网络安全防护解决方案.docx

网络安全防护解决方案.docx

《网络安全防护解决方案.docx》由会员分享，可在线阅读，更多相关《网络安全防护解决方案.docx（24页珍藏版）》请在冰豆网上搜索。

网络安全防护解决方案

2016年8月

第一章项目概述3

**项目背景3

**需求分析3

第二章解决方案5

**方案15

**方案27

第三章产品概述10

**H3C下一代安全防火墙10

**ACG应用控制网关18

第一章项目概述

**项目背景

随着网络与信息化建设的飞速发展，人们的工作、生活方式发生了巨大变化。

网上行政审批、网上报税、网上银行、网上文件提交等等网络应用不仅为使用者带来了便利，而且大大提高了服务提供者的工作效率。

但在享受网络带来便利的同时，我们也不得不面对来自网络内外的各种安全问题。

不断发现的网络漏洞，以及在各种利益驱动下形成的地下黑色产业链，让网络随时可能遭受到来自外部的各种攻击。

而网络内部的P2P下载、流媒体、IM即时消息、网络游戏等互联网应用不仅严重占用网络资源、降低企业工作效率，同时也成为蠕虫病毒、木马、后门传播的主要途径。

公司目前信息网络边界防护比较薄弱，只在PC端自行安装360杀毒软件进行防御，但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，简单的PC端防御无法满足公司网络安全需要，需要部署防火墙的安全保障体系并进一步完善。

**需求分析

防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。

例如互联网是不可信任的区域，而内部网络是高度信任的区域。

以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。

它有控制信息基本的任务在不同信任的区域。

典型信任的区域包括互联网（一个没有信任的区域）和一个内部网络（一个高信任的区域）。

最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。

第二章解决方案

原网络架构分析

原有网络为六套物理分割的相互独立局域网络，各个用户走各用户的网络出口线路。

此次要在此网络基础上进行网络安全防御以及流量管控，且后期建立自己局域网内部网络存储，便于内部资料交流与存储。

以目前此种情况，为此项目推荐2个可执行性方案，方案1进行全面防御，从进出网络流量的分析防御，到各个终端的安全防御，外来文件（U盘拷贝文件和下载文件）的杀毒等，方案2则进行基础防御，仅对进出网络流量的分析防御，终端继续用原有的360杀毒进行简单基础防御。

**方案1

出入内外网流量的防御改造（基础改造）

新增设备型号

产品描述

数量

S5500-28C-EI

核心交换机，用于将原有网络用户流量进行汇总进行统一防御流量分析管理

1

F100-A-G2

防火墙，从用户、应用、时间、五元组等多个维度，对出入流量展开IPS、AV、DLP等一体化安全访问控制，有效的保证网络的安全

1

新增一台核心交换机，将原有六路网络用户进行流量汇总，便于防火墙进行统一流量防御，也同时方便内网用户文件的交流。

防火墙F100-A-G2进行多维一体化安全防护，从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全访问控制，有效的保证网络的安全；支持丰富的攻击防范，包括IP分片报文，ARP欺骗、ARP主动反向查询，地址扫描、端口扫描等攻击防范，并且针对常见DDOS攻击的检测防御；支持安全日志，流量监控统计和管理，实时病毒防护，全面及时的安全特征库等。

支持多种VPN业务，与智能终端对接实现移动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由；支持IPv4/IPv6双协议栈同时，实现针对IPV6的状态防护和攻击防范。

防火墙对出入内外网的流量分析防护后，同时分流到各个外网路由上，实现各区域用户流量走各区域外网，不影响用户外网的访问。

**方案2

出入内外网流量的防御改造和流量的管控限制以及用户主机的安全防御

（全面改造）

新增设备型号

产品描述

数量

S5500-28C-EI

核心交换机，用于将原有网络用户流量进行汇总进行统一防御流量分析管理

1

F100-A-G2

防火墙，从用户、应用、时间、五元组等多个维度，对出入流量展开IPS、AV、DLP等一体化安全访问控制，有效的保证网络的安全

1

ACG应用控制

对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。

提供业界最全面、完善的上网行为管理解决方案。

保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，为用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。

