X税务所网络边界安全防护方案.doc

XX税务所网络边界安全防护方案 VER 1.0 2010-3-22 目录 一、 方案概述 3 二、 安全风险分析 4 三、 安全需求分析 5 四、 网络边界安全防护解决方案 6 4.1 产品选型及防护策略制定 7 4.1.1 防护策略 7 4.1.2 选型产品性能指标 7 4.2 网御神州UTM安全网关产品特色 8 4.3 网御神州UTM安全网关主要功能 10 五、 选型产品资质 16 六、 选型产品成功案例 17 方案概述 XX税务所内部局域网作为服务于全行政管理的计算机信息网络，实现了内计算机连网、信息资源共享，并与Internet互联。相连，在享受方便快捷的同时，也面临着遭遇攻击的风险 防护来自互联网的各种蠕虫、病毒、木马和后门程序对税务所内部网络的破坏； 对大量的P2P下载行为采取带宽控制，防止大量的P2P下载耗尽了网络的带宽； 禁止工作时间使用QQ、MSN等实时消息软件，以免导致工作效率下降。 网络边界安全防护解决方案 根据结构特点及面临的安全，方案以下几个点：、网络、网络病毒的防范。是信息安全保障的核心点，它负责网中最基本的信息服务系统的安全，一旦被非法进入，存在着内容被窃取、泄密、篡改、损坏等巨大风险，属于安全等级中最严重的事件。U4-400A UTM安全网关，在两网之间建立一道安全的隔离屏障 防护策略 实现数据的合法合理的流转，使得每个不同的接入点只能访问到需要访问的资源，严格控制对核心区域和数据的访问，关闭所有不必要的服务和非法IP； 启用抗DDOS攻击和抗扫描等安全功能，进一步保护网络最大限度的不受攻击的影响； 通过策略路由功能实现内网IP对互联网的访问； 通过UTM安全网关自带的P2P软件限制功能智能跟踪P2P软件的特征码，根据事先定义的策略智能实现P2P软件的限制； 根据不同的IP组对带宽的不同需求制定不同的带宽管理策略； 禁止多种知名蠕虫病毒通过UTM安全网关进行传播； 通过内网管理功能可以方便监控到每个IP的流量和并发连接数，根据这些数据快速判断出哪些IP在P2P下载、哪些IP在FTP下载、哪些IP中了蠕虫病毒或ARP病毒、哪些IP在正常使用，从而快速定位网络问题解决问题； 定期查看访问日志，及时发现攻击行为和不良的上网记录 网神SecGate 3600 防火墙UTM安全网关 产品型号 U4-400A 产品性能 网络处理能力 00Mbps 最大并发连接数 00万 HTTP杀毒 100M IPS吞吐 00M 每秒新建连接数 000 MTBF（小时） 80000 延时 40μs VPN隧道数 00 接口说明 10/100/1000Base-T 可扩展1000M接口 无 异步串行管理接口 1个 远程配置管理接口 1个 硬件特性 机箱 标准1U机箱 电源 单电源 安全防御水平高：系统采用自主开发的SecOS安全操作系统，独立实现各种安全访问控制，摆脱了庞大复杂的通用操作系统束缚。系统内核稳定，安全应用功能随需扩展，安全防御水平保持与国际一流厂商保持同步领先。 深度内容检测细：采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤，支持对P2P和即时通讯软件的限制、支持URL库以及WEB内容过滤，支持FTP内容过滤，还可以和多种IDS产品联动，为细粒度的网络安全管理提供了有利的技术保障。 VPN功能：企业对VPN应用越来越普及，但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时，病毒等有害数据有可能通过VPN隧道从远程PC或网络传递进来，这种威胁的传播方式极具隐蔽性，很难防范。同时具备防火墙、VPN、防病毒和内容过滤等功能，并且各功能相互融合，能够对VPN数据进行检查，拦截病毒等有害数据，彻底保证了VPN通信的安全，为用户提供放心的VPN服务。 入侵防护：IPS是抵制外部网络威胁最有效的安全防范技术。内置可以针对协议进行分类防范，每个分类下边有多种特征库，并且每周特征库会自动升级。能够对所有数据进行实时检测，对于可疑的行为会采取相应的措施。 防病毒：的杀毒模块设计非常完美，基于SecOS自主研发的专业杀毒引擎。 反垃圾邮件：。一机多用，管理简单：作为一款优秀的UTM产品，具备多种安全功能，既可以作为防火墙设备，也可以作为VPN设备、防病毒设备等，更重要的是这些功能融为一体，可同时任意组合使用，满足用户各种安全需求，为用户节省大量购置与维护成本。 网 指标项 规格要求 功能 防火墙功能 支持基于状态检测技术； ★支持路由、透明、透明桥及混合接入模式； ★可针对源接口、目的接口、协议类型、源地址、目的地址、服务、时间表、域名和vlan等对象设定安全策略； ★支持接口的带宽控制；支持基于每ip、多ip的流量