网络安全整体解决方案

网络安全整体解决方案

网 络 安 全 整 体 解 决 方 案

目次

第 1 章 第 2 章 第 3 章

总体分析及需求 ........................................................................................................................................ 3 总体设计 .................................................................................................................................................... 4 防火墙筹划 ................................................................................................................................................ 4 3.1 本筹划的收集拓扑构造 ........................................................................................................................ 5 3.2 本筹划的优势： .................................................................................................................................... 6 3.3本筹划的产品特点 ................................................................................................................................. 7

第 4 章 内网行动治理筹划 .................................................................................................................................... 8

4.1 内网安稳治理体系介绍 ........................................................................................................................ 8 4.2内网治理体系重要功能 ......................................................................................................................... 9

第 5 章 报价单 ......................................................................................................................... 错误!未定义书签。

第 1 章 总体分析及需求

珠海市网佳科技新办公大年夜楼由五层办公区域构成，公司范畴较大年夜、部分较多，总PC数量估量在200阁下，个中公司财务部分须要相对的自力，以包管财务的绝对安稳；关于通俗职员，若何防止其应用公司收集处理私家事务，若何防止因小我误操作而引起全部公司收集的瘫痪，这些差不多上现在企业收集急待解决的问题。跟着公司范畴的赓续强大年夜，逐步形成了企业总部－各地分支机构－移动办公人员的新型互动运营模式，如何处理总部与分支机构、移动办公人员的信息共享安稳，既要包管信息的及时共享，又要防止隐秘的泄漏差不多成为企业成长过程中不得不推敲的问题。同时，若何防止骇客进击、病毒传播、蠕虫进击、敏锐信息泄漏等差不多上须要推敲的问题，如：

第一、跟着电脑数量的增长，假如收集不划分VLAN，所有的PC都在一个广播域内，万一网内有一台PC中了ARP，那么将阻碍到全部收集的稳固；

第二、各类办事器是企业重要数据地点，而办事器假如不采取必定的爱护机制，则会经常遭受来自表里网病毒及其它黑客的进击，导致办事器不克不及正常工作及信息泄漏，经企业带来弗成估量的损掉；

第三、收集没有网管型的设备，无法对收集进行有效的操纵，使收集治理员心有余力而力不从心，往往是事倍功半，如无法操纵P2P软件下载而占用收集带宽；无法限制QQ、MSN、SKYPE等即时谈天软件；网管员无法对收集内的流量进行操纵，造成收集资本的应用白费；

第四、企业有分支机构、移动办公人员，无法与总部互动、拜望总部K3、ERP等重要数据资本，从而不克不及及时猎取办公所需数据。

综上分析，珠海市网佳科技按照企业今朝收集情形，有针对性地实施收集安稳方面的方法，为收集的正常运行及办事器数据的安稳性做好前期工作。

第 2 章 总体设计

依照珠海市网佳科技的实际收集情形，结合今朝的具体需求，从以下几个层面来为珠海市网佳科技设计一个以硬件防火墙为主体的收集安稳解决筹划，保证珠海市网佳科技收集的正常运行及办事器的安稳。

