防火墙安全解决方案建议书完整篇.doc

防火墙安全解决方案建议书1 密级：
文档编号：
项目代号：
广西XX单位
网络安全方案建议书
网御神州科技（北京）有限公司
目录
1 概述.......................................................................................... 错误！未定义书签。

1.1引言........................................... 错误！未定义书签。

2 网络现状分析.......................................................................... 错误！未定义书签。

2.1网络现状描述................................... 错误！未定义书签。

2.2网络安全建设目标............................... 错误！未定义书签。

3 安全方案设计.......................................................................... 错误！未定义书签。

3.1方案设计原则................................... 错误！未定义书签。

3.2网络边界防护安全方案........................... 错误！未定义书签。

3.3安全产品配置与报价............................. 错误！未定义书签。

3.4安全产品推荐................................... 错误！未定义书签。

4 项目实施与产品服务体系...................................................... 错误！未定义书签。

4. 1 一年硬件免费保修........................................................................ 错误！未定义书签。

4.2 快速响应服务................................................................................. 错误！未定义书签。

4.3 免费咨询服务................................................................................. 错误！未定义书签。

4.4 现场服务......................................................................................... 错误！未定义书签。

4.5 建立档案......................................................................................... 错误！未定义书签。

1 概述
1.1 引言
随着政府上网、电子商务、网上娱乐、网上证券、网上银行等一系列网络应用的蓬勃发展，Internet正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。

一方面，网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，网络应用越来越深地渗透到金融、证券、商务、国防等等关键要害领域。

换言之，Internet网的安全，包括其上的信息数据安全和网络设备服务的运行安全，日益成为与国家、政府、企业、个人的利益休戚相关的大事。

网御神州科技（北京）有限公司是一家具有国内一流技术水平，拥有多年信息安全从业经验，由信息安全精英技术团队组成的信息安全公司。

公司以开发一流的信息安全产品，提供专业的信息安全服务为主业，秉承“安全创造价值”的业务理念，以追求卓越的专业精神，诚信负责的服务态度以及业界领先的技术和产品，致力于成为“客户最值得信赖的信息安全体系设计师与建设者”，从而打造一流的民族信息安全品牌，为神州大地的信息化建设保驾护航。

网御神州有幸能够参与XX单位的信息化的安全规划，并且在前期与信息中心领导进行了交流与研讨，本方案以前期交流的结果为基础，将围绕着目前的网络现状、应用系统等因素，为XX单位提供边界网络防护方案，希望该方案能够为XX单位安全建设项目提供有益的参考。

2 网络现状分析
2.1 网络现状描述
目前XX单位已经采用快速以太网技术建成了内部的办公网络，网络分为两部分：内部办公网络、外部办公网络。

外部办公网络部分有通向互联网的出口，但没有采用任何边界防护的设备。

内部办公网络部分与外部办公网络部分是物理隔离的，因此当内部办公用机需要访问互联网的时候，必须手工切换到外部网络。

2.2网络安全建设目标
XX单位网络安全的建设目标包含以下内容：
1、保障办公网资源受控合法的使用
保证办公网资源可控合法的应用，确保特定的用户拥有特定的权限，合理的使用网络资源，防止伪冒与恶意滥用网络资源。

2、保障办公网用户安全便捷的访问互联网
在访问互联网的同时，保证办公网内部用户不受到来自Internet的非法访问或恶意入侵，保证网络的安全性与私密性。

3 安全方案设计
3.1 方案设计原则
网御神州严格按照国家相关规定进行系统方案设计。

设计方案中遵守的设计原则为：
(1) 统一性
系统必须统一规范、统一标准、统一接口，使用国际标准、国家标准，采用统一的系统体系结构，以保持系统的统一性和完整性。

(2) 实用性
系统能最大限度满足XX单位的需求，结合实际情况，在对业务系统进行设计和优化的基础上进行设计。

(3) 先进性
无论对业务系统的设计还是对信息系统和网络的设计，都要采用成熟先进的技术、手段、方法和设备。

(4) 可扩展性
系统的设计必须考虑到未来发展的需要，具有良好的可扩展性和良好的可升级性。

(5) 安全性
必须建立可靠的安全体系，以防止对信息系统的非法侵入和攻击。

(6) 保密性
信息系统的有关业务信息，资金信息等必须有严格的管理措施和技术手段加以保护，以免因泄密而造成国家、单位和个人的损失。

3.2网络边界防护安全方案
在网络边界部署硬件防火墙。

防火墙主要解决网络边界的安全问题，通过边界保护，可以有效规避大部分网络层安全威胁，并降低系统层安全威胁对XX单位网络平台的影响，防范不同网络区域之间的非法访问和攻击，确保XX单位各个区域的有序访问。

XX单位防火墙配置部署的网络示意图如下：
防火墙安全解决方案建议书1第2页
应用终端应用终端
广西XX单位网络安全拓扑图
根据用户的需求，可在防火墙上设置如下安全策略：
1.利用网御神州防火墙的智能过滤技术，实现基于协议、源/目的地址、端
口、时间、访问控制。

例如：可以对办公网内的用户设定具体的访问时间段：上班时间允许互联网，下班时间禁止；也可以限定用户访问互联网的资源：允许正常访问网页，但不允许使用聊天与网络游戏。

2.利用网御神州防火墙的IP+MAC地址绑定的功能，避免内部用户通过盗
用IP地址获得其他高级用户的权限，一旦出现用户私自改动IP地址，将断掉该用户与互联网的连接。

