防火墙安全解决方案建议书

密级：

文档编号：

项目代号：广西XX单位

网络安全方案建议书网御神州科技（北京）有限公司

目录

1 概述 (2)

1.1引言 (2)

2 网络现状分析 (3)

2.1网络现状描述 (3)

2.2网络安全建设目标 (3)

3 安全方案设计 (4)

3.1方案设计原则 (4)

3.2网络边界防护安全方案 (4)

3.3安全产品配置和报价 (6)

3.4安全产品推荐 (6)

4 项目实施和产品服务体系 (11)

4. 1 一年硬件免费保修 (11)

4.2 快速响应服务 (11)

4.3 免费咨询服务 (12)

4.4 现场服务 (12)

4.5 建立档案 (12)

1 概述

1.1 引言

随着政府上网、电子商务、网上娱乐、网上证券、网上银行等一系列网络使用的蓬勃发展，Internet正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。一方面，网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，网络使用越来越深地渗透到金融、证券、商务、国防等等关键要害领域。换言之，Internet网的安全，包括其上的信息数据安全和网络设备服务的运行安全，日益成为和国家、政府、企业、个人的利益休戚相

关的大事。

网御神州科技（北京）有限公司是一家具有国内一流技术水平，拥有多年信息安全从业经验，由信息安全精英技术团队组成的信息安全公司。公司以开发一流的信息安全产品，提供专业的信息安全服务为主业，秉承“安全创造价值”的业务理念，以追求卓越的专业精神，诚信负责的服务态度以及业界领先的技术和产品，致力于成为“客户最值得信赖的信息安全体系设计师和建设者”，从而打造一流的民族信息安全品牌，为神州大地的信息化建设保驾护航。

网御神州有幸能够参和XX单位的信息化的安全规划，并且在前期和信息中心领导进行了交流和研讨，本方案以前期交流的结果为基础，将围绕着目前的网络现状、使用系统等因素，为XX单位提供边界网络防护方案，希望该方案能够为XX单位安全建设项目提供有益的参考。

2 网络现状分析

2.1 网络现状描述

目前XX单位已经采用快速以太网技术建成了内部的办公网络，网络分为两部分：内部办公网络、外部办公网络。外部办公网络部分有通向互联网的出口，但没有采用任何边界防护的设备。内部办公网络部分和外部办公网络部分是物理隔离的，因此当内部办公用机需要访问互联网的时候，必须手工切换到外部网络。

2.2网络安全建设目标

XX单位网络安全的建设目标包含以下内容：

1、保障办公网资源受控合法的使用

保证办公网资源可控合法的使用，确保特定的用户拥有特定的权限，合理的使用网络资源，防止伪冒和恶意滥用网络资源。

2、保障办公网用户安全便捷的访问互联网

在访问互联网的同时，保证办公网内部用户不受到来自Internet的非法访

问或恶意入侵，保证网络的安全性和私密性。

3 安全方案设计

3.1 方案设计原则

网御神州严格按照国家相关规定进行系统方案设计。设计方案中遵守的设计原则为：

(1) 统一性

系统必须统一规范、统一标准、统一接口，使用国际标准、国家标准，采用统一的系统体系结构，以保持系统的统一性和完整性。

(2) 实用性

系统能最大限度满足XX单位的需求，结合实际情况，在对业务系统进行设计和优化的基础上进行设计。

(3) 先进性

无论对业务系统的设计还是对信息系统和网络的设计，都要采用成熟先进的技术、手段、方法和设备。

(4) 可扩展性

系统的设计必须考虑到未来发展的需要，具有良好的可扩展性和良好的可升级性。

(5) 安全性

必须建立可靠的安全体系，以防止对信息系统的非法侵入和攻击。

(6) 保密性

信息系统的有关业务信息，资金信息等必须有严格的管理措施和技术手段加以保护，以免因泄密而造成国家、单位和个人的损失。

3.2网络边界防护安全方案

在网络边界部署硬件防火墙。防火墙主要解决网络边界的安全问题，通过边界保护，可以有效规避大部分网络层安全威胁，并降低系统层安全威胁对XX单

位网络平台的影响，防范不同网络区域之间的非法访问和攻击，确保XX 单位各个区域的有序访问。

XX 单位防火墙配置部署的网络示意图如下：

INTERNET

WEB 服务器

病毒服务器文件服务器

网御神州防火墙

Secgate3600-F3路由器

交换机

应用终端应用终端

广西XX 单位网络安全拓扑图

根据用户的需求，可在防火墙上设置如下安全策略：

1. 利用网御神州防火墙的智能过滤技术，实现基于协议、源/目的地址、端

口、时间、访问控制。例如：可以对办公网内的用户设定具体的访问时间段：上班时间允许互联网，下班时间禁止；也可以限定用户访问互联网的资源：允许正常访问网页，但不允许使用聊天和网络游戏。

2. 利用网御神州防火墙的IP+MAC 地址绑定的功能，避免内部用户通过盗

用IP 地址获得其他高级用户的权限，一旦出现用户私自改动IP 地址，将断掉该用户和互联网的连接。并且网御神州防火墙支持MAC 地址自学习的功能，非常方便地设置本项安全策略；

3. 结合IP+MAC 地址绑定的功能，针对每个用户的IP+MAC 地址分配一定

的带宽，利用网御神州防火墙高精度的QOS 功能实现网络流量的控制，确保每个用户无法占用超出标准的带宽资源；

4. 利用网御神州防火墙防火墙的日志功能记录完整日志和统计报表等资

料，便于网络管理人员针对办公网的活动情况进行监控和审计，有效发现办公网中存在的问题；