《安全解决方案.docx》由会员分享,可在线阅读,更多相关《安全解决方案.docx(14页珍藏版)》请在课桌文档上搜索。
1、目录、一、前言2二、网络安全现状和需求分析22.1网络现状分析22.2网络安全的重要行和发展方向22. 3网络安全现在主要有那几中解决方案32.1.1 综合防病毒方案32.1.2 内网安全解决方案32.1.3 边界安全解决方案42.1.4 接入安全解决方案52.1.5 终端安全解决方案62.4当前客户网络需求分析7三、网络安全的设计原则7四、网络安全的解决方案74.1当前网络分布情况及安全隐患74.2当前网络拓扑图74.3增加安全设备后的网络拓扑图及方案描述84.4整个方案的优势84.5选用厂商及产品的描述8五、解决方案的技术细节95.ISCePath虚拟防火墙技术9虚拟防火墙介绍105.2V
2、PN的连接105.3策略的应用105.4EAD端点准入防御10六、工程实施及售后服务保隙116.1工程实施规划116.2规范的文档管理126.3售后技术保隙12一、刖百为适应当前网络建设的需要,保证某某能够安全有效的使用网络,建立起一套有效的网络安全防范机制。针对这一情况我公司将根据贵方的现有情况,建设一套适合贵方的安全方案,以满足,贵方能够安全有效的使用网络来很好的工作。二、网络安全现状和需求分析2.1网络现状分析现有网络的构造情况。有无使用安全产品。有那些不足的地方需要改进的。2.2网络安全的重要行和发展方向当今网络安全建设已经是这个网络建设中最重要的一部份,如果在一个网络建设中没有安全防
3、护的应用,那就好比一个房子没有大门一样,任何人都可以自由的出入,没有任何的安全保护和防范。我相信任何人都不会愿意自己的物品处在这样的环境之中。而我们自己的网络建设就好比自己在构建自己的房子一样,而网络安全的建设就是构建我们这个房子的大门。让它能够很好的保护我们自己的财产。现在网络安全的发展是非常快的,已经从原来的只是简单的、单一的,防病毒,防黑客攻击,发展成一系列的安全解决方案。如:认证系统,1.Og系统,监控系统等一整套的方案。2. 3网络安全现在主要有那几中解决方案2.1.1 综合防病毒方案随着互联网的发展,病毒问题越来越严重,以金钱和利益为直接目的的病毒呈现明显上升趋势,更是威胁企业的经
4、济利益。随着病毒和黑客攻击的融合,以及借助于网络和即时通讯、U盘等多元化传播手段,病毒威胁呈现的混合型、网络化、越来越快的趋势。面对新形势下的病毒威胁,传统防病毒产品孤立的单点部署的防范模式已经不能适应反病毒的要求,反病毒技术迫切需要建立联合各种技术手段和管理措施的统一战线。另一方面,企业的分支机构和不同部门形成了具有一定规模的网络,需要建立机制来防范病毒在总部以及这些分支机构之间的传播和泛滥。享受互联网带来的商业机会,但同时避免病毒攻击等的侵扰成为企业的难题。H3C综合病毒防护解决方案从企业整体网络安全角度出发,建立一个全面立体的综合病毒防护体系,为病毒防御部署下天罗地网,全面提升企业的信息
5、安全水平。通过部署H3C综合病毒防护解决方案,企业可以避免病毒攻击带来的损失以及对业务流程的影响,从而降低企业的运营风险,并且可以减少为恢复需要的人力、时间等成本。2.1.2 内网安全解决方案在所有的安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。一般说来,内网安全应该考虑以下问题: 终端安全策略部署终端安全是内网安全的核心问题,终端安全策略的部署也就是内网安全的最主要部分。
6、但是受限于终端用户安全应用水平,如何确保网络中的终端安全状态符合企业安全策略,却是每一个网络管理员不得不面对的挑战。管理员查找、隔离、修复不符合安全策略的终端,是一项费时费力的工作,往往造成企业安全策略与终端安全实施之间存在巨大的差距。 内网访问控制部署传统上,在内网是通过划分V1.AN,配合AC1.进行访问控制,这虽然可以在一定程度上实现内网访问控制,却难以做到比较精细的安全控制,同时也可能会影响到V1.AN间用户的访问,从而影响网络的使用效率。对于部分交换机,AC1.数量的增加会导致严重的性能下降。如何在内网实现更精细更高效率的访问控制是内网安全建设必须要解决的问题。 网络自身安全保障目前