并且网御神州防火墙支持MAC地址自学习的功能，非常方便地设置本项安全策略；
3.结合IP+MAC地址绑定的功能，针对每个用户的IP+MAC 地址分配一定
的带宽，利用网御神州防火墙高精度的QOS功能实现网络流量的控制，确保每个用户无法占用超出标准的带宽资源；
4.利用网御神州防火墙防火墙的日志功能记录完整日志和统计报表等资
料，便于网络管理人员针对办公网的活动情况进行监控和审计，有效发现办公网中存在的问题；
5.利用灵活多样的告警手段（告警，日志，SNMP陷阱等）实现对违规行
为的告警；
3.3 安全产品配置与报价
配置方案一（推荐方案）
配置方案二（经济型方案）
3.4 安全产品推荐
根据XX单位网络现状以及对安全产品的安全需求，本方案推荐在使用网御神州的SecGate 3600-F系列百兆级防火墙，该防
火墙是基于状态检测包过滤和应用级代理的复合型硬件防火墙，是专门面向大中型企业、政府、军队、高校等用户开发的新一代专业防火墙设备。

支持外部攻击防范、内网安全、网络访问权限控制、网络流量监控和带宽管理、网页内容过滤、邮件内容过滤等功能，能够有效地保证网络的安全；产品提供灵活的网络路由/桥接能力，支持策略路由，多出
口链路聚合；提供多种智能分析和管理手段，支持邮件告警，支持日志审计，提供全面的网络管理监控，协助网络管理员完成网络的安全管理。

SecGate3600-F 防火墙六大特色
1、独立的SecOS 安全协议栈
完全自主知识产权的SecOS 实现防火墙的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙功能的影响。

同时也减少了因为硬件平台的更换带来的重复开发问题。

由于采用先进的设计理念，使该SecOS 具有更高的安全性、开放性、扩展性和可移植性。

图3.1 SecGate 3600-F 防火墙体系架构图2、独创的智能高效搜索算法
采用独创的分段直接寻址搜索算法MSDAL （Multi-Stage Direct Addressing Lookup Algorithm ），解决了传统防火墙随着安全策略数的增加其性能逐渐下降
的问题，确保您在大量安全策略数目情况下仍能获取最高的
网络性能！
3、深度的网络行为关联分析
采用数据包内容的深度网络行为关联分析技术，让您不再为各种专有动态协议如
H.323、FTP 、 等的控制“愁眉不展”！并且增强了您的网络对于各种DDoS 攻击的防范能力！
4、全面的连接状态监控和实时阻断
全面的连接状态监控，让您及时掌握网络运行状态，配合丰富的连接限制，方便您对BT/电驴等P2P 应用的控制，以及对感染网络蠕虫病毒的主机进行快速
定位和实时阻断！
5、强大的网络拓扑自适应性
适应于各种复杂网络拓扑，包括透明桥接、路由以及桥和路由完全自适应识别模式。

支持VLAN和VLAN TRUNK处理；支持多网络出口的链路聚合和策略路由；支持生成树和每VLAN 生成树协议（STP/PVST+）和虚拟路由冗余协议（VRRP），提供全面可靠的二层链路备份和三层路由备份。

6、智能便捷的配置向导和管理方式
为安全管理员提供智能便捷的配置向导，让您轻松完成复杂的安全配置！并提供丰富的管理方式，包括本地Console，拨号PPP接入，基于Web（HTTPS）浏览器，远程SSH登录，以及
强大的SecFox集中安全管理方式。

主要功能列表：
防火墙安全解决方案建议书1第3页
4 项目实施与产品服务体系
XX单位安全项目建设建设后，提供产品的安全继承商必须有能力提供后续优质的产品服务，网御神州针对用户特有的服务需求，制定了更加完善、更加贴近用户的服务保障制度，以期更好的满足用户在服务方面的要求。

为此，网御神州针对本项目，特制定以下服务承诺：
4. 1 一年硬件免费保修
网御神州信息安全产品在工程实施完毕试用期后，享受一年的免费保修服务。

4.2 快速响应服务
保修期内当客户系统发生故障后，网御神州保证在2小时内做出响应，并
承诺在24小时内（当天）排除故障，恢复系统正常。

4.3 免费咨询服务
XX单位的计算机管理人员可以随时拨打热线400-610-8220，每天24小时免费技术咨询，包括硬件使用和维护方法、软件使用方法和解决用户使用中发生的各种疑难问题。

4.4 现场服务
网御神州的专业服务队伍，保证了XX单位可以就近获得及时快捷的服务，在系统设备试运行期间和保修期间最大限度的满足客户的技术需求并且根据需要派资深专家现场维护。

4.5 建立档案
在网御神州建立针对XX单位的服务支持档案。

包括用户对服务支持的要求、产品类别型号、使用情况、每次服务支持解决问题的情况等信息，都将保存在档案中，以便网御神州更有针对性地提供咨询、技术支持等服务和监督自身服务状况。

仅供个人参考
仅供个人用于学习、研究；不得用于商业用途。

For personal use only in study and research; not for commercial use.
Nur für den persönlichen für Studien, Forschung, zu kommerziellen Zwecken verwendet werden.
Pour l 'étude et la recherche uniquement àdes fins personnelles; pas àdes fins commerciales.
толькодлялюдей, которыеиспользуютсядляобучения, исследованийинедолжныиспользоватьсявкоммерческихцелях.
以下无正文。