HillStone企业安全解决实施方案书V1.1.docVIP

目录 第一章 某公司网络概述 3 1.1 概述 3 1.2 项目建设目标 3 1.3 项目建设原则 4 1.4 项目建设说明 4 第二章 企业所面临的网络安全挑战与风险分析 5 2.1 网络层的安全分析 6 2.2 系统层的安全分析 6 2.3 应用层的安全分析 7 2.4 安全策略与安全管理的安全分析 7 第三章 企业所面临的网络应用优化挑战 8 3.1企业风控 8 3.2冗余/备份 8 3.3应用支持 8 3.4流量/IM控制 8 3.6配置/管理简单 9 3.7稳定性和兼容性 9 3.8报告功能 9 第四章 HillStone安全解决方案 9 第五章 HillStone功能介绍 10 4.1 状态检测 10 4.1.1 包过滤与状态检测 10 4.1.2 独特的防火墙状态监测 12 4.1.3 HillStone的状态会话表 12 4.1.3 会话失效时间 13 4.2 NAT与PAT 13 4.2.1 动态NAT 13 4.2.2 PAT 14 4.2.3 静态NAT 15 4.2.4 静态PAT 15 4.2.5 防火墙策略与NAT、PAT 15 4.3流量控制 15 4.5 应用层网关 16 4.5.1 TCP重组和代理 16 4.5.2 VOIP安全 16 4.5.3 关键字过滤 16 4.5.4 提供CoS/QoS（服务级别/服务质量）服务 16 4.7 标准、灵活的VPN 17 4.7.1 VPN技术介绍 17 4.7.2 HillStone的PPTP L2TP 19 4.7.3 IPSEC VPN的网关对网关模式 19 4.7.4 IPSEC VPN的移动客户端对网关模式 19 4.7.5 部署方便的透明模式的VPN网关 20 4.8 双机备份HA 21 4.8 日志与集中管理 21 4.8.1 多种日志方式 21 4.8.2 Syslog标准的日志分析软件FortiReporter 21 4.8.2 硬件的日志分析系统FortiLog 22 4.8.3 方便的管理体系 23 第五章 HillStone优势 23 5.1创新的新一代网络安全架构 23 5.2强健的专用实时64位并行操作系统 24 5.3高可靠性和稳定性（High Reliability and Stability） 25 5.4最低的总体拥有成本（Lowest TCO） 25 5.5 Hillstone SA系列安全产品解决方案特点 26 5.6竞争优势 26 第六章 安全产品技术性能指标 28 HillStone Network Security Appliance 28 第七章 技术支持与售后服务 34 第一章 某公司网络概述 1.1 概述 1.2 项目建设说明 网络拓扑结构如下： 网络层 系统层 应用层 ARP 策略和管理层 下面将分别进行详细的阐述。 2.1 网络层的安全分析TCP/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。整个网络就会受到来自网络外部和内部的双重威胁。 尤其在广域网中存在着大量的黑客攻击，他们常常针对web服务器和邮件服务器作为突破口，进行网络攻击和渗透。常见得一些手法如下：IP欺骗、重放或重演、拒绝服务攻击（SYN FLOOD，PING FLOOD等）、分布式拒绝服务攻击、篡改、堆栈溢出等。黑客可以容易的在某公司网络出口进出，对系统进行攻击或非法访问。 而在某公司网络内部，基本上还没有严格的防范措施，其中的安全隐患不言而喻。如果加上安全管理上的不够完善等因素，或者在已有的服务器与单机中存在着后门程序（木马程序）话，攻击者就可以很容易地取得网络管理员权限，从而进一步控制计算机系统，网络中大量的数据就会被窃取和破坏。 网络中只要一个地方出现了安全问题，那么整个网络都是不安全的。因此，在某公司网络出口处应配置应用级防火墙来加强访问控制，并部署入侵监控系统，杜绝可能存在的安全隐患，来保证网络安全可靠的正常运行。 2.2 系统层的安全分析 Solaris、IBM AIX、SCO-Unix、Linux等等，这些系统都或多或少地存在着各种各样的漏洞。据IDC统计1000个以上的商用操作系统存在安全漏洞，如果这些操作系统没有进行系统的加固和正确的安全配置，而只是按照原来系统的默认安装，这样的主机系统是极其不安全的。一名黑客可以通过Unicode、缓存溢出、造成死机等方式进行破坏，甚至取得主机管理员的权限。此外，在网络中，一些黑客利用系统管理员的疏忽用缺省用户的权限和密码口令就可以轻松地进入系统修改权限，从而控制主机。 某公司网络中存在一定量的服务器，如：视频会议类或相关的服务器、MCU、网络管理服务器等等，而这些服务器都担负着重要的服务功能，如果这些服务