XX税务所网络边界安全防护方案.doc
- 文档编号:232550
- 上传时间:2022-10-07
- 格式:DOC
- 页数:18
- 大小:300KB
XX税务所网络边界安全防护方案.doc
《XX税务所网络边界安全防护方案.doc》由会员分享,可在线阅读,更多相关《XX税务所网络边界安全防护方案.doc(18页珍藏版)》请在冰豆网上搜索。
XX税务所网络边界安全防护方案
XX税务所网络边界安全防护方案
VER1.0
2010-3-22
目录
一、 方案概述 3
二、 安全风险分析 4
三、 安全需求分析 5
四、 网络边界安全防护解决方案 6
4.1 产品选型及防护策略制定 7
4.1.1 防护策略 7
4.1.2 选型产品性能指标 7
4.2 网御神州UTM安全网关产品特色 8
4.3 网御神州UTM安全网关主要功能 10
五、 选型产品资质 16
六、 选型产品成功案例 17
一、方案概述
XX税务所内部局域网作为服务于全单位日常办公和行政管理的计算机信息网络,实现了单位内计算机连网、信息资源共享,并与Internet互联。
税务所内部局域网络与Internet之间没有部署任何安全防护设备,整个税务所内部局域网络完全暴露在外部,流行于互联网的网络病毒、木马及恶意软件严重威胁着税务所内部网络,因此XX税务所急需在内部网络和互联网边界部署安全防护产品,防护来自互联网的各种威胁。
网御神州对XX税务所当前所面临的各种威胁和风险进行了细致的分析和判断之后,结合网御神州在信息安全领域内多年的丰富经验,为XX税务所制定了网络边界安全防护方案。
二、安全风险分析
在进行安全风险分析前,我们应该注意到网络运行和信息化建设是一个周而复始、循序渐进的动态过程,在这个动态的发展过程中,信息化建设可能会不断暴露出新的安全风险,这就要求我们要不断保持高度的警惕性,睁大双眼,时刻发现系统中的安全风险,并不断通过各种安全技术手段完善系统,保证系统的最大安全性。
通过前期与XX税务所网络管理员的多次沟通交流,了解到XX税务所先阶段主要存在以下安全风险:
1)内部局域网与互联网相连,在享受互联网方便快捷的同时,也面临着遭遇攻击的风险;
2)各种蠕虫和病毒的威胁,直接会导致网络性能的下降,甚至瘫痪;
3)各种木马和后门程序造成税务所内部重要数据和个人信息泄密等严重危害;
4)TCP/IP协议本身的漏洞往往会导致多种的攻击行为;
5)大量的P2P下载耗尽了网络的带宽;
6)工作时间无节制的QQ、MSN,导致工作效率下降;
三、安全需求分析
信息安全重在防御,采用技术手段保护网络系统的安全是安全体系的基础。
随着业务系统的不断丰富,采用的技术方法越来越多,这就要求安全系统所要采用的技术手段也要不断的丰富,只有不断采用最新的安全技术才能保护网络系统的安全,尽可能的防止攻击的发生,降低攻击发生后所带来的损失,并尽快恢复到攻击发生前的工作状态。
网络边界是非法入侵者进出网络的第一道门槛,网络边界的防护在整个网络安全技术体系建设中起着十分重要的作用。
通过上述对XX税务所现阶段安全风险的详细分析,我们从网络建设和运行过程中各个角度出发,得出如下需求。
1)防护来自互联网的各种蠕虫、病毒、木马和后门程序对税务所内部网络的破坏;
2)对大量的P2P下载行为采取带宽控制,防止大量的P2P下载耗尽了网络的带宽;
3)禁止工作时间使用QQ、MSN等实时消息软件,以免导致工作效率下降。
四、网络边界安全防护解决方案
根据XX税务所网络结构特点及面临的安全风险和安全需求,本方案将重点考虑从以下几个方面重点考虑:
网络带宽控制、网络安全抗攻击、网络病毒的防范等。
4.1产品选型及防护策略制定
网络边界防护是内部局域网信息安全保障的核心点,它负责内部局域网中最基本的信息服务系统的安全,一旦被非法进入,存在着内容被窃取、泄密、篡改、损坏等巨大风险,属于安全等级中最严重的事件。