7、在内网安全事件中,出现从攻击主机转为攻击网络资源的趋势,而传统的以太网交换机的工作原理和开放特征决定其难以对此类攻击进行有效防控。2.1.3 边界安全解决方案随着网络技术的不断发展以及网络建设的复杂化,网络边界安全成为最重要的安全问题,需要对其进行有效的管理和控制,主要体现在以下几个方面:网络隔离需求:主要是指能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数,可以实现对网络流量的精细控制,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。攻击防范能力:由于TCP/IP协议的开放特性,缺少足够的安全特性的考虑,
8、带来了很大的安全风险,常见的IP地址窃取、IP地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击(DoS/DDoS)等,必须能够提供有效的检测和防范措施。病毒抵御能力:网络中蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透,后门木马和垃圾邮件侵袭的不断,影响企业用户的正常工作,甚至威胁的企业生存。如何识别和处理病毒,抵御未知病毒,降低网络风险成为急需解决的问题。网络可视化监控:网络流量的统计、实时流量的监控、系统漏洞检测和网络流量应用管理等功能,是网络管理的基础。如果可以图形化界面和直观全面的展现各种统计信息,就能够帮助管理人员可掌握网络状况,增强了网络的风险防范能力。网络优化需
9、求:对于用户应用网络,必须提供灵活的流量管理能力,保证关键用户和关键应用的网络带宽,同时应该提供完善的QoS机制,保证数据传输的质量。另外,应该能够对一些常见的高层协议,提供细粒度的控制和过滤能力,比如支持WEB和EMAI1.过滤,支持P2P识别并限流等能力。用户管理需求:对于接入局域网、广域网或者Internet的内网用户,都需要对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。2.1.4 接入安全解决方案随着企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多,传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。虚拟专用网(VPN)满足
10、了企业对网络的灵活性、安全性、经济性、扩展性等多方面要求,赢得了越来越多的企业的青睐,使企业可以较少地关注网络的运行与维护,更多地致力于企业商业目标的实现。对于企业网用户来说,IPSeCVPN是一个公认的理想解决方案。IPSeC是业界标准的网络安全协议,可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,从而有效抵御网络攻击。H3C的IPSeCVPN解决方案以IPSeC技术为基础,与GRE、1.2TP等技术的灵活组合给用户提供多样的、高可靠性的解决方案并配合高性能VPN网关、VPN路由器、VPNManager、BIMS等软硬件设施为用户提供包括接入、传输、认证、管理、配置
11、等全方位解决方案。2.1.5 终端安全解决方案目前,在企业网络中,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业急需解决的问题。网络安全从本质上讲是管理问题。H3C端点准入防御(EAD,EndpointAdmissionDefense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入
12、控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。2.4当前客户网络需求分析根据客户提供的现有网络安全需求。写出客户需求的网络安全要求。是那种类型的,具体情况。三、网络安全的设计原则网络安全的设计,首先要考虑客户现有网络的情况,保证设计的合理性,在保证满足客户对网络安全的需求的情况下,做出最合理的设计,避免客户的重复投资和浪费。其次,在做出设计的时候要保证网络安全的升级以及后续的维护等。四、网络安全的解
