石化科学研究院安全案方案.doc

石化科学研究院安全方案（简要） 现状 1 安全风险 2 解决方案 4 相关产品 5 价格 22 标准折扣 25 现状  Internet出口使用单台运行于AIX操作系统的Check Point Firewall-1 4.1，硬件为 RS6000 DMZ区部署IDS系统 主要服务器上安装授权和审计软件 安全风险 边界防火墙： 单机防火墙容易造成单点故障。一旦防火墙硬件或软件进程出现问题，与外界联络会立即中断，影响业务正常运转。 Firewall-1 4.1是一个在市场上非常成功的产品，但从它推出以来，安全技术已经有了很大发展，现在Check Point的防火墙版本已经发展到NG AI，技术更加完善，同时功能也更强。老版本无法抵御黑客最新的攻击行为。例如，现在黑客逐渐将攻击目标转向应用，通过企业的开放端口80或443，绕过防火墙的检查，直接到达目标服务器，盗取信息、安装木马或以其为跳板攻击企业内部其他服务器。另一个例子，现在企业员工非常喜欢使用P2P应用，比如QQ或MSN与外部人员聊天，共享文件。一方面这样做会消耗企业有限的带宽，比如多个人同时下载视频文件，会占用大量带宽，使企业正常业务受到影响。另一方面，由于P2P应用可以藏在HTTP流量之中，所以可以旁路防火墙安全检查（一般会允许Http通过），给黑客以可乘之机。应用层攻击的例子还有很多，这里不一一列举。所有这些有害行为，Check Point NG AI 均可以进行防护，因为它可以检测和防范来自于应用层的攻击。NG AI是一个多层安全网关，可以保护从网络层到应用层的安全。 员工出差在外，通过互联网要收发电子邮件或访问内部资源，均通过明文进行，面临信息泄露和会话劫持的风险。 IDS系统是一个被动系统，检测到攻击后不能直接采取行动，错失时机；根据攻击特征作出判断，没有特征就无法防范，因此滞后于攻击，对新攻击用户总会遭到损失；误报率高，影响企业业务正常运转。 内网重要服务器除了授权审计和防毒外，没有安全防护，容易遭受来自于企业内部的攻击。防毒软件可以保护主机安全，无法防御网络攻击。如Slammer蠕虫，仅存在于内存中，不写硬盘，防毒软件无法处理。 内网中其他部门，没有任何安全措施，无法避免非授权访问和来自于内部的攻击。如果一名员工出差在外使用笔记本电脑访问互联网，可能受到攻击，被种上木马或感染蠕虫。一旦他回到企业内部，连上内部网络，潜伏于他机器上的安全问题会成为企业的安全隐患。例如蠕虫爆发，瞬间会扩散到整个企业，所有机器均会受到影响。 解决方案 边界：部署Check Point最新版本防火墙R55，双机实现高可用性和负载均衡，避免单点故障。利用Check Point最新提供的应用智能技术，实现最高级别的安全防护。R55内置入侵防范功能，由于基于主动防御技术，可以在一定范围内防御未知攻击，可以为用户提供更好的保护。 移动用户：在其笔记本电脑或PDA上部署VPN-1 SecureClient，一方面让其利用VPN以加密的方式通过互联网，安全的访问内部资源；另一方面，SecureClient具有中央管理的个人防火墙功能，可以保护端点免受非授权访问，同时管理员可以控制端点的访问行为；此外SecureClient还可以为端点分配内网IP地址，从而加强内网资源的安全性，比如规定内网资源只接受来自于内部IP地址的访问。 服务器群：在服务器群前面部署InterSpect内部安全网关，防范蠕虫传播，避免来自于内部的攻击。 部门：（分为几种情况） 部门1：只有一台服务器需要保护，要求本部门员工才可以访问，同时避免线路窃听。最简单的方式，无需改变网络结构，可以在此台服务器上直接安装VPN-1 SecureServer。它是一个单机版防火墙 ，同时提供VPN功能。本部门其他机器安装VPN-1 SecureClient，以加密的方式与服务器进行通信。同时在防火墙上设置策略，控制其他部门访问。 部门2：无需严格访问控制，但需要避免蠕虫感染和内部攻击。可以将InterSpect透明部署在部门交换机和核心交换机之间，起到防御作用。 部门3：需要严格访问控制，指定人员才可以访问相关资源。可以根据需要在部门网络之前部署单机或双机防火墙VPN-1 Pro。 5．管理：可以通过业内最好的Check Point Smart管理构架进行集中管理。 相关产品 VPN-1 Pro 您面临的挑战：Internet 可以到达全球任何一个角落，因此它为企业网络延伸到所有职员和主要业务合作伙伴提供了一种灵活的、高成本效益的基础架构。但是，一个企业要想充分利用 Internet，它必须能够确保业务通信的安全性和对企业内部网络资源的保护。除了安全性，公司还要面对可用性、性能和可伸缩性的挑战。为使关键任务