XX网络网关安全建设建议书XXX网络网关安全建设建议书.docVIP

XXX网络网关安全建设 建议书 XXX有限公司 2008年11月 1 前言 3 1．1 范围定义 3 1．2 参考标准 3 2 网络边界脆弱性和风险分析 4 3 网络边界安全需求 4 4 网络边界安全建议方案 6 4．1 设计目标 6 4．2 设计原则 6 4．3 安全产品的选型原则 7 4．4 网络边界安全建议方案 7 5 方案中配置产品简介 9 5．1 Juniper SSG 550 安全业务网关 9 5. 2 EX 3200 交换机 14 前言 范围定义 本文针对的是XXX网络的网关安全问题。本次方案将给出相应的解决方案。 1．2 参考标准 XXX网络属于一个典型的行业网络，必须遵循行业相关的保密标准，同时，为了保证各种网络设备的兼容性和业务的不断发展需要，也必须遵循国际上的相关的统一标准，我们在设计XXX的网络安全解决方案的时候，主要参考的标准如下： NAS IATF3.1美国国防部信息保障技术框架v3.1 ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则，第一部分 简介和一般模型 ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则，第二部分 安全功能要求 ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则，第三部分 安全保证要求 加拿大信息安全技术指南, 1997 ISO17799第一部分, 信息安全管理Code of Practice for Information Security Management GB/T 18019-1999 包过滤防火墙安全技术要求； GB/T 18020-1999 应用级防火墙安全技术要求； 国家973信息与网络安全体系研究G1999035801课题组IATF《信息技术保障技术框架》。 网络边界脆弱性和风险分析 网络的边界隔离着不同功能或地域的多个网络区域，由于职责和功能的不同，相连网络的密级也不同，这样的网络直接相连，必然存在着安全风险，下面我们将对XXX网络的网络边界问题做脆弱性和风险的分析。 XXX的网络主要存在的边界安全风险包括： XXX网络与Internet连接。Internet是将世界各地不信任的网络相连而成，给大家带来极大方便的同时，各种各样的威胁也随之而来。XXX网络极有可能遭到来自Internet恶意攻击和计算机病毒的入侵，致使网络局部或整体瘫痪，导致业务无法正常运行给公司带来巨大的损失； XXX网络内部的服务器，为公司的业务的正常运行提供保障。服务器的正常运行就显得非常重要。对服务器进行访问控制将使服务器得到很好的保护。一旦公司的服务器受到恶意的攻击，将导致重要信息的泄漏或者是网络的瘫痪。直接影响到公司的业务无法正常运行。 网络边界安全需求 通过上面的网络边界脆弱性和风险的分析，我们认为整个XXX网络的网络边界处存在着一定的安全隐患。下面将对网络边界的安全需求进行详细分析。防火墙是实现网络逻辑隔离的首选技术，在XXX的网络中，既要保证在整个网络的连通性，又要实现不同网络的逻辑隔离。针对XXX网络的具体情况，得到的防火墙的需求包括以下几个方面： 先进的安全理念 支持基于安全域的策略设定，让用户能够更好的理解防火墙的应用目的。 访问控制 防火墙必须能够实现网络边界的隔离，具有基于状态检测的包过滤功能，能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制，能够实现网络层的内容过滤，支持网络地址转换等功能。 高可靠性 由于防火墙是网络中的重要设备，意外的当机都会造成网络的瘫痪，因此防火墙必须是运行稳定，故障率低的系统。 日志和审计 要求防火墙能够对重要关键资源的使用情况应进行有效的监控，防火墙系统应有较强的日志处理能力和日志分析能力，能够实现日志的分级管理、自动报表、自动报警功能，同时希望支持第三方的日志软件，实现功能的定制。 身份认证 防火墙本身必须支持身份认证的功能，在简单的地方可以实现防火墙本身自带数据库的身份认证，在大型的情况下，可以支持与如RADIUS等认证服务器的结合使用。 易管理性 系统的安装、配置与管理尽可能的简洁，安装便捷、配置灵活、操作简单。 高安全性 作为安全设备，防火墙本身必须具有高安全性，本身没有安全漏洞，不开放服务，可以抵抗各种类型的攻击。针对防火墙保护的服务器的拒绝服务攻击，防火墙可以进行阻挡，并且在阻挡的同时，保证正常业务的不间断。 高性能 作为网络的接入设备，防火墙必须具有高性能，不影响原有网络的正常运行，千兆防火墙的性能应该在1000Mbps以上，并发连接数要在12万以上。 可扩展性