13、决方案4-1当前网络分布情况及安全隐患根据客户提供的资料以及亲自现场了解的情况完整的描述出来(每个项目的情况都是不一样的),并指出其存在的安全隐患,并因此可能导致的安全问题。使客户明白其危害性。4.2当前网络拓扑图把客户当前的网络拓扑图画出来,指出其需要改进的地方,方便客户更直观的了解情况。4.3增加安全设备后的网络拓扑图及方案描述画出增加你配置的安全设备后的网络拓扑图,并在图下面做出整个拓扑图的的介绍,详细的描述整个方案的结构,及解决的问题。4. 4整个方案的优势由于上面已经介绍的了整个方案,这里主要写明,这个方案在预防客户所担心的网络破坏所起的作用,以及现在网络安全设计的主流设计是那种情况
14、。而我所设计的方案符合当今主流安全设计,并在这个上面,根据客户的实际情况又做出了那些改进。以及满足未来网络安全的需要,保护用户的投资。避免客户的重复投资。4. 5选用厂商及产品的描述针对用户的实际需求,我们公司拟选用H3C公司的安全设备等来满足客户的需求。H3C公司的安全设备包含了从硬件到软件,如硬件的防火墙,IPS,安全中心以及软件的EAD等所选设备的图片:所选设备产品介绍:防火墙FlOOO-A,IPS1200E,EAD端点准入系统。产品规格介绍:产品特点介绍:五、解决方案的技术细节5. 1ScePath虚拟防火墙技术随着计算机技术和网络技术的普及,网络安全问题也越来越得到关注。防火墙作为出
15、现最早,发展最成熟的安全设备,已成为安全部署的首要选择。作为维护网络安全的关键设备,防火墙的目的就是在信任网络(区域)和非信任网络(区域)之间建立一道屏障,并实施相应的安全策略。应该说,在网络中应用防火墙是一种非常有效的网络安全手段。防火墙诞生以来,技术发展总共经历了三个主要的发展阶段:包过滤技术、应用代理技术、状态检测技术。目前,获得普遍认同的是状态检测技术,因为该技术的安全性、性能都比较优良,所以得到了广泛的应用。在以上发展阶段中,出现了许多有特点的技术,虚拟防火墙技术也应运而生。虚拟防火墙可以在一个单一的硬件平台上提供多个虚拟的防火墙实例。所有常规的防火墙功能及其与外部世界的互动一一独立
16、管理、独立配置,以及每个虚拟防火墙的各种内部组件例如安全策略、路由表、NAT转换等,都将被虚拟化。虚拟防火墙介绍虚拟防火墙就是在一台物理防火墙上虚拟出多台逻辑上的防火墙,具有各自的管理员,并可以根据需要配置出完全不同的安全策略,各虚拟防火墙的安全策略互不影响。虚拟防火墙实例提供相互隔离的安全服务,具备私有的区域、AC1.规则组和NAT地址池,并且能够将绑定接口加入私有区域;虚拟防火墙能够提供地址绑定、黑名单、地址转换、包过滤、统计、攻击防范、ASPF和NATA1.G等私有的安全服务。5. 2VPN的连接如果客户在整个方案里用到VPN的话,就把所用的VPN连接配置写出来。如果没有用到话就不写这条
17、。5. 3策略的应用分类的,详细的写出各个设备所用的策略,以及这些策略所起到的作用。5. 4EAD端点准入防御H3C端点准入防御(EAD,EndpointAdmissionDefense)方案从网络终端入手,整合网络接入控制与终端安全产品,强制实施企业安全策略,从而加强网络终端的主动防御能力,防止“危险”、“易感”终端接入网络,控制病毒、蠕虫的蔓延。这种端到端的安全防护体系,可以在终端接入层面帮助管理员统一实施企业安全策略,大幅度提高网络的整体安全。目前,在企业网络中,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一
18、旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业急需解决的问题。网络安全从本质上讲是管理问题。H3C端点准入防御(EAD,EndpointAdmissionDefense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,