1

PC终端安全软件

瑞星杀毒企业版或其他（待定）。

对PC机的安全杀毒防御，外来U盘病毒文件的查杀等。

网络存储设备

后期增加网络存储设备，方便内网用户资源传阅分享存储等（待定）

1

在方案一基础上附加了ACG应用控制设备和PC终端安全管控软件。

ACG应用控制设备对网络中的网络社区、P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。

利用智能流控、智能阻断、智能路由等技术，配合创新的社交网络行为管理功能、清晰易管理日志等功能，提供业界最全面、完善的上网行为管理解决方案。

从而保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，为用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。

PC终端装企业版杀毒软件，对PC机本身的病毒进行查杀防御，对外来文件（如U盘文件、E-mail文件等）进行查杀防御，阻止病毒内网传播。

后期增加网络存储一套，方便内网用户进行文件资源存储与共享等，给予不同用户不同的空间，自行管理，文件上传备份，文件一键分享，等信息化一体化办公体验。

第三章产品概述

**H3C下一代安全防火墙

H3CSecPathF100-A-G2防火墙是杭州华三通信技术有限公司（以下简称H3C公司）伴随Web2.0时代的到来并结合当前安全与网络深入融合的技术趋势，针对中小型企业、园区网互联网出口以及广域网分支市场推出的下一代高性能防火墙产品。

H3CSecPathF100-A-G2防火墙支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全访问控制，能够有效的保证网络的安全；支持多种VPN业务，如L2TPVPN、GREVPN、IPSecVPN和SSLVPN等，与智能终端对接实现移动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由；支持IPv4/IPv6双协议栈同时，可实现针对IPV6的状态防护和攻击防范。

产品特点

高性能的软硬件处理平台

H3CSecPathF100-X-G2采用了先进的最新64位多核高性能处理器和高速存储器。

电信级设备高可靠性

●采用H3C公司拥有自主知识产权的软、硬件平台。

产品应用从电信运营商到中小企业用户，经历了多年的市场考验。

●支持H3CIRF虚拟化技术，可将多台设备虚拟化为一台逻辑设备，对外呈现为一个网络节点，资源统一管理，完成业务备份同时提高系统整体性能。

强大的安全防护功能

●支持丰富的攻击防范功能。

包括：

Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范，还包括针对SYNFlood、UPDFlood、ICMPFlood、DNSFlood等常见DDoS攻击的检测防御。

●最新支持SOP1:

N完全虚拟化。

可在H3CSecPathF100-X-G2设备上划分多个逻辑的虚拟防火墙，基于容器化的虚拟化技术使得虚拟系统与实际物理系统特性一致，并且可以基于虚拟系统进行吞吐、并发、新建、策略等性能分配。

●支持安全区域管理。

可基于接口、VLAN划分安全区域。

●支持包过滤。

通过在安全区域间使用标准或扩展访问控制规则，借助报文中UDP或TCP端口等信息实现对数据包的过滤。

此外，还可以按照时间段进行过滤。

●支持基于应用、用户的访问控制，将应用与用户作为安全策略的基本元素，并结合深度防御实现下一代的访问控制功能。

●支持应用层状态包过滤（ASPF）功能。

通过检查应用层协议信息（如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议），并监控基于连接的应用层协议状态，动态的决定数据包是被允许通过防火墙或者是被丢弃。

●支持验证、授权和计帐（AAA）服务。

包括：

基于RADIUS/HWTACACS+、CHAP、PAP等的认证。

●支持静态和动态黑名单.

