【唐钢信息网络安全方案】（11页）.docVIP

唐钢信息网络系统安全方案 神州数码有限公司 2002年1月  中国最庞大的下载资料库下载伴随信息网络技术的应用的普及和广泛，信息网络的安全性也是一个不容忽略，需要同步发展的问题。信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。唐钢做为国家重点大型传统化企业，在信息化网络建设的同时，如何保证其内部的重要生产资料、财务信息、技术资料等安全性，也是一个同等重要的问题。神州数码的DCFW-2000防火墙在其产品稳定性和功能的全面性方面，在网络安全领域一直都有比较好的口碑，该产品一定会全面提升唐钢信息网络的安全性，以下我们将针对唐钢的信息网络的具体情况，做详细的阐述。 唐钢信息网络系统拓朴描述及安全分析 网络拓扑图 中国最庞大的下载资料库下载 设备选型及连接 网络核心交换机 ：选择Cisco Catalyst CSR8540，通过千兆光纤连接网络/一级主干交换机，100M光纤连接二级主干交换机； 网络主干交换机：选择Cisco Catalyst 4006，销售公司、高线厂、新一钢/薄板厂3台Catalyst 4006构成环状主干； 一级主干交换机（二炼铁/北动厂、棒材厂、供应处）：选择Cisco Catalyst 2948G，通过千兆光纤上联网络主干及核心交换机； 注：由于棒材厂的Catalyst 2948G要下联氧气厂的一台Catalyst 1924C，而Catalyst 2948G没有100M光纤口，所以在棒材厂的Catalyst 2948G需要一个光纤收发器。 二级交换机：选择Cisco Catalyst 1924C，通过100M光纤上联到一级主干、网络主干以及核心交换机。 安全分析 针对以上的拓朴结构，具体的安全需求简单描述如下： 内网与外网（指联入internet的网络）在本系统物理上隔离。 中国最庞大的下载资料库下载 对销售公司、薄板厂等进行安全控制。 整个办公网、技术中心等二级结点的安全控制。 对办公网络中的信息发布业务、网上传输某些内部敏感信息和企业秘密等，需要进行相应的保护。例如使用DCFW-2000的VPN功能。 对服务器组，应进行重点保护。防止非授权用户对其进行非法操作和恶意攻击。 保护办公网和业务网上的计算机系统不受计算机病毒的侵害。 加强系统安全对不良信息的过滤机制。 加强网络安全管理，提高系统安全强度、强化安全管理，实现对系统安全运行的即时监控，并提供完整的日志分析。 中国最庞大的下载资料库下载 DCFW-2000功能介绍 针对以上唐钢信息网络建设安全性的分析，我们可以首先看一下DCFW-2000的功能，并从中可以清楚地看到如何发挥它的功能，实现对唐钢信息网络安全的全面应用。 DCFW-2000功能说明： 1、DCFW-2000 Firewall是一个完备的防火墙，具备两种典型防火墙的功能—动态封包过滤和应用程序代理。DCFW-2000 Firewall根据每个封包的来源地址、目的地址、来源端口、目的端口以及封包通过的时间及封包之间的关联性动态的决定是否对这个封包予以放行，或者把它过滤掉，比一般传统的静态封包过滤防火墙更具安全性；DCFW-2000对每一个网络服务进行更严密的监控，提供各式的代理服务器：客户机与服务器之间的连接必须先经过代理服务器的查看，服务的使用也受代理服务器的管理；一方面使得网络服务的使用处于监控之下，另一方面也能屏蔽内部服务器主机，提高安全性。 2、DCFW-2000 Firewall提供数据传输加密与解密的功能（VPN），使得用户可以利用因特网传送机密文件，而不必担心数据被窃取或更改。 中国最庞大的下载资料库下载 3、为了使原有的地址不必更改，而且让有限的NIC地址给更多的主机共享，DCFW-2000 Firewall提供内部地址与互连网 IP地址之间的转换功能，使得内部网络不需做任何更动，就能与因特网相连。由于内部机器的地址已被屏蔽，所以更增加了安全性。 4、DCFW-2000 Firewall提供用户管理理念，用户要通过防火墙的用户认证，不是合法的用户传送的封包将被过滤掉。 5、DCFW-2000 Firewall为此提供单次的密码机制，每一次登录的密码都不相同，即使非法用户窃取并重新利用了这一密码，他也无法登录系统。 6、DCFW-2000 Firewall对每一块网卡进行监控，从而能侦测出假冒IP地址的封包，并把它们过滤掉。对于一些黑客的攻击，由于DCFW-2000 Firewall检查IP表头的每一个栏位的数据和连续封包之间的关联性，所以能把假冒IP地址的封包侦测出来并予以过滤。 7、DCFW-2000 Firewall除了强调网络安全性之外，还提供了一般防火墙产品所没有的网络使用的