项目背景分析

1、项目背景分析xx公司已经应用计算机作为生产管理的工具。随着计算机技术和网络技术的不断发展和迅速在普及，xx公司的计算机应用和局域网络规模也在不断壮大。目前xx公司已经建立了三十个分公司（办事处），各分支机构内部也全部采用计算机作为业务工具，并建立了自己的局域网络，部分公司已经接入Interent。随着xx公司业务发展的需求，各分公司有着越来越多的业务信息需要同总公司交互。但现阶段xx公司的计算机网络系统仍然局限于各分公司自己建设一个局域网，这些小的局域网只能满足分公司内部的网上办公系统，不能实现整个公司的网上办公需求。分公司与总公司的信息交流仍然使用传统的电话、传真、人力等方式，或者在没有进行

2、任何安全措施保护的情况下使用互联网。对整个公司来说，分公司仍然是信息孤岛。xx公司的信息网络建设已经滞后于业务发展的步伐。新的ERP系统的使用也迫切地需要将各分公司与总公司的局域网连接在一起形成一个大的内部intranet广域网络。公司的信信息部门门时刻跟跟踪最新新技术的的发展，发现VVPN技技术的应应用已经经完善，公司的的计算机机网络已已经可以以采用最最新的VVPN技技术实现现各分公公司与总总部网络络之间的的安全广广域网连连接。目前，各各种病毒毒、网络络攻击等等安全事事件频繁繁发生，已经成成为企业业安全的的一个重重要威胁胁；技术术的突破破，已经经使各种种病毒具具有了黑黑客工具具的性质质，一旦

3、旦企业被被病毒感感染，会会自动打打开相应应的端口口或服务务，使企企业门户户大开，而病毒毒通过互互联网可可以轻易易的突破破没有经经过严密密防护的的企业内内部网络络，给企企业带来来各种威威胁：开开放服务务、发出出大量垃垃圾邮件件或带病病毒邮件件等等。黑客和和带黑客客性质的的病毒，不仅会会破坏xxx公司司的运行行环境，破坏机机器上的的数据，更有可可能盗取取机密的的数据和和信息！潜在的的风险很很难估计计。而在xxx公司各各地网络络建设之之初，因因为没有有专门针针对安全全方面进进行专门门设计，所以其其现状是是不能够够满足本本企业目目前的安安全需求求的。比比如没有有采用必必要的网网络边界界防御手手段来抵抵

4、抗来自自外部的的各种威威胁，同同时也没没有采用用必要的的防病毒毒手段来来抵抗当当今变化化各异的的病毒。防火墙系系统，负负责整个个企业的的边界防防护，进进行企业业内部、外部沟沟通的安安全桥梁梁，增加加了防火火墙系统统，会将将企业的的安全防防护级别别提高一一个层次次，同时时，还可可以建立立公司总总部与分分公司网网路之间间的VPPN通道道，更加加合理、有效的的利用公公司现有有资源，而不会会造成信信息泄露露，因此此，引进进新的防防火墙系系统也是是xx公公司建立立企业广广域网安安全系统统的当务务之急。经过和xxx公司司的相关关技术人人员的接接触和交交流，在在此基础础上我公公司给出出本VPPN广域域网络及

5、及安全系系统建设设的实现现方案，侧重于于企业的的VPNN系统，并考虑虑到信息息的足够够安全性性。VPN/防火墙墙需求分分析VPN技技术介绍绍虚拟专用用网（）是一个通过过公用网网络（通通常是因因特网）建立的的一个临临时的、安全的的连接，是一条条穿过混混乱的公公用网络络的安全全、稳定定的隧道道。虚拟拟专用网网是对企企业内部部网的扩扩展。虚虚拟专用用网可以以帮助远远程用户户、公司司分支机机构、商商业伙伴伴及供应应商同公公司的内内部网建建立可信信的安全全连接，并保证证数据的的安全传传输。虚虚拟专用用网可用用于不断断增长的的移动用用户的全全球因特特网接入入，以实实现安全全连接；可用于于实现企企业内部部网

