网络安全解决方案.docVIP

网络安全解决方案 目 录 第一章 网络安全设计方案 3 4.1 安全设计策略 3 4.2 具体产品选型及配置方案 4 捷普F3000-140防火墙系统 5 专用的安全操作系统 5 专用的硬件平台 5 专用的软件系统 6 捷普入侵N-100检测系统 9 MCAFEE网络防病毒系统 17 McAfee公司背景 17 产品指标分析 17 主要优势 20 产品功能 20 福建榕基漏洞扫描系统 21 榕基扫描器系列化产品 21 榕基扫描器技术基础 21 第二章、产品选配列表 22 第三章网络安全建设实施方案 24 3.1 工程实施承诺及目标 24 3.1.1 产品质量保证 24 3.1.2 工程质量保证 24 3.1.3 服务保证 25 3.2 项目实施进度控制 25 3.2.1 项目实施内容 25 3.2.2 工程项目整体实施周期 27 3.3 项目实施任务 27 3.3.1系统安装调试地点 27 3.3.2网络安全产品安装 28 3.4 工程管理与实施 28 3.5 用户培训 29 3.5.1 培训目的 29 3.5.2 培训内容、时间和组织方式 29 3.5.3 培训课程 30 3.6 验收与测试 31 3.7 逐步扩充和稳定运行观察期 32 3.8 工程进度图 32 第一章 网络安全设计方案 4.1 安全设计策略 采用不同的安全产品优势互补。以有效的保证系统在出现安全问题时，能从不同的侧面有所反映，这样可以更全面的反映系统的安全现状，有利于系统安全的全面性。 使用不同等级的安全产品进行集成，在不同的网络环境使用与之相应的等级的安全产品，可以有效的减少系统投资。 在产品选型时，需要厂家可以提供客户化支持服务产品。只有这样才能保证系统的安全是可以用户化的，才能有针对的为用户的应用和业务提供安全保证。国内具有自主知识产权的安全产品可以随时根据用户的要求对产品进行相应的改进。使产品更加适合用户的实际需要，而不是一般的通用性产品。 采用可以提供分级、分布、集中管理控制并可进行互动的产品。由于网络和系统的复杂性，对相应产品的管理控制提出了更高的要求，不但可以进行集中、分布的管理控制，还能够进行分级的管理控制以适应大规模网络的需要，同时不同安全产品之间应能够进行有效的互动，以提高系统的防御能力。 在选择产品时需要保证符合相应的国际、国内标准，尤其是国内相关的安全标准。如国内的安全等级标准、漏洞标准，以及国际的CVE、ISO13335、ISO15408、ISO17799等标准。 产品在使用上应具有友好的用户界面，并且可以进行相应的客户化工作，使用户在管理、使用、维护上尽量简单、直观。 建立层次化的防护体系和管理体系 4.2 具体产品选型及配置方案 4.2.1技术要求 防火墙技术规范要求如下： 防火墙必须获得公安部颁发的销售许可证。 从防火墙应用和发展的趋势，防火墙应以硬件防火墙为主，软件为辅。 应具有多种安全防范机制，支持包过滤、代理（Proxy）、状态监测及以上三者的混合的工作方式。 防火墙需支持SNMP网管协议。 多种访问控制：防火墙至少应能对IP地址（源、目的）、服务（所有TCP、UDP端口）、时间、流量等对象进行控制。 具有地址翻译功能，这包括静态地址翻译和动态双向地址翻译。 防火墙应提供DMZ区功能，对DMZ区内主机提供有效保护。防火墙应能通过静态地址翻译和端口翻译实现DMZ区内各主机向Internet发布信息、提供WWW、FTP、Email等服务。 防火墙应具有防IP地址欺骗功能。 防火墙需具有MAC地址绑定功能。 防火墙应支持Radius服务器。 防火墙应具有入侵监测功能。 防火墙必须具有完善的日志功能，能够记录受到的攻击或配置的修改等信息，同时也应具备完善的日志管理和分析系统。 防火墙应具有URL和基于内容的过滤功能。 防火墙应具有透明接入功能。 防火墙应具有带宽管理功能。 防火墙需具有友好的管理界面。为方便管理，用户必须能通过控制台、WEB和远程管理等方式对防火墙进行管理和软件升级。 考虑到系统可用性，防火墙最好能支持双机热备。 防火墙应具备高可靠性，其MTBF值必须大于等于80000小时。 入侵检测系统的技术规范要求如下： 1、入侵检测系统性能价格比入侵检测的特征库更新升级与维护与防火墙联动有效的阻断所发生的攻击事件。集强大的安全访问控制、、应用代理带宽管理、双机热备等多项功能于一体，GB/T 18019-1999（包过滤防火墙安全技术要求）和GB/T 18020-1999（应用级防火墙安全技术要求）两个国家标准，采用标准1U高度机箱，符合国际通用的电气标准。 捷普F3000-140防火墙系统 专用的安全操作系统 捷普F3000-140防火墙系统基于专用安全网络操作系统实