Secoway USG9300 系列产品 技术建议书模板(V1.0_20080901).doc

USG 9300技术建议书 目录 1 概述 3 1.1 网络安全 3 1.2 网络安全管理 3 2 ××网络分析 3 2.1 ××网络现状 3 2.2 ××××网络业务分析 3 2.3 ××网络安全问题与分析 3 2.4 ××网络安全需求 3 3 ××网安全解决方案 3 3.1 大型IDC中心或城域网安全解决方案 3 3.2 政府或大型企业网络总部安全防护 3 3.3 大容量WAP网关安全防护 3 3.4 运营商各网络平面隔离 3 3.5 ××网络安全设备选择 3 4 USG 9300防火墙 3 4.1 高性能处理 3 4.2 多安全区域 3 4.3 多种功能模式 3 4.3.1 工作模式 3 4.3.2 集成路由功能 3 4.4 增强的报文过滤 3 4.4.1 更快捷的ACL查找 3 4.4.2 黑名单过滤恶意主机 3 4.5 多种NAT应用 3 4.5.1 地址转换 3 4.5.2 内部服务器 3 4.5.3 多种NAT ALG 3 4.6 强大的攻击防范能力 3 4.6.1 防范蠕虫病毒 3 4.6.2 防范多种DoS攻击 3 4.6.3 防范扫描窥探攻击 3 4.6.4 防范其它攻击 3 4.7 电信级高可靠性 3 4.7.1 可靠的产品设计 3 4.7.2 可靠性预测 3 1. 故障定义一：系统50%业务中断称为系统中断 3 2. 故障定义二：单业务通道业务中断称为系统中断 3 4.8 完备的流量监控 3 4.8.1 基本会话监控 3 4.8.2 承诺访问速率 3 4.8.3 实时统计分析 3 4.9 认证 3 4.9.1 多种认证方式 3 4.10 安全保障的VPN应用 3 4.11 QoS质量保证 3 4.12 增强的日志管理 3 4.12.1 日志服务器 3 4.12.2 两种日志输出方式 3 4.12.3 多种日志信息 3 4.13 丰富灵活的维护管理 3 丰富的维护管理手段 3 基于SNMP的终端系统管理 3 软件热补丁 3 4.14 符合多项测试和认证要求 3 4.15 USG 9300规格 3 概述 Internet的普及为社会的发展带来了巨大的推动力，但同时也产生了大量的网络安全问题，越来越受到政府、金融、教育、电力、交通等机构以及众多企业的重视。网络安全问题主要包括两个层面：网络本身的安全问题和网络安全管理问题。 网络安全 Internet由于其开放性，使得非常容易遭受攻击。随着攻击手段的变化多样而且攻击工具更容易获取，以及基于僵尸网络DDoS攻击的出现，使得基于网络层的攻击层出不穷。主要的攻击包括：ARP Flood、ICMP Flood、IP Spoofing、UDP Flood、Synflood、Smurf 攻击、Land 攻击、超大ICMP攻击、Fragile 攻击、Ping of Death、Tear Drop、Ping Scan、Port Scan、IP 路由选项攻击、Tracert 攻击等等。 网络层攻击的目标主要有三个：带宽攻击、主机或者网络设备攻击以及入侵前的主机扫描。带宽攻击指通过大量的攻击数据包占用正常业务数据的带宽，导致网络带宽拥挤，正常业务受到影响；主机或者网络设备攻击指的是攻击者通过攻击主机或者网络设备的某个应用端口导致被攻击设备处理不过来或者瘫痪使其不能处理正常业务数据；主机扫描指的是黑客在入侵之前通过IP或者端口扫描获取网络中活动的主机信息，为下一步入侵提供必要的信息。 网络安全管理 网络安全安全管理指的是企业对自身的网络资源进行有效的安全区域、等级划分，使得在网络安全运行的基础上，促进企业自身的信息安全管理水平，更好的保证企业正常运作。安全区域指的是在网络中拥有相同网络资源访问权限的主机集合，安全区域的划分主要依据企业内部部门的划分，例如财务部门、研发部门、市场部门分别划分为三个不同安全等级的安全区域。将一个企业进行清晰的安全区域划分，大大简化了企业的网络资源控制与管理，在此基础上，实施适合企业管理要求的安全策略管理，提高企业信息安全管理水平。 ××网络分析 ××网络现状 [此部分主要包括两个部分(注意：要给出网络的吞吐量，一般在10G流量以上，需要提供多个10G接口的时候使用USG 9300产品，一般10－40G采用USG 9310，10－80G采用USG 9320)： 1．××网络拓扑图，如果是新建网络，则提供没有安全设备的网络拓扑图，用来进行安全方案的分析。 2．××网络承载的业务，主要是内部业务以及出口网络业务] ××××网络业务分析 [给出现网的业务流分析图，使得客户对现有网络安全问题理解的更加清晰] ××网络安全问题与分析 [此部分主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出)： 1．××网络出口安全隐患：DoS攻击，端口扫描