6、之间间安全通通信的虚虚拟专用用线路。虚拟专用用网主要要采用了了两种技技术：隧隧道技术术与安全全技术。隧道技技术当前前主要有有三种协协议支持持：PPPTP，L2TTP和IIPseec。安安全技术术主要有有MPPPE、IPssec等等加密算算法。隧隧道技术术主要是是完成IIP数据据包的二二次封装装，以实实现企业业私有地地址在公公网上的的传输。为了保保证传输输的安全全，需要要一定的的安全加加密手段段保证数数据的私私密性和和完整性性，在隧隧道和加加密的技技术上，IPssec已已成为IIP安全全的一个个应用广广泛、开开放的VVPN安安全协议议。IPPsecc适应向向Ipvv6迁移移，它提提供所有有在网络

7、络层上的的数据保保护，进进行透明明的安全全通信。IPssec用用密码技技术提供供以下安安全服务务：接入入控制，无连接接完整性性，数据据源认证证，防重重放，加加密，防防传输流流分析。IPssec协协议可以以设置成成在两种种模式下下运行：一种是是隧道（tunnnell）模式式，一种种是传输输(trranssporrt)模模式。在在隧道模模式下，IPssec把把IPvv4数据据包封装装在安全全的IPP帧中。传输模模式是为为了保护护端到端端的安全全性，即即在这种种模式下下不会隐隐藏路由由信息。隧道模模式是最最安全的的。IPseec 定定义了一一套用于于保护私私有性和和完整性性的标准准协议。IPssec

8、支支持一系系列加密密算法如如DESS、3DEES。它它检查传传输的数数据包的的完整性性，以确确保数据据没有被被修改，具有数数据源认认证功能能。IPseec可确确保运行行在TCCP/IIP协议议上的VVPN之之间的互互操作性性。VPN技技术的优优势信息的安安全性。虚拟专专用网络络采用安安全隧道道技术向向用户提提供无缝缝的和安安全的端端到端连连接服务务，确保保信息资资源的安安全。方便的扩扩充性。用户可可以利用用虚拟专专用网络络技术方方便地重重构企业业专用网网络(PPrivvatee Neetwoork)，实现现异地业业务人员员的远程程接入，加强与与客户、合作伙伙伴之间间的联系系，以进进一步适适应虚

9、拟拟企业的的新型企企业组织织形式。方便的管管理。VVPN将将大量的的网络管管理工作作放到互互联网络络服务提提供者(ISPP)一端端来统一一实现，从而减减轻了企企业内部部网络管管理的负负担。同同时VPPN也提提供信息息传输、路由等等方面的的智能特特性及其其与其他他网络设设备相独独立的特特性，也也便于用用户进行行网络管管理。显著的成成本效益益。利用用现有互互联网络络发达的的网络构构架组建建企业内内部专用用网络，从而节节省了大大量的投投资成本本及后续续的运营营维护成成本。安全需求求分析来自外网网和内网网的安全全攻击均均对xxx公司整整个网络络构成安安全威胁胁。从公公司目前前的网络络现状来来分析，主要

10、的的安全威威胁来自自以下几几个方面面：总部关键键服务器器的安全全威胁支机构与与总部交交换数据据时数据据在传输输过程中中的安全全威胁自外部（Intternnet）的安全全威胁病毒的威威胁所有的安安全漏洞洞都可能能被利用用成为安安全攻击击，进而而对整个个网络带带来损害害。对于内联联网/外外联网的的接口处处实施流流量管理理，数据据包过滤滤和监控控，将会会是保障障网络安安全的重重要环节节；同时时建立与与各分支支机构之之间的跨跨地域的的VPNN安全专专有网络络，满足足信息交交换的安安全需求求。VPN/防火墙墙系统设设计网络结构构分析随着xxx公司的的不断发发展壮大大，企业业的计算算机应用用和网络络规模也