通过在互联网与税务所内部网之间,部署一台网御神州Secgate3600-U4-400AUTM安全网关,在两网之间建立一道安全的隔离屏障
4.1.1防护策略
1)实现数据的合法合理的流转,使得每个不同的接入点只能访问到需要访问的资源,严格控制对核心区域和数据的访问,关闭所有不必要的服务和非法IP;
2)启用抗DDOS攻击和抗扫描等安全功能,进一步保护网络最大限度的不受攻击的影响;
3)通过策略路由功能实现内网IP对互联网的访问;
4)通过UTM安全网关自带的P2P软件限制功能智能跟踪P2P软件的特征码,根据事先定义的策略智能实现P2P软件的限制;
5)根据不同的IP组对带宽的不同需求制定不同的带宽管理策略;
6)禁止多种知名蠕虫病毒通过UTM安全网关进行传播;
7)通过内网管理功能可以方便监控到每个IP的流量和并发连接数,根据这些数据快速判断出哪些IP在P2P下载、哪些IP在FTP下载、哪些IP中了蠕虫病毒或ARP病毒、哪些IP在正常使用,从而快速定位网络问题解决问题;
8)定期查看UTM安全网关访问日志,及时发现攻击行为和不良的上网记录;
4.1.2选型产品性能指标
产品名称
网神SecGate3600防火墙UTM安全网关
产品型号
SecGate3600-U4-400A
产品性能
网络处理能力
600Mbps
最大并发连接数
100万
HTTP杀毒
100M
IPS吞吐
100M
每秒新建连接数
20000
MTBF(小时)
80000
延时
40μs
VPN隧道数
100
接口说明
10/100/1000Base-T
4
可扩展1000M接口
无
异步串行管理接口
1个
远程配置管理接口
1个
硬件特性
机箱
标准1U机箱
电源
单电源
4.2网御神州UTM安全网关产品特色
n安全防御水平高:
系统采用自主开发的SecOS安全操作系统,独立实现各种安全访问控制,摆脱了庞大复杂的通用操作系统束缚。
系统内核稳定,安全应用功能随需扩展,安全防御水平保持与国际一流厂商保持同步领先。
n深度内容检测细:
采用独立的安全协议栈,可以自由处理通过协议栈的网络数据,基于网络行为检测的多流关联分析技术,支持对网络数据的病毒过滤,支持对P2P和即时通讯软件的限制、支持千万级别URL库以及WEB内容过滤,支持FTP内容过滤,还可以和多种IDS产品联动,为细粒度的网络安全管理提供了有利的技术保障。
nVPN功能:
企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。
网神SecGate3600防火墙UTM安全网关同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒等有害数据,彻底保证了VPN通信的安全,为用户提供放心的VPN服务。
n入侵防护:
IPS是抵制外部网络威胁最有效的安全防范技术。
网神SecGate3600防火墙UTM安全网关内置可以针对协议进行分类防范,每个分类下边有多种特征库,并且每周特征库会自动升级。
网神SecGate3600防火墙UTM安全网关能够对所有数据进行实时检测,对于可疑的行为会采取相应的措施。
n防病毒:
网神SecGate3600防火墙UTM安全网关的杀毒模块设计非常完美,基于SecOS自主研发的专业杀毒引擎,可以实现对计算机病毒、蠕虫、木马等病毒的查杀。
目前能够扫描出20万多种病毒,支持包括zip、gzip、rar、arp和pklite等多种压缩格式文件病毒检测,它支持病毒库的自动更新以提供最新病毒的防御。
n反垃圾邮件:
网神SecGate3600防火墙UTM安全网关支持对SMTP、POP3等协议的垃圾邮件检测能力。
网神SecGate3600防火墙UTM安全网关提供了丰富的自定义检测规则项目,可对邮件大小、邮件附件大小、邮件内容、邮件主题、收/发邮件地址过滤,另外还可和实时黑白名单进行联动,避免遭受垃圾邮件的烦恼。
