实现浏览操作式的管理。 在频带内，可透过SSH和Telnet进入命令行界面(CLI)；在频带外，则可透过控制台和调制解调器端口。 电子邮件告警、SNMP traps和告警。 系统日志(Syslog)、简单网络管理协议(SNMP)、WebTrends和MicroMuse NetCool界面可与第三方报表系统互兼产品特点 专用的网络安全整合式设备-高性能安全产品，集成防火墙、VPN和流量管理功能，皆具有市场领先性能 产品满足各大小商业需求-适用于包括宽带接入的移动用户，小型、中型或大型企业，高流量的电子商务网站，以及其他网络安全的环境 安装和管理-通过使用内置的WebUI界面、命令行界面和NetScreen中央管理方案，在几分钟内完成安装和管理，并且可以快速实施到数千台设备上 通用性-所有设备都提供相同核心功能和管理界面，便于管理和操作产品外观产品概述 NetScreen-204是个高性能的安全应用方案，具有四个自适应10/100 Base-以太网口（信任Trust,非信任Untrust,DMZ，另外一个留作将来使用），它能够提供375Mbps的防火墙数据流量和175Mbps的3倍DES加密VPN性能，保护局域网(LANs)以及与外网建立数据交流的mail服务器，web服务器和FTP服务器的安全。NetScreen-204支持128000个并发TCP/IP会话和1000个VPN通道。性能价格比最优的产品NetScreen-204防火墙为整合式安全设备，将防火墙、虚拟专用网(VPN)和流量管理等功能集于一体并通过ScreenOS可以方便设置与管理，是价格合理、功能齐全的网络安全整合方案。IPSec NAT穿越(Traversal)所有NetScreen设备可以通过IPSec通道连接两台NetScreen的产品，即使中间存在执行NAT的插入设备时，仍能将两台NetScreen产品连接，或将一台NetScreen产品与兼容的远程客户端连接。DHCP服务器所有的NetScreen安全设备可以配置成DHCP服务器，为内部信任网络分配IP地址。这减少了许多与IP地址管理有关的管理问题和维护时间。集中星型的(hub-and-spoke)VPNNetScreen的星型VPN特点大大简化了大规模VPN的部署，因为分支办公室和远程站点可以把总部作为中央站点，以传输远程站点之间的加密流量。技术参数性能并发会话：128,000每秒的新会话数：13,000防火墙性能：375Mbps三倍DES(128位)：175Mbps策略：4,000时间表：2564个自适应10/100M Base-T以太网口工作模式透明模式（所有端口）：是路由模式在所有端口：是NAT(网络地址转换)在所有端口：是基于策略的NAT:是PAT(端口地址转换）：是虚拟IP(Virtual IP):4映射IP(Mapped IP)：4,000IP路由-静态路由：256每个端口的用户数，信任端：没有限制 IP地址分配静态：均支持DHCP client(动态IP分配):N/APPPoE client:非信任端内部DHCP服务器：信任端DHCP Relay:支持防火墙攻击检测同步攻击：是ICMP flood检测:是UDP flood检测:是检测死ping(Ping of death):是检测IP欺骗(IP spoofing):是检测端口扫描(Port scan):是检测陆地攻击(Land attack):是检测撕毁攻击(Tear drop attack):是过滤IP源路由选项(Filter IP source route option):是检测IP地址扫描攻击(IP address sweep attack):是检测WinNuke attack攻击:是Java/ActiveX/Zip/EXE:是默认分组拒绝(Default packet deny):是Dos & DDoS保护:是用户定义的不良URL：48Per-source session limiting:是Syn fragments:是Syn and Fin bit set:是No flags in TCP:是FIN with no ACK:是ICMP fragment:是Large ICMP:是IP source route:是IP record route:是IP security options:是IP timestamp:是IP stream:是IP bad options:是Unknown protocols:是VPN 专用隧道：1,000手动密匙、IKE、PKI(X.509) ：是DES(56-bit)&三倍DES(168bit)加密encryption：是完全正向保密(DH群组)Perfect forward secrecy(DH Groups)：1,2,5防止回复攻击(Prevent replay attack)：是远程接入VPN(Remote access VPN)：是L2TP within IPSec：是站点间VPN(Site-to-site VPN)：是集中星型VPN网络拓扑：是IPSec NAT Traversal：是IPSec认证：SHA-1:是MD5:是PKI认证请求（PKCS 7& PKCS 10）：是Automated certificate enrollment(SCEP)：是Online Certificate Status Protocol(OCSP)：是支持的证书服务器：Versign认证中心:是Entrust认证中心:是Microsoft认证中心:是RSA Keon认证中心:是IPlanet(Netscape)认证中心:是Baltimore认证中心:是DOD PKI认证中心:是防火墙和VPN用户认证内置（内部）数据库用户限额：1,500；RADIUS（外部）数据库：是；SA SecureID(外部）数据库：是；LDAP（外部）数据库：是；流 量 管 理有保障的带宽：适用最大带宽：适用优先使用带宽：适用DiffServ标记：适用负 载 均 衡轮询Round robin：是；加权轮询Weighted round robin：是；最少连接Least connections：是；加权最少连接Weighted least connections：是；高可用性(HA)高可用性(HA)：是防火墙和VPN会话保护：是设备故障监测：是链路故障监测：是故障切换网络通知：是新HA成员认证：是HA流量加密：是系 统 管 理网 址 浏 览 器 配 置 管 理（WebUI:HTTP and HTTPS）；命令行界面-控制台（Command line interface:console，telnet）；命令行界面(telnet)；安全命令外壳（兼容ssh v1)Secure Command Shell(ssh v1 compatible)；NetScreen Global Pro：在新版本的ScreenOS发布后可实现；NetScreen Global Pro Express：在新版本的ScreenOS发布后可实现；在任何借口上经过VPN通道可实现管理；SNMP完全自定义MIB管理多个管理员：20；远程数据库管理： RADIUS；网络管理：6；根源管理、管理和只读三种用户权限(Root Admin,Admin,&Read Only user levels)：是；软件升级和配置变动：TFTP/WebUI/Global日志/监控系统日志(Syslog):外部；电子邮件(两个地址)E-mail(2 addresses):是；Web Trends:外部；SNMP:是；Traceroute:是；VPN通道监视程序(VPN tunnel monitor)：是；Websense URL过滤:外部External Flash(外接闪存卡) CompactFlash：96或512MB可选PCMCIA闪存:无；事件日志和告警(Event logs & alarms):是；系统配置脚本(System config script):是；ScreenOS软件(ScreenOS software):是电源AC(交流）电源: 90-264可变VAC(47到63Hz)；功率消耗：45瓦；DC(直流）电源：-36 to -72VDC, 功率消耗：50瓦外 型 尺 寸10.8英寸(长) x 17.5英寸(宽) x 1.73英寸(高), 重量7磅可堆叠支持支持的标准ARP, TCP/IP, UDP, ICMP, HTTP, RADIUS, IPSec (IPESP), MD5,SHA-1, AES, DES,