公司收集的大年夜致构造是:光纤-路由器-交换机-PC,公司大年夜概有200多台电脑,依照公司今朝的收集范畴及上面的分析，现提出以下整体解决筹划。

1. 在收集出口处架构一台硬件防火墙,以防止不法进击

2. 在每台PC上安装内网行动治理软件，对每台PC实施应用法度榜样治理、屏幕监控、上彀策略治理

等

第 3 章 防火墙筹划

本筹划建议采取国康防火墙. 依照公司的收集构造,合适的型号是FX-500。经由过程前面的分析与需求，国康防火墙能够达到贵公司现在所需解决的问题，具体表示如下：

 下载安装游戏软件；用QQ与MSN谈天造成工作效力低下；主动或被动的扫瞄色情网站；BT猖狂下

载片子、在线听歌、QQ直播，造成收集带宽堵塞；同时收集治理员须要只许可拜望固定网站或樊篱某些网站。

 职员上彀治理：自定义时刻开放网上谈天、游戏、查询股票项目。

 有效爱护对外宣布的WEB、FTP、邮件办事器。防止黑客入侵修改网站信息，宣布反动黄色内容帖子。

对从内到外及从外到内的收集拜望做好有效的日记记录，以备网监处查询。  对收集整体进行流量限制

 防止ARP欺诈现象的产生，当产生欺诈现象时，能够经由过程防火墙日记端快速的查找到ARP欺诈

泉源地点，保证收集正常运行。

 能够实现移动办公，经由过程防火墙内置的各类VPN（PPTP 、L2TP VPN、IPSec VPN、SSL VPN）功

能，即使出差在外，也可便利地拜望公司内部ERP办事器资本。

 IP/MAC地址绑定，防止职员随便更换IP地址，造成收集内地址冲突现象而产生收集中断，使网管

员便利治理筹划网内IP地址资本。

3.1 本筹划的收集拓扑构造

建议的收集拓扑构造

3.2 本筹划的优势：

1、 珠海市网佳科技整体处于安稳区域内,对公司内部宣布的办事器起到爱护,有效防护外部进击。 2、 可对收集限制整体流量.

3、 能够随便封堵QQ.MSN,YAHOO通等即时谈天软件.

4、 能够整体操纵BT、电驴、迅雷等下载软件占据大年夜量带宽。 5、 能够对公司的数据进行安稳过滤。

6、 防火墙的设置简单化，专门是没有专职网管的公司,为治理者带来极大年夜的便利。

7、 增长了SSL VPN功能，极其简化的设置方法，只须要用户名、暗码、办事器IP三个参数即能轻松完成设

备。为长途拨入的移动客户端，供给了便利。

8、 强大年夜的日记审计，完成了对及时流量监控，对ARP、蠕虫病毒的监控，对客户端上彀记录的监控等。 3.3本筹划的产品特点

防火墙特点功能

 灵活的治理界面，面象对象的治理

 多WAN口链路负载均衡---网通电信线路智能确信  PPPOE拨号功能，完全解决ARP病毒  实名上彀功能，无需安装插件  多动态域名互为备份

 应用路由功能，可设置某种协定流量走特定的外网口  可樊篱内网客户端发贴

IPSEC/SSLVPN功能:

 可基于路由、透亮、单臂模式安排，不改变客户收集构造；

 支撑以口令或口令加证书USBKey的方法进行身份验证;内置CA中间  VPN帐号能够和特定的机械特点主动绑定；

 灵活的应用宣布机制和权限分布机制；支撑B/S、C/S和T/S应用法度榜样；  灵活的安稳策略，便应用户长途拜望；  完美的日记和报表；

 解决多种宽带收集间互访“南北不通”问题；

 支撑低宽带前提下的数据及时紧缩，最高可进步50%的数据传输速度；  TCP/IP协定优化,集成了数据紧缩技巧  穿透性好，支撑移动、电信3G收集

终端治理功能:

 USB储备设备认证与加密  外联监控  外设操纵  共享目次监控

 硬件变革监控、软件监控  过程监控  离线策略  资产治理  软件分发  收集拜望操纵

 长途桌面治理、准时截屏功能

流量操纵功能

 客户端连接数操纵

 针对IP/地址段设置带宽

 辨认操纵P2P软件和加密P2P数据

    当有余外带宽，许可冲破限制，充分应用带宽

及时显示各客户端连接数、收发包量、速度、累计流量 流控对应到人

强大年夜的流量分析日记及图形报表

行动治理功能:

 网站分类封堵，支撑自定义组、通配符定义域名  QQ号治理、只有指定的QQ号才能上岸  封堵MSN、YahooMessage、AIM、IRC  与终端治理结合，可监控谈天记录

