xxx网络网关安全建设建议书新.docVIP

PAGE 第 PAGE 1 页 XXX网络网关安全建设 建议书 XXX有限公司 2008年11月 TOC \o 1-3 \h \z HYPERLINK \l _Toc214337489 1 前言 PAGEREF _Toc214337489 \h 3 HYPERLINK \l _Toc214337490 1．1 范围定义 PAGEREF _Toc214337490 \h 3 HYPERLINK \l _Toc214337491 1．2 参考标准 PAGEREF _Toc214337491 \h 3 HYPERLINK \l _Toc214337492 2 网络边界脆弱性和风险分析 PAGEREF _Toc214337492 \h 4 HYPERLINK \l _Toc214337493 3 网络边界安全需求 PAGEREF _Toc214337493 \h 4 HYPERLINK \l _Toc214337494 4 网络边界安全建议方案 PAGEREF _Toc214337494 \h 6 HYPERLINK \l _Toc214337495 4．1 设计目标 PAGEREF _Toc214337495 \h 6 HYPERLINK \l _Toc214337496 4．2 设计原则 PAGEREF _Toc214337496 \h 6 HYPERLINK \l _Toc214337497 4．3 安全产品的选型原则 PAGEREF _Toc214337497 \h 7 HYPERLINK \l _Toc214337498 4．4 网络边界安全建议方案 PAGEREF _Toc214337498 \h 7 HYPERLINK \l _Toc214337499 5 方案中配置产品简介 PAGEREF _Toc214337499 \h 9 HYPERLINK \l _Toc214337500 5．1 Juniper SSG 550 安全业务网关 PAGEREF _Toc214337500 \h 9 HYPERLINK \l _Toc214337501 5. 2 EX 3200 交换机 PAGEREF _Toc214337501 \h 14 前言 范围定义 本文针对的是XXX网络的网关安全问题。本次方案将给出相应的解决方案。 1．2 参考标准 XXX网络属于一个典型的行业网络，必须遵循行业相关的保密标准，同时，为了保证各种网络设备的兼容性和业务的不断发展需要，也必须遵循国际上的相关的统一标准，我们在设计XXX的网络安全解决方案的时候，主要参考的标准如下： NAS IATF3.1美国国防部信息保障技术框架v3.1 ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则，第一部分 简介和一般模型 ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则，第二部分 安全功能要求 ISO15408 / GB/T 18336信息技术 安全技术 信息技术安全性评估准则，第三部分 安全保证要求 加拿大信息安全技术指南, 1997 ISO17799第一部分, 信息安全管理Code of Practice for Information Security Management GB/T 18019-1999 包过滤防火墙安全技术要求； GB/T 18020-1999 应用级防火墙安全技术要求； 国家973信息与网络安全体系研究G1999035801课题组IATF《信息技术保障技术框架》。 网络边界脆弱性和风险分析 网络的边界隔离着不同功能或地域的多个网络区域，由于职责和功能的不同，相连网络的密级也不同，这样的网络直接相连，必然存在着安全风险，下面我们将对XXX网络的网络边界问题做脆弱性和风险的分析。 XXX的网络主要存在的边界安全风险包括： XXX网络与Internet连接。Internet是将世界各地不信任的网络相连而成，给大家带来极大方便的同时，各种各样的威胁也随之而来。XXX网络极有可能遭到来自Internet恶意攻击和计算机病毒的入侵，致使网络局部或整体瘫痪，导致业务无法正常运行给公司带来巨大的损失； XXX网络内部的服务器，为公司的业务的正常运行提供保障。服务器的正常运行就显得非常重要。对服务器进行访问控制将使服务器得到很好的保护。一旦公司的服务器受到恶意的攻击，将导致重要信息的泄漏或者是网络的瘫痪。直接影响到公司的业务无法正常运行。 网络边界安全需求 通过上面的网络边界脆弱性和风险的分析，我们认为整个XXX网络的网络边界处存在着一定的安全隐患。下面将