赛门铁克网关安全方案模板.docVIP

赛门铁克网关安全解决方案 北京赛门铁克信息技术有限公司 2012年3月 赛门铁克网关安全解决方案 1 一、 某某公司网络结构描述 2 二、 某某公司网络网关安全需求分析 3 2．1分析来自Internet的安全威胁 4 2．2其他网关安全考虑 6 2．3某某公司网络网关安全需求分析 7 三、 项目的设计目标和原则 8 四、 网关安全产品的类型及企业选择网关安全产品应考虑的因素 8 4．1 网关安全产品的类型及优缺点 9 4．2 企业选择网关安全产品应考虑的因素 11 五、 赛门铁克网关安全产品推荐 15 六、 赛门铁克网关安全产品部署规划 16 6．1 部署前准备 16 6．2 试验性部署 16 6．3 实际部署 16 6．4 调试、验收 16 6．5 管理维护说明 17 某某公司网络结构描述 （以客户网络拓扑图为基础，正确、清晰的描述客户的网络结构，包括Internet 出口，Extranet连接，路由器交换机部署，各线路的带宽，以及近期可能的网络变动计划等等） （客户网络拓扑图） 某某公司是在1999年成立。网络规模较小。目前所有办公及业务允许均在一个网络中。进行分析：只有一个连接INTERNET的连接口，使用？？？的上网方式。重要服务器集中在某一网段里。。。。。。。。。 （参见示意图）。 （公司网络拓扑） 某某公司网络网关安全需求分析 网络的广泛连接性、专用网络与基于这些网络之上的计算机基础设施间的混合应用改变了企业商务运作的方式。随着信息变得越来越有价值，也越来越易传送，因此在网络的受保护区域及未受保护区域间进行信息的安全传送显得比以前更为重要。企业的信息技术主管都在考虑以下所列出的问题： ·是否企业的网络同互联网相联 ·通过企业的网络是否能够获得机密信息 ·企业的员工及信息资产是否受到保护 ·企业是否有远程或者移动工作员工；如何对他们的体系进行保护 ·企业是否具有远程办事处；他们是否有需要保护的信息资产 ·企业是否由于攻击而遭受财政损失 ·企业是否满意现有的安全保护级别，并且企业是否已具有了此种保护能力 防火墙（或类似产品）对于任何一个企业网络安全规划都是一个重要的组件。防火墙是一种基于硬件或软件之上的，在专用或封闭网络的内部或者边界进行战略安装的系统。它阻止未授权用户进入这些网络或相应网络段。这也就是为什么称它们为边界防护机制或安全网关的原因所在。一个高安全的防火墙能够检查从互联网或外部网络试图进入受保护网络或网络段的所有信息。它通过分析网络信息和基于预设规则的许可通道而提供保护。它防止任何不满足特定的、不符合安全标准规则的信息进入。 2．1分析来自Internet的安全威胁 Internet是最广泛、最复杂也最不安全的网络，因而当私有网络在没有安装防火墙而直接与Internet连接时私有网络上的每个节点都暴露给Internet上的其它主机，极易受到攻击。这就意味着私有网络的安全性要由内部每一个主机的自身的坚固程度来决定，并且安全性等同于其中最弱的系统。这样一旦某台内网的主机被黑客攻击成功，便可以通过这台主机作为跳板，顺利的实施对内部网其他主机的攻击。黑客攻击产生的后果经常是及其严重的，例如造成机密信息泄漏，重要数据的破坏，无法提供正常服务等恶劣后果。从而给整个网络造成极大的损失，还将严重影响企业形象和企业信誉甚至导致无法挽救的灾难。 网络的开放和互联使Internet接口几乎承受着所有可能的安全威胁，因此接入Internet的边界处对安全技术要求很高。对内部网接入Internet的安全防范应满足以下原则： 在未采取安全措施的情况下，禁止内部网以任何形式直接接入Internet； 采取足够的安全措施后，允许内部网对Internet开通必要的业务； 对Internet公开发布的信息应采取安全措施保障信息不被篡改。 在内部网络和Internet的连接处部署集成的安全技术和产品。 因此，连接Internet的边界处考虑实施网关安全措施时，主要考虑:身份认证、访问控制、数据完整性、安全审计、入侵检测及入侵防护、病毒防护和反垃圾邮件等安全指标，要求如下： 1、身份认证 必要时能够对内部网访问Internet加身份认证，认证方式可采用静态口令来实现； 从Internet进入内部网指定主机的特定访问，必须通过基于动态口令或公钥机制的身份认证。 2、访问控制 在Internet接口，访问控制的主体是内部网用户和Internet用户，客体是内部主机、内部服务器及对Internet开放的各种资源服务器。对内部网用户和Internet用户的访问控制应有所区别。 内部网用户访问Internet，访问控制要求如下： 能限制开通的服务类型，如开通ww