Checkpoint企业安全方案案例.doc

CheckPoint UTM 企业安全解决方案 目录 1. 现状及需求分析 2 1.1. InBound的安全需求 3 1.2. OutBound 安全需求 4 1.3. Internet数据安全传输需求 4 1.4. 移动用户远程安全接入需求 4 1.5. 数据安全需求 4 2. 安全系统设计方案 5 2.1. 防数据泄漏技术方案 5 2.1.1. 产品选型 5 2.1.2. 终端数据安全方案设计 7 2.2. 防火墙技术方案 9 2.2.1. 产品选型 9 2.2.2. 产品部署方案 10 2.2.3. 安全系统功能实现说明 10 2.2.4. 防火墙管理 11 3. CheckPoint 解决方案的优势 13 3.1. UTM-1解决方案的优势： 13 3.2. CheckPoint PointSec防数据泄漏解决方案的优势 14 4. 配置清单概述 14 5. 附录一 CheckPoint UTM-1 产品说明 15 现状及需求分析 对于用户企业网络来说，Internet数据流主要有两种类型：Outboud 流量，主要是企业内部网络对外的访问，如OA客户端对Internet的访问；Inboud流量，主要包括Internet对用户企业内网的访问，如企业对外的WEB服务、邮件服务；因此，用户企业网络的边界安全需求主要包括以下几种类型： InBound的安全需求 来自于Internet的非法访问，需要建立严格的网络访问控制策略，实现精细粒度的访问控制； 来自于Internet的黑客攻击；黑客攻击包括多种类型，扫描探测、远程注射、远程溢出、碎片攻击等等。通常攻击者利用了两个方面的因素：一、开放的端口，由于系统开放了不必要的端口，造成不必要的信息泄漏；例如，扫描探测等。二、针对开发端口的主机及应用服务的自身漏洞；另外，还需要注意的是，由于攻击手段的进一步提升，通过开放协议封装攻击数据包的也成为一种常用的攻击方式，因此，需要边界安全设备具有强大的协议解析能力； 来自于Internet的蠕虫，现在蠕虫已经越来越具有自动黑客攻击工具的特征。蠕虫造成的危害主要包含两种：一、蠕虫传播造成网络带宽的耗尽；二、蠕虫病毒本身对主机系统造成破坏。因此，蠕虫控制的手段是多层次的：网络级控制、主机级控制；对于Intenret边界来说，需要在网络级安全控制有所考虑； 来自于Internet的病毒，通过HTTP/SMTP/POP/IMAP/FTP等协议，如网页浏览，文件下载； DOS攻击，拒绝服务攻击造成的影响主要有两种：一，耗尽网络带宽，造成网络拥塞；二，造成主机资源耗尽，内部服务器无法提供正常服务； 跳跃性攻击，例如，以DMZ服务器为跳板，实现对DCN内网的跳跃，因此，在边界安全控制，需要预防这种攻击； 针对Internet边界设备的攻击。例如，针对Internet边界的FW、网络设备的攻击；例如，针对路由器的DOS攻击，针对路由器的暴力破解，SNMP 探测； OutBound 安全需求 内部员工对网络的非法访问，例如，访问非法的WEB站点；访问不安全的FTP站点；发送内容非法的邮件，给公司造成不好的影响； 内部员工对网络资源的滥用，例如,利用公司Internet资源进行BT下载，影响正常业务对带宽的使用，降低了企业生产效率； Internet数据安全传输需求 由于专线价格昂贵，因此，采用Internet链路，基于VPN的方式进行数据传输已经成为业务数据传输的重要方式。为了保障Internet传输数据安全，需要采用VPN 方式来进行构建。目前IPSEC VPN是一种主流的VPN构建方式。同时，还需要考虑到，VPN的管理方式，VPN的构建模式，是否易于实现，易于管理。 移动用户远程安全接入需求 移动办公已经成为越来越广泛的应用。对于远程接入来说，需要考虑几个方面的因素： 接入终端自身的安全性；接入终端如果存在安全问题，很可能成为攻击跳板； 可信的链路传输方式；例如，通过IPSEC VPN或者SSL VPN实现数据传输的加密； 可靠的接入用户认证；对于Internet接入来说，user/password的方式已经不能满足认证强度的需求。通常，采用数字证书或者动态口令的方式； 数据安全需求 数据安全已经越来约被众多企业重视。业务数据的泄漏，可能会对企业造成巨大的、甚至是灾难性的损失。这些损失可以概括为以下几个方面： 直接经济损失。由于数据丢失，造成企业技术秘密、财务信息、人事资源等资料的泄漏，造成的直接损失； 违反法律法规。企业数据泄漏，违反国家和行业相关的法律法规，造成的损失； 企业形象和竞争力。由于数据泄漏，造成企业形象受损，降低了用户对该企业信赖度，造成客户资源的流失； 因此，需要制定一套技术方案以防止企业关键数据的安全性，切实保障企业数据安全。