11、也越来越越普及，总部与与各个分分支机构构之间的的沟通的的需求也也越来越越大，因因此通过过信息化化的手段段来进行行数据的的交换和和备份，给企业业带来极极大的工工作便利利性，促促进了企企业的生生产发展展。同时，本本着安全全的原则则，将公公司的信信息资源源最大作作用的发发挥其作作用也是是本次网网络建设设的一个个重要内内容，因因此，对对xx公公司网络络先进行行网络边边界的划划分，控控制好外外部网络络对本企企业的访访问已经经成为当当务之急急；而且且由于xxx公司司的分支支机构分分布在各各地，所所以信息息数据的的交换将将会通过过不信任任的公网网，因此此在总部部和各分分支机构构之间建建立基于于IPSSEC的

12、的VPNN的访问问机制也也将成为为本系统统系统的的一个不不可或缺缺的因素素。作为一种种边界访访问控制制手段，防火墙墙设计的的基础就就是有效效的边界界划分，以此区区分不同同安全控控制级别别的访问问区域。根据分分析，我我们认为为xx公公司网络络存在如如下几种种不同的的边界：内联网（VPNN网络）就是xxx公司整整个网络络架构，包含总总部、330个分分支机构构（以后后可能扩扩充）。2）外联联网指与xxx公司网网络相连连的国际际互联网网（INNTERRNETT）。在每个网网络区域域内部根根据服务务器用途途、访问问对象、安全需需求的不不同，可可进一步步区分为为不同的的内部子子网，从从而增加加了访问问控制

13、规规划的边边界参考考点。VPN/防火墙墙系统设设计原则则在xx公公司VPPN/防防火墙系系统的设设计过程程中，我我们始终终遵循以以下原则则：系统工程程原则在系统设设计和实实施过程程中，严严格遵循循系统工工程的观观点和方方法进行行工作。自始至至终考虑虑到系统统的整体体性、层层次性、相关性性、目的的性、时时间性和和环境的的适应性性。用户第一一的原则则系统设计计的逻辑辑模型必必须符合合用户的的要求，完成系系统提出出的目标标和功能能。以需需求为核核心无论是是产品选选型、部部署还是是体系搭搭建，都都必须围围绕安全全需求进进行，保保证安全全投资的的合理性性和目标标的准确确实现。先进性和和实用性性原则采用先

14、进进的设计计思想和和设计方方法，尽尽量采用用国内、外先进进技术，使本系系统在国国内具有有一定的的先进水水平。采采用先进进技术，必须符符合实际际情况，坚持一一切从实实际出发发，一切切为用户户着想的的原则，系统的的建立以以用户的的需要作作为设计计的出发发点和归归宿，求求得先进进性和实实用性相相统一，获取最最佳效益益。可靠性原原则系统设计计应确保保系统运运行的正正确性和和数据传传输的正正确性，防止和和恢复由由内在因因素和危危机环境境造成的的错误和和灾难性性故障，确保系系统获取取可靠性性。可操作性性原则可操作性性是指系系统应尽尽量便于于用户的的理解、学习、掌握和和使用，人机界界面友好好，方便便操作和和

15、维护。VPN/防火墙墙产品选选型本方案中中的产品品选型主主要基于于以下的的原则：1）能够够实现安安全目标标，控制制安全风风险xx公司司的防火火墙系统统应该能能够对通通常的网网络风险险能够有有较好的的防范手手段和措措施，可可以满足足现有网网络的安安全需求求，具有有良好的的可扩展展性。2）提供供完整的的VPNN功能根据认真真审慎地地对比和和分析，我们认认为，FForttigaate-3000防火墙墙和Viigorr22000Eppluss VPPN路由由器从产产品功能能、系统统安全性性、可扩扩展性、性价比比等多方方面优于于同类产产品，满满足了上上述选型型原则和和系统设设计要求求。Foortiiga