●支持NAT和NAT多实例。

●支持VPN功能。

包括：

支持L2TP、IPSec/IKE、GRE、SSL等，并实现与智能终端对接。

●支持丰富的路由协议。

支持静态路由、策略路由，以及RIP、OSPF等动态路由协议。

●支持安全日志。

●支持流量监控统计、管理。

灵活可扩展的一体化DPI深度安全

●与基础安全防护高度集成的一体化安全业务处理平台。

●全面的应用层流量识别与管理：

通过H3C长期积累的状态机检测、流量交互检测技术，能精确检测Thunder/WebThunder

●（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用；支持P2P流量控制功能，通过对流量采用深度检测的方法，即通过将网络报文与P2P协议报文特征

●进行匹配，可以精确的识别P2P流量，以达到对P2P流量进行管理的目的，同时可提供不同的控制策略，实现灵活的P2P流量控制。

●高精度、高效率的入侵检测引擎。

采用H3C公司自主知识产权的FIRST（FullInspectionwithRigorousStateTest，基于精确状态的全面检测）引擎。

FIRST引擎集成了多项检测技术，实现了基于精确状态的全面检测，具有极高的入侵检测精度；同时，FIRST引擎采用了并行检测技术，软、硬件可灵活适配，大大提高了入侵检测的效率。

●实时的病毒防护：

采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。

●迅捷的URL分类过滤：

提供基础的URL黑白名单过滤同时，可以配置URL分类过滤服务器在线查询。

●全面、及时的安全特征库。

通过多年经营与积累，H3C公司拥有业界资深的攻击特征库团队，同时配备有专业的攻防实验室，紧跟网络安全领域的最新动态，从而保证特征库的及时准确更新。

业界领先的IPv6

●支持IPv6状态防火墙，真正意义上实现IPv6条件下的防火墙功能，同时完成IPv6的攻击防范。

●支持IPv4/IPv6双协议栈，并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能。

●支持IPv6各种过渡技术，包括NAT-PT、IPv6OverIPv4GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道、NAT444、DS-Lite等。

●支持IPv6ACL、Radius等安全技术。

下一代多业务特性

●集成链路负载均衡特性，通过链路状态检测、链路繁忙保护等技术，有效实现企业互联网出口的多链路自动均衡和自动切换。

●一体化集成SSLVPN特性，满足移动办公、员工出差的安全访问需求，不仅可结合USB-Key、短信进行移动用户的身份认证，还可与企业原有认证系统相结合、实现一体化的认证接入。

●DLP基础功能支持，支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTPURL和内容过滤；支持网络传输协议的文件过滤；支持应用层过滤，提供Java/ActiveXBlocking和SQL注入攻击防范。

专业的智能管理

●支持智能安全策略：

实现策略冗余检测、策略匹配优化建议、动态检测内网业务动态生成安全策略并推荐。

●支持标准网管SNMPv3，并且兼容SNMPv1和v2。

●提供图形化界面，简单易用的Web管理。

●可通过命令行界面进行设备管理与防火墙功能配置，满足专业管理和大批量配置需求。

●通过H3CIMCSSM安全管理中心实现统一管理，集安全信息与事件收集、分析、响应等功能为一体，解决了网络与安全设

●备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题，使IT及安全管理员脱离繁琐的管理工作，极大提高工作效率，能够集中精力关注核心业务。

●基于先进的深度挖掘及分析技术，采用主动收集、被动接收等方式，为用户提供集中化的日志管理功能，并对不同类型格式

●（Syslog、二进制流日志等）的日志进行归一化处理。

同时，采用高聚合压缩技术对海量事件进行存储，并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统，避免重要安全事件的丢失。

●提供丰富的报表，主要包括基于应用的报表、基于网流的分析报表等。

●支持以PDF、HTML、WORD和TXT等多种格式输出。

●可通过Web界面进行报告定制，定制内容包括数据的时间范围、数据的来源设备、生成周期以及输出类型等。

产品规格

型号

F100-A-G2/F100-A-EI

接口

16GE+8SFP

扩展槽位

1

扩展板卡类型

4千兆PFC接口模块

存储介质

**inch500GB/1TBSATA硬盘、2.5inch480GSSD硬盘

环境温度

工作：

0～45℃非工作：

-40～70℃

运行模式

路由模式、透明模式、混杂模式

AAA服务

Portal认证、RADIUS认证、HWTACACS认证、PKI/CA（X.509格式）认证、域认证、CHAP验证、PAP验证

防火墙

SOP虚拟防火墙技术，支持CPU、内存、存储等硬件资源划分的完全虚拟化安全区域划分

可以防御Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYNFlood、UPDFlood、ICMPFlood、DNSFlood等多种恶意攻击

