天融信网络安全产品-项目方案

天融信网络安全准入解决方案安全挑战计算机终端是用户办公和处理业务最重要的工具，对计算机终端的准入管理，可以有效地提高办公效率、减少信息安全隐患、提升网络安全，从而为用户创造更多的业务价值。

但目前，大部分终端处于松散化的管理，主要存在以下问题：接入终端的身份认证，是否为合法用户接入工作计算机终端的状态问题如下：操作系统漏洞导致安全事件的发生补丁没有及时更新工作终端外设随意接入，如U盘、蓝牙接口等外来人员或第三方公司开发人员使用移动笔记本电脑未经容许接入到业务专网或办公网系统工作终端的安全策略不统一，严重影响全局安全策略解决方案天融信针对上述安全挑战，提出了网络安全准入解决方案，采用CA数字证书系统、天融信终端安全管理系统TopDesk结合802.1X技术等，实现完善、可信的网络准入，如下图所示。

终端接安全准入过程如下：1） 网络准入控制组件通过802.1X 协议，将当前终端用户身份证书信息发 送到交换机。

2） 交换机将用户身份证书信息通过 RADIUS 协议，发送给RADIUS 认证组件。

3） RADIUS 组件通过CA 认证中心对用户身份证书进行有效性判定，并把 认证结果返回给交换机，交换机将认证结果传给网络准入控制组件。

4） 用户身份认证通过后，终端系统检测组件将根据准入策略管理组件制 定的安全准入策略，对终端安全状态进行检测。

5） 终端的安全状态符合安全策略的要求，则允许准入流控中心系统网络。

6） 如终端身份认证失败，网络准入控制组件通知交换机关闭端口；7） 如终端安全状态不符合安全策略要求，终端系统检测组件将隔离终端到非工作VLAN8） 在非工作VLAN 的终端，终端系统检测组件会自动进行终端安全状态的修复，在修复完成以后，系统自动将终端重新接入正常工作 Vian 丿匚［卫务徘F 丁咂*席.病并库悵羚睿工作门血loriuesk 卷丹端JJpHM "黑f Tup Desk Server :氏也件 1熬九乗咯忏理红件天融信网络安全准入解决方案图充分利用终端检测与防护技术终端防护系统对终端的安全状态和安全行为进行全面监管，检测并保障桌面系统的安全，统一制定、下发并执行安全策略，从而实现对终端的全方位保护、管理和维护，有效保障终端系统及有关敏感信息的安全。

天融信网络安全产品供货安装方案目录1天融信安全设备供货方案 (4)1.1供货计划和安排 (4)1.2运输安装计划 (4)1.3货物包装及标注 (6)1.4货物运输及交货 (6)2天融信安全产品安装部署方案 (7)2.1安全设备安装 (7)2.1.1安装步骤概述 (7)2.1.2安装准备工作确认 (8)2.1.3检查安装场所 (9)2.1.4安装计划 (11)2.1.5安装工具 (12)2.1.6设备安装流程 (13)2.1.7设备安装到指定位置 (13)2.1.8地线的连接 (14)2.1.9配置电缆的连接 (15)2.1.10安装中的布线推荐 (18)2.1.11安装中的电缆捆扎 (19)2.1.12安装后的检查 (22)2.2安全设备上线调试 (22)2.2.1产品上线过程 (22)2.2.2安全策略调试 (24)2.3系统集成割接 (25)2.3.1现有应用系统数据访问业务特点 (25)2.3.2割接时间点的选择 (27)2.3.3割接原则 (28)1 天融信安全设备供货方案正式合同签订后我方设备采购小组将按照合同中关于设备购货有关条款和议定的日期，组织设备软硬件的购置工作。

订购的设备在运抵用户指定安装现场后，我方将与用户方人员共同开箱验收。

验收时发现短缺、破损，我方将立即要求供货商补发或更换。

1.1 供货计划和安排1、到货时间我方承诺标书中要求中的到货日期内全部到达到货地点。

2、到货地点到货地点为用户的指定地点。

1.2 运输安装计划我方将在此次项目合同签订后，按照合同时限运至指定地点。

我方运货在途运输基本流程：1.3 货物包装及标注1、我方将提供货物送达合同规定的项目现场所需要的原厂包装，以防货物在运输中损坏，并提供原厂包装证明。

2、我方将以醒目的中文印刷字体在各包装箱上标明通用规范的运输标记或标志，如项目名称、货物名称与合同号、以及客户、我方双方名称等相关信息。

3、我方将在每个箱子侧面标明交货地点的全称；装箱单注明每个站点总数量；我方对包装箱内每件辅件进行标签，标明“备件”或“工具”及具体名称，并注明合同号、箱号及安装站。