 讯雷、BT、电驴等P2P软件按协定封堵  游戏、长途操纵软件、VOIP等不法软件封堵

 禁止从内到外或从外到内POST提交发贴、高低传文件

第 4 章 内网行动治理筹划

4.1 宝内网安稳治理体系介绍

完全的国康防水墙由三部分构成，办事器模块、监控端模块和客户端模块。客户端模块安装在每一台须要被监督的运算机上。办事器模块用来储备和治理所有安装有客户端模块的运算机，用于治理监督所产生的材料，一样安装在一台具有高机能CPU和大年夜容量内存的用作办事器的运算机上。监控端模块重要用于监督每台安装有客户端模块的运算机及查看汗青记录，一样安装在公司的治理人员的运算机上，也能够和办事器模块安装在同一台运算机上。体系的全然框架如下图所示：

4.2内网治理体系重要功能

1、内网治理体系安稳、杰出的体系机能：

操纵台与办事器端及客户端代理之间的操纵信息都经由过程加密通信 办事器端与客户端代理之间进行认证，防止未获授权应用

对不法接入的主机可割断其与内部安装过客户端代理主机之间的接洽 本地用户不克不及自行卸载、封闭客户端代理法度榜样 治理权限分级，利于分级操纵

登录应用了严格的身份认证，保证体系的治理安稳

客户端、办事器及操纵台间的数据传输全部采取加密传输方法，防止传输的数据被窃听 在终端PC上运行的客户端软件采取了透亮模式 客户端软件采集数据信息不阻碍终端PC的应用机能 传输中的数据经由专门紧缩，对收集带宽的占用专门少 备份和复原办事器数据库中的信息，包管汗青记录的便利查阅 2、内网治理体系对企业的赞助：

 爱护隐秘贸易材料

具体记录文件操作（拜望、修改、删除等） 记录文件操作时的屏幕 对移动储备设备的灵活治理 对设备端口的治理  规范职员的上班行动

限制与工作无关应用法度榜样的应用 禁止扫瞄工作无关网站 对违规行动的报警  客不雅评估职职员作状况

具体记录职员应用的应用法度榜样 具体记录职员扫瞄的网页 职员应用电脑情形图表分析  便利的电脑资产治理

主动猎取电脑硬件设备清单 主动猎取电脑安装的应用法度榜样 协助企业治理者的工作  灵活完美的规矩设定 完美丰富的报表功能 严格的权限治理 追踪重要事宜

记录电脑屏幕，直不雅不雅察职员的电脑操作记录 设置报警，查询职员的违规行动

3、内网治理体系的重要功能：

内网治理体系包含了下列的六大年夜功能模块：收集监督模块、收集治理模块、收集报警模块、软硬件资产治理模块、补丁治理和软件分发、长途桌面治理。 1、收集监督模块：

依照设定的安稳操纵策略，对受控对象的活动进行周全的审计，为过后明白得和确信收集

安稳变乱供给了宝贵的材料，具体功能如下： 文件操作的审计； 屏幕记录；

应用法度榜样的审计； Internet拜望的审计； 收集通信协定； 报警信息的审计； 打印机应用的审计； 收集文件拜望的审计； 硬件更换的审计； 软件更换的审计； IP/Mac地址的更换审计； 用户的更换审计；

不法笔记本电脑接入的审计； 不法拨号的设计； 客户端超时不连接的审计；

2、收集治理模块：

收集治理模块经由过程具有针对性的监控规矩的设置，主动阻拦不法操作和实现应用统计，具体功能如下：

禁止或只许可扫瞄的指定网站； 禁止应用指定的应用法度榜样；

禁止应用外设如（USB储备设备、USB端口、软驱、刻录机、磁带驱动器、串口、并口、调制解调器、SCSI、1394总线、红外通信设备，以及笔记本电脑应用的PCMCIA卡接口）； 内网治理模块对电脑的应用进行具体统计，进步工作效力。 扫瞄网站状况统计（列表、柱状图、饼状图）； 应用软件应用统计（列表、柱状图、饼状图）； 3、收集报警模块：