19、为企业网络管理人员提供了有效、易用的管理工具和手段。六、工程实施及售后服务保障5.1 工程实施规划详细的列出工程实施的时间及流程比如:一序号任务内容描述我方工作人员1现场场地考察根据项目的需要,要求对施工现成进行现场实地考察。2确定系统方案根据实地考察的结果,结合用户的实际需要和我公司的经验,提出完整的解决方案。3合同的确定通过招投标,确定我公司为中标单位,并签订商务合同。4合同设备订购根据合同订购相关的设备及工具。5制定实施计划确定工程开工及各项工程安装工作的详细时间安排。6现场环境确认对安装现场的电源、地线、空间、照明、布线等安装环境进行调查确认,并做好系统安装准备。7网络系统开工环境确认
20、后,工程师进场即进行安装调试系统的施工11技术文档提交网络安装调试完工后向用户提交调试配置及路由拓扑图等技术文档。12系统初步验收根据合同要求对网络安全系统进行初步验收。13系统正式运行网络安全系统终验并投入正常工作。6. 2规范的文档管理所有调试的机器,我公司都会保存好调试文档,并在整个醒目结束后交给客户,一方便客户对设备的应用和保护。7. 3售后技术保障所有产品均由原始厂商和我公司共同承担售后的技术支持和服务。我公司具有一整套完善的硬件及系统支援服务方案,可直接为用户提供快速优质的技术服务。我公司承建过若干大型网络系统,在设计实施这些系统的工程中积累了丰富的经验;技术人员不但精通计算机和网
21、络技术,而且具备丰富的项目实施经验。另外,由于我公司有专业培训过的技术工程师,能保证对整个项目提供更迅捷、更直接的技术支持,并为该网络系统项目提供强有力的售后服务保证。为了使该系统正常运行,及时解决用户遇到的问题,加快响应时间,我公司建议,定期和用户一起召开会议,回顾前一段工作进展情况,了解设备使用情况,改善服务措施。我公司将成立有专人负责的小组,定期随时通报情况。在系统启用一段时间后,特别是用户工程师经过培训、操作、运用系统后,对整个系统有了一定经验,我公司将配合用户工程师测试系统性能,对系统进行必要调整,使系统保证在最佳运转状态,此项工作将定期进行。技术支持的方式:(1)电话、传真、电子邮
22、件:在一般情况下,用户通过电话、E-MAI1.和传真等方式,将所有遇到的问题报告给我公司技术支持中心。技术支持中心将当天给予答复。技术支持电话:027-87741066,87741069技术支持传真:027-87741060技术支持邮箱:IizhijieQ(2)远程支持:一般的技术问题,网信通公司的技术支持工程师将通过网络立即给予解决。(3)现场服务:遇到突发事件和重大技术问题,网信通公司技术支持工程师将赶往现场提供服务。(4)客户所有的要求都将被记录、备案,并且问题解决的全过程均有文档跟踪,以便保证服务质量。我公司为客户提供7*24小时技术支持服务。7*24小时技术支持服务电话:*1.2.1
23、 服务响应时间系统中设备出现故障,我公司承诺在2小时内做出答复,60小时内到达现场,如是设备配置或系统软件的问题,我公司会以最快的速度解决故障;如果是硬件设备故障,按照相应的硬件设备保修承诺执行。1.2.2 技术支持服务承诺网信通公司提供设备安装调试时所需的工程设计资料、硬、软件产品的全部技术文档资料。我公司免费提供热线电话咨询、每季度一次的定期系统维护(系统性能优化、系统故障隐患的排除等)、网络新技术通报。在设备安装和系统调测期间,甲方可派出技术全程陪同参加,并且我公司在这期间将免费对参加的技术人员进行现场培训。在系统正式安装调试前,我公司会派出专门的技术工程师提前和武汉高压研究院相关部门进
24、行技术沟通,并将安装调测的资料一并同时提供。在系统试运行期间,我公司将派工程师进行现场支持。技术支持的方式和内容详见1.1节。2、服务保证措施(保修-产品保证及系统设备保修)我公司保证本招标项目中所选用的产品均为原装、正品,渠道正规,所有设备均能得到我公司和生产厂家的双重保障。2.1具体质量及服务保证承诺:(1)我公司承诺:由我公司卖出并实施的整个设备的性能满足并达到(部分超过)招标文件中的技术要求。(2)我公司承诺:硬件设备严格按照原厂家提供的质保期进行质保(详见第二条),但对整个系统实现终生维护。(3)系统的保证期从设备安装调试完成并经双方签字验收之日起开始计算。(4)在保证期内,我公司负责免费的硬件调试和系统维护。