计算机网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。

即一个完整的网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。

以该思想为出发点，北京天融信公司提出了"网络信息安全解决方案"。

一、网络信息安全系统设计原则• 1.1满足Internet分级管理需求• 1.2需求、风险、代价平衡的原则• 1.3综合性、整体性原则• 1.4可用性原则• 1.5分步实施原则目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，考虑技术难度及经费等因素，设计时应遵循如下思想：（1）大幅度地提高系统的安全性和保密性；（2）保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；11（3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；（4）尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；（5）安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；（6）安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。

基于上述思想，网络信息安全系统应遵循如下设计原则：1．1 满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点，对Internet/Intranet信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。

第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。

第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。

第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。

1．2 需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。

对一个网络进行实际额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

天融信防毒墙实施方案一、引言。

随着网络攻击日益频繁和复杂化，企业面临着越来越大的网络安全威胁。

作为企业网络安全的重要组成部分，防毒墙在保障企业网络安全方面发挥着重要作用。

天融信防毒墙作为一种专业的网络安全设备，其实施方案对于企业网络安全具有重要意义。

本文将就天融信防毒墙的实施方案进行详细介绍，旨在帮助企业更好地部署和使用天融信防毒墙，提高网络安全防护能力。

二、天融信防毒墙概述。

天融信防毒墙是一种基于硬件的网络安全设备，主要用于检测和阻止网络中的恶意流量和攻击，保障企业网络的安全稳定运行。

其主要功能包括入侵检测、应用层防火墙、反病毒、反垃圾邮件等，能够有效防范各类网络攻击和威胁。

天融信防毒墙采用了先进的威胁情报和安全防护技术，能够及时发现和应对最新的网络安全威胁，为企业网络安全提供了强有力的保障。

三、天融信防毒墙实施方案。

1. 网络环境评估。

在部署天融信防毒墙之前，首先需要对企业的网络环境进行评估。

评估内容包括网络拓扑结构、网络流量特点、业务应用需求等，以便确定天融信防毒墙的部署位置和参数配置。

2. 部署位置选择。

根据网络环境评估结果，选择合适的部署位置是天融信防毒墙实施的关键。

一般来说，天融信防毒墙可以部署在企业网络的边界处，作为内外网之间的安全防护设备，也可以部署在关键业务系统的前端，对其进行专门的安全防护。

3. 参数配置优化。

在部署天融信防毒墙时，需要根据实际网络环境和安全需求进行参数配置优化。

包括安全策略的制定、漏洞和威胁情报的更新、安全日志的监控和分析等，以确保天融信防毒墙能够有效地发现和阻止各类网络攻击和威胁。

4. 安全培训和演练。

在天融信防毒墙实施完成后，企业需要对相关人员进行安全培训和演练，提高其对天融信防毒墙的使用和管理能力，增强网络安全防护意识。

5. 定期维护和更新。

天融信防毒墙作为一种网络安全设备，需要定期进行维护和更新，以确保其能够及时应对最新的网络安全威胁。

包括安全补丁的安装、威胁情报的更新、安全日志的审计等，保障天融信防毒墙的持续有效运行。

1产品概述1.1平安接入的应用趋势随着电子政务和电子商务信息化建设的快速推动和发展，越来越多的政府、企事业单位已经依托互联网构建了自己的网上办公系统和业务应用系统，从而使内部办公人员通过网络可以快速地获得信息，使远程办公和移动办公模式得以逐步实现，同时使合作伙伴也能够访问到相应的信息资源。

但是通过互联网接入来访问企业内部网络信息资源，会面临着信息窃取、非法篡改、非法访问、网络攻击等越来越多的来自网络外部的平安威逼。

而且我们目前所运用的操作系统、网络协议和应用系统等，都不行避开地存在着平安漏洞。

因此，在通过Internet构建企业网络应用系统时，必须要保证关键应用和数据信息在开放网络环境中的平安，同时还需尽量降低实施和维护的成本。

1.2平安接入的技术趋势目前通过公用网络进行平安接入和组网一般采纳VPN技术。

常见的VPN接入技术有多种，它们所处的协议层次、解决的主要问题都不尽相同，而且每种技术都有其适用范围和优缺点，主流的VPN技术主要有以下三种：1．L2TP/PPTP VPNL2TP/PPTP VPN属于二层VPN技术。