n一机多用,管理简单:
网神SecGate3600防火墙UTM安全网关作为一款优秀的UTM产品,具备多种安全功能,既可以作为防火墙设备,也可以作为VPN设备、防病毒设备等,更重要的是这些功能融为一体,可同时任意组合使用,满足用户各种安全需求,为用户节省大量购置与维护成本。
4.3网御神州UTM安全网关主要功能
指标
指标项
规格要求
功能
防火墙功能
支持基于状态检测技术;
★支持路由、透明、透明桥及混合接入模式;
★可针对源接口、目的接口、协议类型、源地址、目的地址、服务、时间表、域名和vlan等对象设定安全策略;
★支持接口的带宽控制;支持基于每ip、多ip的流量控制,并提供父带宽和子带宽
★支持DNS中继,支持DNS中继自动寻找上级DNS服务器;
★支持多纯透明子桥和接口联动;
★支持策略路由功能,支持路由备份、路由负载均衡,支持基于服务、源IP、目的IP的策略路由;
★支持channel模式,支持子接口,最多支持16个桥接口
★支持设定网段内共享的或者任一地址的新建连接限制,支持设定网段内共享的或者任一地址的并发连接限制;提供连接限制的查询和统计功能
★支持IP/MAC地址绑定和自动探测;
★链路探测支持icmp,tcp,http,arp等协议,并且能对ADSL线路的探测
★支持VLAN和MAC地址的绑定;
★支持PPPOE协议,提供多条ADSL(≥3)同时拨号和自动负载均衡方式
支持802.1QVLAN,支持VLAN透传和VLAN终结;
支持SIP/H.323/H.323网守/Ftp/SQL.Net等动态协议;
支持MMS/RTSP等多媒体协议;
支持DHCP服务器/中继及客户端;
支持OSPF、RIP等动态路由协议;
入侵防御功能
★支持入侵防御功能,入侵防御特征库数量不少于3000条;
★可以针对HTTP、FTP、POP3、SMTP、DNS协议进行IPS防护;
★支持指定IDS阻断的网口;
支持入侵防御特征库自动升级和手工导入,升级频率至少确保每周一次;
支持对SYNFlood、ICMPFlood、PingofDeath、UDPFlood、PINGSWEEP、TCP端口扫描、UDP端口扫描、WinNuke等DOS/DDOS攻击防护;
支持和IDS设备联动;
防病毒功能
支持对HTTP、FTP、SMTP、POP3等协议的病毒检测和过滤功能;
★支持对HTTP免杀毒白名单设置;并能提供对图片的病毒的查杀;支持断点续传
★支持对压缩文件、邮件格式、文件格式进行病毒查杀;
★支持对传输文件大小、文件容量、文件夹压缩最大20层数进行限制
★支持向发送端报警,病毒邮件作为提示邮件附件发送给接受端
★支持病毒配置模板,灵活进行病毒配置
★支持对非标准协议的病毒过滤
支持对文件感染型病毒、蠕虫病毒等的过滤,病毒库数量不少于21万;
支持病毒库自动升级和手工导入,升级频率至少确保每周一次;
支持杀毒引擎自动升级;
支持对sobig、ramen、welchia、agobot、opaserv、blaster、sadmind、slapper、novarg、slammer、zafi、bofra、dipnet等蠕虫的过滤;
反垃圾邮件功能
★支持自定义RBL服务器,同时可以启用2个RBL服务器
支持对SMTP、POP3协议进行过滤;
支持基于发件人地址、收件人地址、邮件主题关键字、邮件内容关键字、附件扩展名等过滤;
支持基于邮件附件类型的过滤功能;
VPN功能
★支持IPSecVPN、L2TPVPN、PPTPVPN及SSLVPN功能;
★支持和第三方设备设备对接;
★支持静态IP地址、域名、动态IP地址等VPN组网方式;
★支持基于策略、路由的VPN;
★支持DES/3DES/AES/国密办加密算法等
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 税务所 网络 边界 安全 防护 方案