文档介绍:网络安全解决方案
二零零八年八月
目录
第一章网络安全设计方案 3
安全设计策略 3
具体产品选型及配置方案 4
捷普F3000-140防火墙系统 5
专用的安全操作系统 5
专用的硬件平台 5
专用的软件系统 6
捷普入侵N-100检测系统 9
MCAFEE网络防病毒系统 17
McAfee公司背景 17
产品指标分析 17
主要优势 20
产品功能 20
福建榕基***系统 21
榕基扫描器系列化产品 21
榕基扫描器技术基础 21
第二章、产品选配列表 22
第三章网络安全建设实施方案 24
工程实施承诺及目标 24
产品质量保证 24
工程质量保证 24
服务保证 25
项目实施进度控制 25
项目实施内容 25
工程项目整体实施周期 27
项目实施任务 27
27
28
工程管理与实施 28
用户培训 29
培训目的 29
培训内容、时间和组织方式 29
培训课程 30
验收与测试 31
逐步扩充和稳定运行观察期 32
工程进度图 32
第一章网络安全设计方案
安全设计策略
采用不同的安全产品优势互补。以有效的保证系统在出现安全问题时,能从不同的侧面有所反映,这样可以更全面的反映系统的安全现状,有利于系统安全的全面性。
使用不同等级的安全产品进行集成,在不同的网络环境使用与之相应的等级的安全产品,可以有效的减少系统投资。
在产品选型时,需要厂家可以提供客户化支持服务产品。只有这样才能保证系统的安全是可以用户化的,才能有针对的为用户的应用和业务提供安全保证。国内具有自主知识产权的安全产品可以随时根据用户的要求对产品进行相应的改进。使产品更加适合用户的实际需要,而不是一般的通用性产品。
采用可以提供分级、分布、集中管理控制并可进行互动的产品。由于网络和系统的复杂性,对相应产品的管理控制提出了更高的要求,不但可以进行集中、分布的管理控制,还能够进行分级的管理控制以适应大规模网络的需要,同时不同安全产品之间应能够进行有效的互动,以提高系统的防御能力。
在选择产品时需要保证符合相应的国际、国内标准,尤其是国内相关的安全标准。如国内的安全等级标准、漏洞标准,以及国际的CVE、ISO13335、ISO15408、ISO17799等标准。
产品在使用上应具有友好的用户界面,并且可以进行相应的客户化工作,使用户在管理、使用、维护上尽量简单、直观。
建立层次化的防护体系和管理体系
具体产品选型及配置方案
防火墙技术规范要求如下:
防火墙必须获得公安部颁发的销售许可证。
从防火墙应用和发展的趋势,防火墙应以硬件防火墙为主,软件为辅。
应具有多种安全防范机制,支持包过滤、代理(Proxy)、状态监测及以上三者的混合的工作方式。
防火墙需支持SNMP网管协议。
多种访问控制:防火墙至少应能对IP地址(源、目的)、服务(所有TCP、UDP端口)、时间、流量等对象进行控制。
具有地址翻译功能,这包括静态地址翻译和动态双向地址翻译。
防火墙应提供DMZ区功能,对DMZ区内主机提供有效保护。发布信息、提供务。
防火墙应具有防IP地址欺骗功能。
防火墙需具有MAC地址绑定功能。
防火墙应支持Radius服务器。
防火墙应具有入侵监测功能。
防火墙必须具有完善的日志功能,能够记录受到的攻击或配置的修改等信息,同时也应具备完善的日志管理和分析系统。
防火墙应具有URL和基于内容的过滤功能。
防火墙应具有透明接入功能。
防火墙应具有带宽管理功能。
防火墙需具有友好的管理界面。为方便管理,用户必须能通过控制台、WEB和远程管理等方式对防火墙进行管理和软件升级。
考虑到系统可用性,防火墙最好能支持双机热备。
防火墙应具备高可靠性,其MTBF值必须大于等于80000小时。
入侵检测系统的技术规范要求如下:
1、入侵检测系统要具有性能稳定,对于常见的入侵系统的攻击手法能清楚识别,同时要具有良好的性能价格比,入侵检测的特征库的更新升级与维护费用必须合理或者免费。
2、入侵检测系统在设计时要充分分析产品部署的网络环境和位置,实现对内外网尤其是内网(下属各单位的网络用户入侵)的入侵检测。所以要求采用分布式多处设防,监测中心设在中心机房。
3、入侵系统要具有良的响应方式,如邮件、警报等。产品要通过国家权威机构的评测。
4、入侵系统要有良好的数据收集、分