在windows主流的操作系统中都集成了L2TP/PPTP VPN客户端软件，因此其无需安装任何客户端软件，部署和运用比较简洁；但是由于协议自身的缺陷，没有高强度的加密和认证手段，平安性较低；同时这种VPN 技术仅解决了移动用户的VPN访问需求，对于LAN-TO-LAN的VPN应用无法解决。

2．IPSEC VPNIPSEC VPN属于三层VPN技术，协议定义了完整的平安机制，对用户数据的完整性和私密性都有完善的爱护措施；同时工作在网络协议的三层，对应用程序是透亮的，能够无缝支持各种C/S、B/S应用；既能够支持移动用户的VPN应用，也能支持LAN-TO-LAN 的VPN组网；组网方式敏捷，支持多种网络拓扑结构。

其缺点是网络协议比较困难，配置和管理须要较多的专业学问；而且须要在移动用户的机器上安装单独的客户端软件。

天融信产品白皮书网络卫士终端管理系统TSM-TopDesk系列网络卫士终端管理系统 TSM终端安全管理平台 TopDesk作为网络卫士安全管理系统（TSM）的重要组成部分，TopDesk终端管理系统（简称TopDesk）是一款综合性的终端管理软件产品，能对局域网内部的网络行为进行全面监管，检测和维护桌面系统的安全。

TopDesk通过对行为监管、系统监管和安全状态检测，采用统一策略下发并强制策略执行的机制，实现对局域网内部桌面系统的管理和维护，从而有效地保护用户系统安全和机密数据安全。

集中策略管理依据自身网络状况，制定并有效地实施全局、局部功能策略，实现真正的全局安全策略统一。

对终端接收的策略进行强制执行，如果没有有效策略，则终端不能正常使用网络，有效避免威胁产生。

与TopAnalyzer系统的联动能够与TopAnalyzer无缝结合。

既可以将TopDesk的报警事件统一发送给TopAnalyzer，由TopAnalyzer进行深度的自动关联分析；也可以接收并执行TopAnalyzer发送给TopDesk 的智能联动指令，使终端可以自动响应全局的安全策略。

基于角色的权限管理支持多用户、多角色管理机制。

通过设置不同的系统角色，实现对系统资源的分权限管理，不同的用户角色拥有不同的管理权限。

审记、管理两权平等，互为监督，互不干涉，互不管理。

系统认证具备自我防护和审记能力，能够有效地防止蛮力攻击等。

企业级补丁自动部署方案通过设置补丁策略，能够实时、方便的实现对企业网络内终端系统的补丁进行自动检测，并能够实现推或拉两种方式的自动部署安装，极大减轻系统管理员的工作强度。

全面的外存设备管理TopDesk能够限制终端系统上的软驱、光驱、U盘、移动硬盘等外存设备的使用，对使用操作进行详细记录，能有效避免机密外泄。

详细的文件操作监视TopDesk能够对终端系统上所有机密文件读写、拷贝、删除等操作进行实时监控，详细记录对机密文件的操作，为企业的审计工作提供帮助。

天融信VPN组网解决方案XXXXVPN系统解决方案北京天融信科技有限公司2020年5月目录第一章 XXXX网络现状及需求分析 ........................ 错误!未定义书签。

1.1网络现状 ............................................................... 错误!未定义书签。

1.2现有组网方式的缺陷............................................ 错误!未定义书签。

1.2.1访问没有保护............................................ 错误!未定义书签。

1.2.2无法运行内部管理软件 ............................ 错误!未定义书签。

1.2.3增值服务无法实施 .................................... 错误!未定义书签。

1.2.4网络管理混乱............................................ 错误!未定义书签。

1.3需求分析 ............................................................... 错误!未定义书签。