16、tte-3300防防火墙可可用做总总部的VVPN和和外联网网接入设设备，控控制VPPN和外外联网数数据流。Viggor222000Epllus用用作分公公司的VVPN接接入设备备。概括括如下：Forttigaate产产品功能能、特点点能够很很好的满满足xxx公司的的安全需需求，实实现其安安全目标标。Forttigaate全全功能防防火墙采采用状态态监测技技术，以以保护系系统免受受内部及及外来的的攻击。无无论物理理及虚拟拟接口均均可提供供阻断服服务式攻攻击(DDoS)及具有有攻击防防御功能能。以下下功能为为现今的的网络提提供更高高的灵活活性和安安全性。全集成化化的解决决方案，具备安安全优化化的硬

17、件件、操作作系统和和防火墙墙，比拼拼凑式以以软件为为基础的的方案提提供更高高阶的安安全性和和性能。全面的阻阻断服务务及攻击击防御功功能，包包括SYYN攻击击、ICCMP泛泛滥、端端口扫描描等多种种攻击防防护能力力；此外外，配合合硬件加加速的会会话启动动功能，即使在在高负荷荷的网络络环境下下亦可提提供安全全保护。病毒和蠕蠕虫防御御：能够够1000%检测测、消除除感染现现有网络络的病毒毒和蠕虫虫，实时时的扫描描输入和和输出邮邮件及其其附件（SMTTP，PPOP33，IMMAP），在不不损失WWeb性性能情况况下扫描描所有WWeb内内容和插插件（HHTTPP）的病病毒特征征码；VVPN反反病毒：消除

18、VVPN隧隧道的病病毒和蠕蠕虫，阻阻止远程程用户及及合作伙伙伴的病病毒传播播。Web 内容过过滤处理理所有的的网页内内容，阻阻挡不适适当的内内容和恶恶意的脚脚本。Web内内容过滤滤：根据据URLL、关键键词模式式匹配阻阻止Weeb站点点及页面面。免屏蔽列列表：允允许管理理员设置置专门的的URLL或关键键字不被被阻断。脚本过滤滤：阻止止网页的的插件，例如AActiiveXX、Jaava Apppletts和CCookkiess。入侵检测测系统 实实时的基基于网络络的入侵侵检测。攻击数据据库：用用户可配配置的超超过13300种种攻击特特征库确确保可靠靠的管理理。攻击检测测：检测测已知的的DOSS、

19、DDDOS攻攻击，以以及绝大大多数操操作系统统和应用用协议的的漏洞。邮件报警警：当监监测到攻攻击时，防火墙墙会同时时向3个个邮件地地址自动动发出警警报。日志和报报告：将将日志记记录远程程传送到到Sysslogg主机。多种日志志:流量量、事件件和攻击击日志。搜索功能能:可以以根据关关键字,来源,目的,日期和和时间搜搜索日志志记录。Vigoor22200EEpluus路由由器的功功能特点点能很好好的满足足各分公公司的VVPN需需求快速的广广域网口口，采用110/1100MM 以太太网络，适合在在高速的的应用环环境，支支持ADDSL共共享上网网、宽带带光纤接接入等多多种上网网方式。提供DHHCP S

20、errverr功能，内置44口100/1000M交交换口。VPN功功能，在在加密的的通道内内穿越公公共的因因特网进进行安全全的远程程连接，节省专专线费用用，充分分利用已已有的网网络资源源。支持持IPSSec/PPTTP/LL2TPP，并提提供DEES/33DESS/MPPPE加加密方式式。内置强大大的防火火墙能力力，提供供诸如NNAT端端口阻断断，DDDOS、DOSS保护等等。支持VLLAN、基于端端口的速速率调节节。动态域名名服务功功能。部署示意意图六、方案案特点1、可用用性由于采用用了高可可靠性、基于AASICC芯片设设计的硬硬件防火火墙设备备，系统统的可用用性得到到了有力力的保证证。在x

