网络安全系统设计方案.docxVIP

第一章前言…… 2 1.1 概述…… 2 第二章系统安全需求分析…… 4 2.1 计算机网络环境描述…… 4 2.2 网络安全需求分析…… 5 第三章网络安全解决方案设计…… 9 3.2 网络安全系统设计的原则…… 9 3.3 安全防范方案设计构思…… 10 3.4 总体设计架构…… 12 3.5 防火墙系统设计…… 13 3.5.1 方案原理…… 13 3.5.2 设计目标…… 14 3.5.3 部署说明…… 14 3.5.4 防火墙功能设置及安全策略…… 16 第四章产品简介…… 18 4.1 防火墙简介…… 18 -1-第一章前言 1.1 概述随着我国信息化建设的快速发展，各级单位和部门都正在建设或者已经建成自己的信息网络，而随之而来的网络安全问题也日益突出。安全包括其上的信息数据安全，日益成为与公安、教育、司法、军队、企业、个人的利益息息相关的“大事情”。结合国内的实际情况，网络安全涉及到网络系统的多个层次和多个方面，而且它也是个动态变化的过程，因此，国内的网络安全实际上是一项系统工程。它既涉及对外部攻击的有效防范，又包括制定完善的内部安全保障制度；既涉及防病毒攻击，又涵盖实时检测、数据加密和安全评估等内容。因此，网络安全解决方案不应仅仅提供对于某种安全隐患的防范能力，而是应涵盖对于各种可能造成网络安全问题隐患的整体防范能力；同时，它还应该是一种动态的解决方案，能够随着网络安全需求的增加而不断改进和完善。同时，网络安全服务在行业领域已逐渐成为一种产品。在信息化建设过程中，国内用户面临的最大问题就是网络安全服务的缺乏。信息安全服务已不再仅仅局限于产品售后服务，而是贯穿从前期咨询、安全风险评估、安全项目实施到安全培训、售后技术支持、系统维护、产品更新这种项目周期的全过程。服务水平的高低，在一定程度上反映了厂商的实力，厂商的安全管理水平也成为阻碍用户对安全问题认识的一个主要方面。这就对安全厂商提出了比较高的要求，如何为用 -2-户服务、并使用户满意，已经成为每个网络安全产品厂商和解决方案提供者需要认真思考的问题。在 XXX 网络络安全方案初步设想的基础上，根据 XXX 网络安全的切合实际、保护投资、着眼未来、分步建设的原则，特点和需求，本着切合实际、切合实际保护投资、着眼未来、分步建设提出了针对 XXX 网络安全需求的解决方案。 -3-第二章第二章系统安全需求分析系统安全需求分析安全 2.1 计算机网络环境描述随着 XXX 系统信息化需求的不断增长，网络应用的不断扩展、现有的信息基础设施和信息系统安全措施逐渐暴露出了诸多问题，如原有的信息系统业务信息化程度较低，安全方面考虑较少，所以在网络和信息安全及其管理方面的基础非常薄弱：整体上没有成熟的安全体系结构的设计，管理上缺乏安全标准和制度，应用中缺乏实践经验；信息系统缺乏有效的评估与审计，外网的接入无完善的保护措施等等。其网络拓扑如下图所示：网络拓扑图说明：网络拓扑图说明： XXX 网络以一台路由器连接到互连网。 XXX 网络内部设立五台服务器。 XXX 网络内部设立有多了 LAN，通过路由器连接互连网。 -4-网络安全需求分析 2.2 网络安全需求分析主要的网络安全风险主要体现在如下几个方面：内部局域网风险、应用服务安全风险、互联网风险，我们将对 XXX 网络各个层面存在的安全风险进行需求分析：内部局域网风险分析主要是保证 XXX 网络结构的安全、在网络层加强访问控制能力、加强对攻击的实时检测能力和先于入侵者发现网络中存在漏洞的能力；加强全网的安全防范能力。具体可以概括为：在 XXX 网络中，保证非授权用户不能访问任何一台服务器、路由器、交换机或防火墙等网络设备。内部网络与外部网络（相对于本地局域网以外的网络），考虑采用硬件防火墙设备进行逻辑隔离，控制来自内外网络的用户对重要业务系统的访问。在 XXX 网络上，一般来说，只允许内部用户访问 Internet 上的 HTTP、FTP、TELNET、邮件等服务，而不允许访问更多的服务；更进一步的是要能够控制内部用户访问外部的非授权色情暴力等非法网站、网页，以防员工利用网络之便上黄色网站、聊天、打网络游戏等，导致办公效率降低。应用层的安全风险分析系统中各个节点有各种应用服务，这些应用服务提供给 XXX 网络内部各级单位使用，如果不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用系统，会造成系统数据丢失、数据更改、非法获得数据等。 -5-防火墙的访问控制功能能够很好的对使用应用服务的用户进行严格的控制，配合以入侵检测系统就能安全的保护信息网的各种应用系统。 WWW 服务器安全风险服务器崩溃，各种 WEB 应用服务停止； WEB 服务脚本的安全漏洞，远程溢出(.Printer