第二章 VPN技术及天融信VPN产品 ..................... 错误!未定义书签。

2.1VPN基本概念 ....................................................... 错误!未定义书签。

2.2VPN的基本技术.................................................... 错误!未定义书签。

2.3一般VPN解决方案所面临的几个问题................ 错误!未定义书签。

1项目实施方案1.1项目实施计划考虑到xxx与数据库建设项目的工程量、质量与涉及面等因素，在此工程实施前必需有严密的进度控制和精心的组织安排。

我们根据本方案确定的项目目标以及具体建设要求，对建设任务以及工程进度进行综合安排计划，具体各个部分的实施可以视工程情况相互协调、齐头并进。

1.2项目任务分解1.3安装调试、系统集成1.3.1准备工作查看软件版本1)通过IE浏览器登陆到安全设备,查看当前安全设备的软件版本。

2)通过串口登陆到安全设备后台,查看软件版本。

产品信息记录记录下用户安全设备编号，作好记录工作1.3.2实施前注意事项查看安全设备重启后能否正常启动查看安全设备的console口是否可用1.3.3配置网络安全设备1.3.3.1边界防护系统配置1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。

2.防火墙管理人员应定期接受培训。

3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp等，以及使用SSH而不是telnet远程管理防火墙。

4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？5.防火墙配置文件是否备份？如何进行配置同步？6.改变防火墙缺省配置。

7.是否有适当的防火墙维护控制程序？8.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。

9.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）10.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。

11.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。

12.防火墙访问控制规则集的一般次序为：✧反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址）✧用户允许规则（如，允许HTTP到公网Web服务器）✧管理允许规则✧拒绝并报警（如，向管理员报警可疑通信）✧拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。

天融信TOPSEC网络安全管理整体解决方案天融信公司在国内独创的ＴＯPSEC技术体系上,在“全面、联动、管理"的技术理念的基础上,构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TＯＰＳEC安全解决方案,保障客户网络从边界到桌面、从局域网到广域网高安全性。

TOＰＳEC解决方案包括综合管理系统,各类安全产品如防火墙、IDＳ、VPＮ、安全网关、个人安全套件以及综合安全审计系统等.全面、联动、高效、易于管理网络安全是整体的.我们可以通过选择优秀的产品、优秀的服务构建一个解决方案,但如果各个优秀的产品、优秀的服务等各个环节之间相互孤立，则各个产品、服务环节的安全策略相对孤立，无法形成整体的安全策略;这样势必形成安全漏洞，给入侵者可乘之机。

网络安全是动态的。

如果各个优秀的产品、服务等各环节之间是孤立的,则无法全面了解网络的整体安全状况，当然也无法根据网络和应用情况动态调整安全策略.因此，网络安全需要统一、动态的安全策略，更需要一个联动的高效的整体的安全解决方案。

天融信公司在国内独创的TＯPSEC技术体系上，在”全面、联动、管理”的技术理念的基础上,构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TOPSEC安全解决方案,保障客户网络从边界到桌面、从局域网到广域网高安全性。

TＯPSEC解决方案架构在天融信独创的、先进T-ＳＣM（(Tｏpsｅｃ Sｅcuriｔｙ Center Ｍanageｍenｔ）—－天融信安全集中管理平台,Ｔ—SCＰ（Tｏpsｅc Sｅcｕrity cｏoperation ｐｌatｆorm)—-—天融信安全产品标协作平台,T—SAS(ToｐsｅｃＳｅcuriｔy Auｄｉｔioｎ Syｓtｅｍ）天融信安全审计平台３个核心技术平台之上。

ToｐsｅcMａnaｇｅr通过Ｔ—SCM实现对各种安全产品和非安全产品的综合管理;各种安全产品通过T—SCP实现不同产品之间的联动、协同工作;SＡS通过T—ＳAS实现对网络中的安全设备和非安全设备的集中审计、分析．TOＰSEC解决方案包括Topsec Mａnager综合管理系统,各类安全产品，和ＳAS 综合安全审计系统。

