下一代USG系列统一安全网关技术建议书范本.docVIP

目录 1 概述 6 1.1 网络安全 6 1.2 威胁管理 6 1.3 网络安全管理 7 1.4 新网络带来的新威胁 7 2 ××企业网络安全分析 8 2.1 ××企业网络现状 8 2.2 ××企业网络业务流分析 8 2.3 ××企业网络安全问题与分析 8 3 ××企业网络安全需求 9 3.1 ××企业网络安全设计原则 9 3.2 ××企业网络安全需求 10 4 网络安全解决方案 10 4.1 ××企业网络安全解决方案 10 4.1.1 大中型企业边界防护方案 10 4.1.2 内网管控与安全隔离方案 12 4.1.3 数据中心边界防护方案 13 4.1.4 VPN远程接入与移动办公 14 4.1.5 云计算网关防护方案 16 4.1.6 MPLS VPN解决方案 17 4.1.7 IPv4向IPv6网络过渡解决方案 18 4.2 ××企业网络安全设备选择 19 5 安全解决方案特点 19 5.1 ××企业安全网络业务流分析 19 5.2 ××企业网络安全解决方案优点 19 6 USG系列防火墙统一安全网关 20 6.1 下一代USG系列防火墙简介 20 6.2 下一代USG系列防火墙功能特点 20 6.2.1 完善的传统防火墙安全功能 20 6.2.2 强大的内容安全防护 29 6.2.3 灵活的用户管理 36 6.2.4 精细的流量管理 37 6.2.5 领先的IPV6支持 38 6.2.6 多样的VPN接入方式 39 6.2.7 易用的虚拟防火墙 41 6.2.8 IDS联动 42 6.2.9 丰富的日志与报表 43 6.2.10 灵活的维护管理 44 6.2.11 符合多项测试和认证要求 45 7 服务 45 7.1 服务理念 45 7.2 服务内容 45 7.3 服务保障 45 概述 Internet的普及为社会的发展带来了巨大的推动力，但同时也产生了大量的网络安全问题，越来越受到金融、教育、电力、交通等机构以及众多企业的重视。网络安全问题主要包括两个层面：网络本身的安全问题和网络安全管理问题。随着电信网络向融合、开放、和宽带不断演进，电信网络变得庞大而又复杂了，其面临着来自多个网络的各种安全威胁，网络安全事件频频发生，主要集中在病毒、蠕虫、恶意代码，网页篡改，垃圾邮件等方面，政府网站常常成为攻击目标。传统对上述威胁难以应付UTM技术应运而生。UTM设备采用专用多核架构平台，将IPS、Anti-Virus、UTRL过滤、VPN、防火墙和上网行为管理等安全特性集成于一体，形成立体的威胁防御解决方案。 网络安全 Internet由于其开放性，使得非常容易遭受攻击。随着攻击手段的变化多样而且攻击工具更容易获取，以及基于僵尸网络DDoS攻击的出现，使得基于网络层的攻击层出不穷。主要的攻击包括：ARP Flood、ICMP Flood、IP Spoofing、UDP Flood、Synflood、Smurf 攻击、Land 攻击、超大ICMP攻击、Fragile 攻击、Ping of Death、Tear Drop、Ping Scan、Port Scan、IP 路由选项攻击、Tracert 攻击等等。 网络层攻击的目标主要有三个：带宽攻击、主机或者网络设备攻击以及入侵前的主机扫描。带宽攻击指通过大量的攻击数据包占用正常业务数据的带宽，导致网络带宽拥挤，正常业务受到影响；主机或者网络设备攻击指的是攻击者通过攻击主机或者网络设备的某个应用端口导致被攻击设备处理不过来或者瘫痪使其不能处理正常业务数据；主机扫描指的是黑客在入侵之前通过IP或者端口扫描获取网络中活动的主机信息，为下一步入侵提供必要的信息。 威胁管理 越来越复杂的威胁、持续提高的规章要求以及持续发展的应用程序，不断给企业带来新的网络安全问题。威胁越来越复杂化，并且新的应用和技术也带来了更多漏洞。为企业提供全面的安全解决方案，提前扼杀网络威胁。 图1大中型企业边界防护典型部署 大中型企业员工人数通常都比较多，一般在500人以上的企业。大中型企业通常具有以下业务特征： 企业人员众多，业务复杂，流量构成丰富多样。 对外提供网络服务，例如公司网站、邮件服务等。 容易成为DDoS攻击的目标，而且一旦攻击成功，业务损失巨大。 对设备可靠性要求较高，需要边界设备支持持续大流量运行，即使设备故障也不能影响网络运转。 基于以上特征，USG系列防火墙作为大中型企业的出口网关提供如下功能： 将企业员工网络、公司服务器网络、外部网络划分到不同安全区域，对安全区域间的流量进行检测和保护 根据公司对外提供的网络服务的类型开启相应的内容安全防护功能。例如针对图1中的文件服务器开启文件过滤和数据过滤，针对邮件服务器开启邮件过滤，并且针对所有服务器开启反病毒和入侵防御。 针对内网员工访问外部网