基础和扩展的访问控制列表基于时间段的访问控制列表基于用户、应用的访问控制列表

ASPF应用层报文过滤

静态和动态黑名单功能

MAC和IP绑定功能

基于MAC的访问控制列表支持802.1qVLAN透传

病毒防护

基于病毒特征进行检测支持病毒库手动和自动升级报文流处理模式

支持HTTP、FTP、SMTP、POP3协议

支持的病毒类型：

Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、

Virus等

支持病毒日志和报表

深度入侵防御

支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS等常见的攻击防御

支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御支持攻击特征库的分类（根据攻击类型、目标机系统进行分类）、分级（分高、中、低、提示四级）

支持攻击特征库的手动和自动升级（TFTP和HTTP）支持对BT等P2P/IM识别和控制

邮件/网页/应用层过滤

邮件过滤

SMTP邮件地址过滤

邮件标题过滤

邮件内容过滤

邮件附件过滤

网页过滤

HTTPURL过滤

HTTP内容过滤

应用层过滤

JavaBlocking

ActiveXBlocking

SQL注入攻击防范

NAT

支持多个内部地址映射到同一个公网地址

支持多个内部地址映射到多个公网地址

支持内部地址到公网地址一一映射

支持源地址和目的地址同时转换

支持外部网络主机访问内部服务器

支持内部地址直接映射到接口公网IP地址

支持DNS映射功能

可配置支持地址转换的有效时间

支持多种NATALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等

VPN

L2TPVPN、IPSecVPN、GREVPN、SSLVPN

IPv6

基于IPv6的状态防火墙及攻击防范

IPv6协议：

IPv6转发、ICMPv6、PMTU、Ping6、DNS6、TraceRT6、Telnet6、DHCPv6Client、DHCPv6Relay等

IPv6路由：

RIPng、OSPFv3、BGP4+、静态路由、策略路由、PIM-SM、PIM-DM等IPv6安全：

NAT-PT、IPv6Tunnel、IPv6PacketFilter、Radius、IPv6域间策略、IPv6连接数限制等

高可靠性

支持IRF2:

1虚拟化（F100-C-G2、F100-C-EI、F100-S-G2、F100-M-G2不支持）

支持双机状态热备（Active/Active和Active/Backup两种工作模式）支持双机配置同步

支持IPSecVPN的IKE状态同步支持VRRP

易维护性

支持基于命令行的配置管理

支持Web方式进行远程配置管理

支持H3CSSM安全管理中心进行设备管理支持标准网管SNMPv3，并且兼容SNMPv1和v2智能安全策略

环保与认证

支持欧洲严格的RoHS环保认证

**ACG应用控制网关

H3CSecPathACG1000是H3C公司新一代应用控制网关，ACG1000引入了全方位上网行为管理要素，是面向客户业务而量身定制的全业务网关产品。

H3CSecPathACG1000能对网络中的网络社区、P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。

利用智能流控、智能阻断、智能路由等技术，配合创新的社交网络行为管理功能、清晰易管理日志等功能，可以提供业界最全面、完善的上网行为管理解决方案。

从而保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，为用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。

产品特点

最全面的应用识别能力

通过H3C长期积累的状态机检测、流量交互检测技术，能精确检测115网盘、电信通、盛大网盘、XX网盘、360云盘、Thunder/WebThunder（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、新浪UC、阿里旺旺、新浪微博、腾讯微博、天涯论坛、猫扑论坛、微信等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等多种主流网络应用，为应用控制及审计提供有力支撑。

精细化的流量管理功能

SecPathACG支持超过4级通道带宽嵌套，满足大型网络管理要求，支持基于地址、用户、服务、应用、时间等新五元组一体化策略的上下行带宽及多优先级控制，流量管理无死角。