天融信网络安全产品大全目录1产品功能描述 (5)1.1防火墙 (5)1.1.1系统概述 (5)1.1.2功能描述 (5)1.2入侵防御系统 (6)1.2.1系统概述 (6)1.2.2功能描述 (6)1.3WEB应用防火墙 (7)1.3.1系统概述 (7)1.3.2功能描述 (8)1.4漏扫扫描系统 (11)1.4.1系统概述 (11)1.4.2功能描述 (11)1.5数据库审计系统 (13)1.5.1系统概述 (13)1.5.2功能描述 (14)1.6负载均衡系统 (15)1.6.1系统概述 (15)1.6.2功能描述 (16)2安全产品硬件规格及性能参数 (17)2.1防火墙品目一：TG-62242 (17)2.2防火墙品目二：TG-42218 (19)2.3入侵防御：TI-51628 (20)2.4WAF :TWF-72138 (21)2.5漏扫：TSC-71528 (22)2.6数据库审计:TA-11801-NET/DB (24)2.7负载均衡：TopApp-81238-NLB-R (25)2.8相关应答： (26)3产品测试方案 (29)3.1负载均衡系统测试方案 (29)3.1.1测试目的 (29)3.1.2测试内容 (29)3.1.3测试环境 (29)3.1.4测试用例设计 (30)3.1.5测试结论 (46)3.2防火墙测试方案 (46)3.2.1测试说明 (46)3.2.2功能要求及测试方式 (48)3.2.3测试结果记录 (64)3.3入侵防御系统测试方案 (66)3.3.1测试说明 (66)3.3.2测试环境 (66)3.3.3攻击测试内容和方法 (69)3.3.4WEB过滤测试内容和方法 (76)3.3.5应用监控测试和方法 (77)3.3.6防病毒测试内容和方法 (78)3.3.7防火墙联动 (79)3.3.8事件审计 (79)3.3.9测试结果 (81)3.4WEB应用防火墙测试方案 (82)3.4.1测试环境 (82)3.4.2防护能力测试 (83)3.5漏洞扫描系统测试方案 (116)3.5.1测试目的 (116)3.5.2测试环境 (116)3.5.3功能测试 (117)3.5.4专项测试 (140)3.5.5漏洞测试 (145)3.5.6压力测试 (163)3.5.7测试结论 (165)3.6数据库审计系统测试方案 (165)3.6.1测试目的 (165)3.6.2数据库审计基本功能 (166)1 产品功能描述1.1 防火墙1.1.1 系统概述网络层访问控制基本的安全防护手段，通常采用路由器和防火墙等手段实现，然而防火墙相对与路由器而言，不仅仅只是提供简单的访问控制功能，同时也能够提供更为强大的连接检测、攻击检测、认证、内容过滤等更加细粒度的安全防护，所以在网络层访问控制方面通常都采用防火墙设备，通过防火墙设备定义好的安全规则来实现基本的访问控制。

天融信产品白皮书网络卫士安全网关UTM系列综合安全网关系统TopGate（UTM）网络卫士安全网关TopGate(UTM)是天融信公司自主研发的新一代基于TOS平台研发推出的一款多功能综合应用网关产品。

集合了防火墙、虚拟专用网（VPN）、入侵检测和防御（IPS）、网关防病毒、WEB 内容过滤、反垃圾邮件，流量整形，用户身份认证、审计及BT、IM控制等应用。

TopGate不但能为用户提供全方位的安全威胁防护方案，还为用户提供全面的策略管理、服务质量(QoS)保证、负载均衡、高可用性(HA)以及网络带宽管理等功能。

TopGate安全网关(UTM)可灵活部署在大中型企业及其分支机构或中小企业网络的网关处，保护用户网络免受黑客攻击、病毒、蠕虫、木马、恶意代码以及未知的“零小时”（zero-hour）攻击等混合威胁的侵害；同时还为用户提供简便统一地管理各种安全特性及相关日志、报告，大大降低了设备部署、管理和维护的运营成本。

除此之外，TopGate还为企业提供了CleanVPN服务，使得用户通过VPN远程访问企业内网时，确保VPN数据没有病毒等有害内容。

在新攻击的防护上，TopGate对VoIP, IM/P2P, 间谍软件, 网络钓鱼, 混合攻击等都有出色的表现。

TopGate UTM 在技术上采用先进的完全内容检测技术和独特的加速引擎处理技术，可通过简单的配置和管理，以较低的维护成本为用户提供一个高级别保护的“安全隔离区”。

它对经过网关的数据流量进行病毒、蠕虫、入侵等进行高效检测，而且能够阻挡来自垃圾邮件、恶意网页的威胁，所有的检测都是在实时状态下进行，具有很高的网络性能。

多功能与高性能的完美结合TopGate网络卫士安全网关是高性能与多功能的完美结合，它通过提供全系列产品而为不同类型的用户提供多功能与高性能的UTM产品。

真正实现了一机多用，管理简单，节省大量成本。

TopGate作为一款优秀的UTM产品，具备多种安全功能，既可以作为防火墙设备，也可以作为VPN设备、病毒网关或IPS设备，更重要的是这些功能融为一体，可同时任意组合使用，满足用户各种安全需求，为用户节省大量购置与维护成本。