收集监控模块经由过程具有针对性的监控规矩的设置，同时能够向操纵台发出报警信息，报警内容有：

不法对指定文件/文件夹操作报警；

不法应用指定的应用法度榜样报警； 硬件更换的报警； 软件更换的报警； IP/Mac地址的更换报警； 用户的更换报警； 不法运算机接入的报警； 不法拨号的报警； 客户端超时不连接的报警。 4、软硬件资产治理模块：

软硬件治理模块能够对全部局域网内的电脑的软硬件资产进行统计。 5、补丁治理和软件分发：

能够随时统计出操作体系补丁的安装情形，并对未安装重要补丁法度榜样的运算机同一批量安装； 供给同一的应用软件派发功能，使得批量软件安装这一费时辛劳的工作，由软件主动完成； 6、长途桌面治理：

长途桌面模块经由过程具有针对性的客户端进行操纵，进步网管人职员作效力，具体包含对客户机进行如下操作：

长途接收客户端（对客户端的产生的问题能够及时解决）； 发送通知； 锁定/解锁工作站； 刊出、重起、封闭工作站；

典范客户

•当局电信行业

江苏电信无锡分公司、大年夜唐电信、江苏南京市房产局、南京市房地产市场治理处、无锡市新区管委会、无锡经贸委、无锡市惠山区人平易近当局、无锡市锡山区公安局、福建省厦门市当局、福建省教诲厅、中国联通南京分公司、福建省龙岩市当局、河北交通厅项目办、河北省交通厅国融中间福建省漳州市当局、江苏省文化厅、江苏准安市当局、无锡市锡山区人平易近当局、山东平邑当局、江苏南京市房产局、成都会互联网宣传办公室、西藏自治区党委组织部、河北医科大年夜学第四病院

•教诲行业

无锡市教诲局部属120个中小学、江苏金坛市部属60个中小学、江苏常熟地区20个中小学、宜市兴工艺学院、无锡职业技巧学院、无锡技师学院福州十一中学、无锡江南大年夜学、南京海事学院

•企业

福州市东南快报、南京音飞储存设备工程、河北正元集团、河北空调公司、无锡市能源集团、无锡华夏运算机、无锡市星亿涂装环保设备、伊雷克电器（宁波）、浙江振涯集团、浙江三江国际贸易、浙江宁波菲力克斯贸易、浙江汇鑫钢铁、浙江金华汇隆电子、浙江杭州路神汽车零部件、南京迈康收集技巧、欧特斯奥威户外休闲活动用品、姑苏市三生电子、常熟耐特周详对象、昆山起飞内衣、江阴全顺汽车、靖江星火微机应用研究所、姑苏德天信息技巧……

第 5 章 报价单

甲方：珠海市网佳科技 乙方：南京智码科技

一、 产品名称、规格、单位、数量、单价、总金额和备注：

产品名称 行动流控准入防火墙 内网治理软件 规格 单数量 位 1 30 单价 总金额 备注 FX-300 台 点 注：每套产品包装含CD-ROM一张、保修卡一张 发票类型：增值税发票 合计金额（大年夜写）：人平易近币 万元整 （小写：￥ .00 ） 二、 直截了当客户信息

公司名称 公司德律风 接洽人 电子邮件 其它 三、 产品德量要求或技巧标准按照乙方的产品标准。 四、 交货时刻：合同生效后『5个』工作日内。 五、 此采购单付款方法参照代理合同。

珠海市网佳科技 安装地址 德律风 公司网站

甲方：珠海市网佳科技 乙方：南京智码科技

公司盖印和代表签名： 公司盖印和代表签名：

日期： 日期：