网络安全整体解决方案

珠海市网佳科技有限公司

网络安全整体解决方案

目录

第 1 章总体分析及需求 (33)

第 2 章总体设计 (44)

第 3 章防火墙方案 (44)

3.1 本方案的网络拓扑结构 (55)

3.2 本方案的优势： (66)

3.3本方案的产品特色 (77)

第 4 章内网行为管理方案 (88)

4.1 内网安全管理系统介绍 (88)

4.2内网管理系统主要功能 (99)

第 5 章报价单........................................... 错误!未定义书签。错误!未定义书签。

第 1 章总体分析及需求

珠海市网佳科技有限公司新办公大楼由五层办公区域组成，公司规模较大、部门较多，总PC 数量估计在200左右，其中公司财务部门需要相对的独立，以保证财务的绝对安全；对于普通员工，如何防止其利用公司网络处理私人事务，如何防止因个人误操作而引起整个公司网络的瘫痪，这些都是现在企业网络急待解决的问题。随着公司规模的不断壮大，逐渐形成了企业总部－各地分支机构－移动办公人员的新型互动运营模式，怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。同时，如何防止骇客攻击、病毒传播、蠕虫攻击、敏感信息泄露等都是需要考虑的问题，如：

第一、随着电脑数量的增加，如果网络不划分VLAN，所有的PC都在一个广播域内，万一网内有一台PC中了ARP，那么将影响到整个网络的稳定；

第二、各类服务器是企业重要数据所在，而服务器如果不采取一定的保护机制，则会经常遭受来自内外网病毒及其它黑客的攻击，导致服务器不能正常工作及信息泄露，经企业带来不可估量的损失；

第三、网络没有网管型的设备，无法对网络进行有效的控制，使网络管理员心有余力而力不从心，往往是事倍功半，如无法控制P2P软件下载而占用网络带宽；无法限制QQ、MSN、SKYPE等即时聊天软件；网管员无法对网络内的流量进行控制，造成网络资源的使用浪费；

第四、企业有分支机构、移动办公人员，无法与总部互动、访问总部K3、ERP等重要数据资源，从而不能及时获取办公所需数据。

综上分析，珠海市网佳科技有限公司按照企业目前网络情况，有针对性地实施网络安全方面的措施，为网络的正常运行及服务器数据的安全性做好前期工作。

第 2 章总体设计

根据珠海市网佳科技有限公司的实际网络情况，结合目前的具体需求，从以下几个层面来为珠海市网佳科技有限公司设计一个以硬件防火墙为主体的网络安全解决方案，保障珠海市网佳科技有限公司网络的正常运行及服务器的安全。

公司网络的大致结构是:光纤-路由器-交换机-PC,公司大概有200多台电脑,根据公司目前的网络规模及上面的分析，现提出以下整体解决方案。

1.在网络出口处架构一台硬件防火墙,以防止非法攻击

2.在每台PC上安装内网行为管理软件，对每台PC实施应用程序管理、屏幕监控、上网策略管理

等

第 3 章防火墙方案

本方案建议采用国康防火墙. 根据公司的网络结构,适合的型号是FX-500。通过前面的分析与需求，国康防火墙可以达到贵公司现在所需解决的问题，具体表现如下：

●下载安装游戏软件；用QQ与MSN聊天造成工作效率低下；主动或被动的浏览色情网站；BT疯

狂下载电影、在线听歌、QQ直播，造成网络带宽堵塞；同时网络管理员需要只允许访问固定网

站或屏蔽某些网站。

●员工上网管理：自定义时间开放网上聊天、游戏、查询股票项目。

●有效保护对外发布的WEB、FTP、邮件服务器。防止黑客入侵篡改网站信息，发布反动黄色内容

帖子。对从内到外及从外到内的网络访问做好有效的日志记录，以备网监处查询。

●对网络整体进行流量限制

●防止ARP欺骗现象的发生，当发生欺骗现象时，可以通过防火墙日志端快速的查找到ARP欺骗

源头所在，保障网络正常运行。

●可以实现移动办公，通过防火墙内置的各种VPN（PPTP 、L2TP VPN、IPSec VPN、SSL VPN）功

能，即使出差在外，也可方便地访问公司内部ERP服务器资源。

●IP/MAC地址绑定，防止员工随意更改IP地址，造成网络内地址冲突现象而发生网络中断，使

网管员方便管理规划网内IP地址资源。

3.1 本方案的网络拓扑结构

建议的网络拓扑结构

3.2 本方案的优势：

1、珠海市网佳科技有限公司整体处于安全区域内,对公司内部发布的服务器起到保护,有效防护外部攻

击。

2、可对网络限制整体流量.

3、可以随意封堵QQ.MSN,YAHOO通等即时聊天软件.

4、可以整体控制BT、电驴、迅雷等下载软件占据大量带宽。

5、可以对公司的数据进行安全过滤。

6、防火墙的设置简单化，特别是没有专职网管的公司,为管理者带来极大的方便。

7、增加了SSL VPN功能，极其简化的设置方式，只需要用户名、密码、服务器IP三个参数即能轻松完

成配置。为远程拨入的移动客户端，提供了方便。

8、强大的日志审计，完成了对实时流量监控，对ARP、蠕虫病毒的监控，对客户端上网记录的监控等。

3.3本方案的产品特色

防火墙特色功能

●灵活的管理界面，面象对象的管理

●多WAN口链路负载均衡---网通电信线路智能判断

●PPPOE拨号功能，彻底解决ARP病毒

●实名上网功能，无需安装插件

●多动态域名互为备份

●应用路由功能，可设置某种协议流量走特定的外网口

●可屏蔽内网客户端发贴

IPSEC/SSLVPN功能:

●可基于路由、透明、单臂模式部署，不改变客户网络结构；

●支持以口令或口令加证书USBKey的方式进行身份验证;内置CA中心

●VPN帐号可以和特定的机器特征自动绑定；

●灵活的应用发布机制和权限分布机制；支持B/S、C/S和T/S应用程序；

●灵活的安全策略，方便用户远程访问；

●完善的日志和报表；

●解决多种宽带网络间互访“南北不通”问题；

●支持低宽带条件下的数据实时压缩，最高可提高50%的数据传输速率；

●TCP/IP协议优化,集成了数据压缩技术

●穿透性好，支持移动、电信3G网络

终端管理功能:

●USB存储设备认证与加密

●外联监控

●外设控制

●共享目录监控

●硬件变更监控、软件监控

●进程监控

●离线策略

●资产管理

●软件分发

●网络访问控制

●远程桌面管理、定时截屏功能

流量控制功能

●客户端连接数控制

●针对IP/地址段设置带宽

●识别控制P2P软件和加密P2P数据

●当有多余带宽，允许突破限制，充分利用带宽

●实时显示各客户端连接数、收发包量、速率、累计流量

●流控对应到人