SecPathACG设备的智能流控技术将出口物理线路带宽划分为逻辑虚拟线路，在父线路内支持二次划分，即将线路划分为通道，从而达到多级流控。

根据流量特征，智能识别应用和服务，之后根据流量特性，识别出配置的虚拟线路和流控管道，计算出管道的带宽使用率，是否需要向父节点借用带宽等信息。

在转发过程中，支持流量整形，在接口上缓存报文，并以比较均匀的速度发送出去，避免网络出现burst，导致丢包。

SecPathACG产品整机提供32个虚拟线路、1024个带宽通道、4级流控，彻底告别陈旧的流控技术，让带宽管理做到最精细！

智能阻断技术

相比传统的QoS丢包技术，SecPathACG提供的智能阻断技术抛弃了“允许所有流量转发到接口，在接口上区分流量优先级，并在接口上进行缓存和丢包”的技术实现方式，而采用更加优化的阻断方式：

一旦流控模块识别出用户设定的垃圾流量，立刻在设备上删除所有与该垃圾应用相关的数据连接，所以垃圾流量从一开始就不会产生，所以宝贵的带宽资源无需被吞噬；而同时，设备可以免于接口队列调度丢包，节省大量资源，帮助客户节省带宽和设备资源。

精细化的应用控制功能

SecPathACG采用了DPI/DFI融合识别技术，相对于传统的流控产品，控制力度更精细，控制层面不再局限在主程序，更能深入识别应用程序的子功能。

例如对新浪微博的控制力度不仅仅是登录动作，更是深入识别到注销、发表、评论、转发、关注、搜索等子功能，支持单应用高达12种行为动作控制、超过八百种主流应用类别识别、近60种分类URL审计过滤、桌面及移动终端均可审计控制，提供最精细的控制功能。

极速上线

当企业存在多个分支机架需要互联，如何实现业务的快速部署，如何实现业务的统一管理，一直是网络运维最头疼问题。

配合H3CSecPathACG1000日志分析与管理平台，可实现业务的快速部署，分支机构的ACG1000只需要接上网线，确保外网连通便可自动从中心端的日志分析与管理平台下载配置，整套加载流程大概1分钟完成，无需专业人员到场，大幅节约总分型客户部署成本，网络就绪时间更短，业务开展更快。

智能选路

随着带宽成本的下降及业务需求，企业通常存在两个或两个以上的网络出口，对于多出口的业务分配，目前还是采用策略路由方式居多，但是策略路由只能解决多个出口的基本可用问题，没法实现多出口的精细化利用。

ACG1000提供智能选路功能，可根据访问的目的地址，自动选择所属运营商，提高访问速度和稳定性，还可以根据不同应用和用户组选择不同的出口，将非关键应用分流到低成本链路，保障各出口链路达到最优利用率。

丰富的报表

提供实时的业务流量趋势图、流量分布图、TopN用户列表、TopN应用协议列表等报表，并支持按照用户名/用户组、使用时段、应用分类、应用协议、流量大小、安全事件等进行多维度组合定制报表，使用户能全面掌握网络中的流量、应用和业务分布，为合理规划网络、制定流量控制策略提供依据。

完善的安全审计系统

可对各种网络社区、P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输、数据库应用等各种上网行为提供全方面的行为监控和记录；同时，通过综合分析、检测用户网络流量与流向趋势，对历史数据进行分析，为用户提供细粒度的网络应用审计管理系统。

高性能、高可靠性

采用最新的基于MIPS64的多核SoC（SystemonChip）处理器，控制与转发相分离，实现了千兆级线速业务处理能力，仅有微秒级时延；通过Bypass、双电源冗余等高可靠性设计，保证SecPathACG在断电、软硬件故障或链路故障、流量过载的情况下，网络链路仍然畅通。

及时的特征库更新

H3C专业特征库团队密切跟踪应用变化，并对应用协议特征库及时更新；支持对协议特