21、xx公司司网络出出口这样样的一个个重要的的网络环环境中，高可用用性无疑疑是良好好的解决决方案所所必须具具备的特特征。2、良好好的可扩扩展性方案选用用的产品品使系统统的可扩扩展性非非常好，可以在在不中断断服务的的情况下下任意扩扩展，而而且由于于产品本本身的高高处理量量，系统统具有超超强的扩扩展能力力。3、安全全性在整个方方案设计计过程中中，不仅仅从产品品选型和和系统各各实现环环节实现现了防火火墙系统统自身的的安全，而且从从整体防防护的角角度出发发，对防防病毒等等安全应应用提供供的安全全保护和和可借鉴鉴意义进进行了充充分考虑虑，从而而实现了了系统最最大的安安全性。4、性价价比由于产品品选型恰恰当，

22、部部署结构构合理，从而使使系统获获得了最最佳的性性价比。方案报价价附件一：Viggor222000Epllus产产品介绍绍Vigoor22200EEpluus 是是以全新新高速 CPUU 平台台，针对对宽频线线路来设设计，适适合高速速的宽频频存取，VPNN 使用用，NAAT地址址转换和和防火墙墙等功能能。 可可连接 10/1000M 频频宽的 ADSSL/CCablle 调调制解调调器联机机上网，内建四四口的110/1100MM 交换换器端口口，提供供给内部部的计算算机连接接使用。此外，具串行行端口打打印服务务器功能能，可提提供文件件及相片片的打印印服务。其主要要功能包包括:DDHCPP Cl

23、liennt/SServver 提供IIP地址址分配，DDNNS动态态网址服服务功能能，提供供动态线线路服务务，拨号号时程服服务可依依据网络络时间来来提供上上网服务务，SNNMP提提供网管管，RAADIUUS等提提供VPPN联机机时更多多功能的的选择及及弹性设设定。Vigoor22200EEpluus VVPN 路由器器的好处处针对个人人工作室室(SOOHO)及中小小企业(SMEE)设计计简易，最容易易与 AADSLL/Caablee 调制制解调器器连结上上网。 Eassy IInteerneet AAcceess viaa brroaddbannd ttechhnollogyy byy co

24、onneectiing to ADSSL/CCablle mmodeem ffor SOHHO！强强大的 VPNN 功能能，可提提供分支支点对总总公司，移动人人员对总总公司及及分支点点对分支支点的联联机应用用。WAAN提供供高速110/1100MMbasseTXX 高速速网络，特别适适合大量量用户或或需高流流量之客客户群，如社区区网络或或光纤到到大楼等等服务。内建建四口自自动侦测测跳线功功能之交交换器。 内建建打印机机服务器器可提供供网络内内每部计计算机使使用。防火火墙保护护可避免免骇客经经由网络络攻击。拨号号时程设设定可预预先确认认VPNN及远程程拨入用用户上网网使用时时间。动态态网域服服务

25、功能能(Dyynammic DNSS)提供供非固定定IP用用户可建建立 WWWW.FTPP 等伺伺服务，当ISSP变换换不同网网址时，仍可正正常服务务。 重要特色色强而有力力的平台台适合高高速的网网络存取取Vigoor22200EEpluus 是是采用最最新的平平台架构构，可轻轻易建立立VPNN联机，不管是是总公司司对分支支点，行行动式应应用点对对总公司司，分支支点对分分支点间间的联机机，皆可可更快速速的连结结。 除除了VPPN联机机速度外外，亦增增加NAAT地址址转换及及防火墙墙封包过过滤的速速度。快速的广广域网口口( WWAN intterffacee)Vigoor22200EEpluus

26、 的的广域网网口是采采用100/1000M 以太网网络，适适合在高高速的应应用环境境，如光光纤到大大楼FTTTB ( ffibeer-tto-tthe-buiildiing ) 或或光纤到到用户 FTTTH ( fiibbeer-tto-tthe-homme )等。 虚拟私有有网络 Viirtuual Priivatte NNetwworkk (VVPN)技术规格格广域网络络界面(WANN )一个100/1000M BasseTTXADDSL PPPPoE/ PPPTP 客户端端DHHCP 客户端端固定IPP网络环环境的静静态IPP指定DDDNS (Dyynammic DNSS) 客客户端NTP（Nettworrk ttimee Prrotoocoll）客户户端局域网络络界面(LANN) 内置100/1000M Bas