海关远程报关VP解决方案建议V1.1.docVIP

海关远程报关VPN解决方案建议 （简要） Check Point 目录 1 前言 3 2 设计目标和设计原则 4 2.1 设计目标 4 2.2 设计原则 5 3 客户需求分析 7 3.1 海关远程报关系统简介（略） 7 3.2 目前需求分析 7 3.3 采用IPSec VPN的好处 7 4 方案设计 10 4.1 网络拓扑 11 4.2 方案说明 11 4.3 安全管理建议 13 5 推荐产品介绍 14 5.1 推荐产品 14 5.2 Check Point VPN-1 Power介绍 14 5.3 Crossbeam X40介绍 23 5.4 Check Point SmartCenter Power介绍 28 5.5 Check Point VPN-1 SecureClient介绍 36 6 产品目录价 43 6.1 VPN-1 网关 43 6.2 中央管理服务器软件 43 6.3 VPN-1 客户端软件 43 6.4 标准折扣 44  1 前言 随着Internet/Intranet技术的飞速发展和广泛应用，网络安全问题愈来愈突出，已成为当前一大热点。黑客技术的公开和有组织化，以及网络的开放性使得网络受到攻击的威胁越来越大。而人们对这一问题的严重性的认识和所具备的应付能力还远远不够。通常人们对内部网络的安全程度不了解，而实际情况是网络中的隐患到处都是；网络的环境在不断变化，加上管理不当，应用人员水平参差不齐，没有有效的方式控制网络的安全状况，我们理想中的安全与实际的安全程度存在巨大的安全缝隙。 随着业务的拓展，网络不断的扩展和日趋复杂，对外服务不断增多，因此保障网络的安全运行是非常重要的。如果网络在安全方面稍微有点漏洞，就有可能被黑客抓住，捣毁数据及网络，这样就会影响网络业务正常运行，直接带来无法估量的经济损失。 在这种情况下，面对动态的、复杂的网络环境，市场上出现了众多不同种类的安全产品，可以说良莠不齐，怎样在众多产品中选择一款性价比最高的产品是我们的首要考虑和解决的问题。 2 设计目标和设计原则 2.1 设计目标 系统设计的目标就是要建立一个具有高可靠性、高安全性、可扩展性、先进性和高性能的计算机网络应用系统，满足目前以及未来业务的发展需求。 网络的可靠性：是指系统的冗错性，系统在部分组件出现故障时能启用备用组件，以使系统能继续运行，防止出现中断。 网络的安全性：包括五个基本要素：机密性、完整性、可用性、可控性与可审查性。 机密性：确保信息不暴露给未授权的实体或进程。 完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。 可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。 可控性：可以控制授权范围内的信息流向及行为方式。 可审查性：对出现的网络安全问题提供调查的依据和手段。 网络的可扩展性：是指网络随着应用的增加仍能满足需求。这要求网络在设计时要求充分考虑未来的应用发展趋势，保证系统在应用不断增加的情况下仍能可用。 网络的先进性和高性能：是指系统设计是尽量选用成熟先进的技术，以避免刚建好的网络因不适用先进的网络技术或不适合与以后运用新的先进技术建立的网络互连而面临尴尬的局面。网络的先进性和高性能也是保证网络可扩展性的一个重要方面。 2.2 设计原则 在进行网络安全设计、规划时，应遵循以下原则： 需求、风险、代价平衡分析的原则 ： 对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡。 综合性、整体性原则 ： 运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。 一致性原则 ： 这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。 易操作性原则 ： 安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。 适应性、灵活性原则 ： 安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。 多重保护原则 ： 任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保