XXX图书馆网络安全整体解决方案.doc

1、XXX图书馆网络安全整体解决方案 作者： 日期：2 个人收集整理 勿做商业用途XXX图书馆网络安全整体解决方案上海恒驰信息技术有限公司 20096-10目 录1企业面临的威胁1-41。1边界安全1-71.1.1网关接入安全171.1.2边界防病毒1-81.2桌面安全181。3网络安全应用管理192整体解决方案2-122。1客户现有网络现状2-122.2客户网络现状分析2132.3客户问题整体解决方案2-143部署的产品3-173.1Hillstone公司3173。1.1面向应用的高性能防火墙需求3-183.1.2网络安全设计的基本原则3-193。1.3技术先进性和实用性原则3-193.1。4高

2、可靠性原则3-193.1.5易于扩展和升级的原则3-193.1。6管理和维护的方便性3203.1.7网络安全方案设计3203.1.8方案描述3203。2McAfee 安全内容网管3233。2.1安全内容管理（SCM）系统概述3233.2。2SCM的主要功能3273.2。3McAfee SCM功能列表3-303。3瑞星网络版防病毒软件3-313。3。1瑞星网络防病毒解决方案设计3-313。3.2方案设计目标3333。3。3瑞星防病毒解决方案3-333.3.4瑞星主要优势3-353。4网络应用安全管理软件3413.4.1方案概述3413.4。2黄金甲产品组成：3423.4。3网络现状和安全需求分析

3、3-433.4。4黄金甲建议的方案3453。4。5此方案能够解决的内网安全问题:3-473.4。6方案实施建议3493。4。7系统中心实施建议3493。4。8客户端部署建议3-513.4。9选择功能需求3-521 企业面临的威胁随着网络时代日新月异的发展，计算机病毒的传播和蔓延亦不断升级，从宏病毒、特洛伊木马到千变万化、不断“完善”的蠕虫和间谍程序，病毒和间谍软件已给无数个人和企业用户带来了不可估量的损失.纵观病毒的发展史,90年代初，绝大多数病毒的传播途径是磁盘，因而这一时期的病毒破坏力大多局限于某个区域的范围，传播的速度也相对较慢。然而，当今病毒传播的方式已经完全改变，利用网络技术，以网络

4、为载体频繁爆发的蠕虫病毒、游戏木马、邮件病毒、QQ病毒、MSN病毒、黑客程序、间谍软件等网络新病毒,已经颠覆了传统的病毒概念。一个源自中国的病毒可在24小时内散播至全球，若遇上类似Nimda之类的多重渠道感染的黑客型病毒，1-5分钟就可遍及全球。目前，网络安全最主要的威胁仍然来自于计算机病毒的攻击.互联网的广泛应用使计算机病毒没有了国界，我国约有90的计算机遭受过计算机病毒的攻击。互联网是病毒发作的最大载体,据国外统计资料,目前世界流行的计算机病毒的前10位是：VBS_KALAMAR。A，蠕虫病毒，通过邮件进行传播；TROJ_PRETTY_PARK，蠕虫病毒，通过电子邮件传播；TROJ_SKA

5、，在英特网上传播的蠕虫程序，也称作“Happy99；VBS_LOVELETTER,互联网传播的病毒，其可寻找本地驱动器和映射驱动器，并在所有的目录和子目录中搜索可以感染的目标；PE_CIH,恶 性病毒，当其发作条件成熟时将破坏硬盘数据，同时有可能破坏BIOS程序；W97M_MELISSA。W ，将自身作为附件自动发给邮件地址列表中前50个地址;TROJ_MTX。A,同时具有病毒、蠕虫 和后门程序特点的程序；TROJ_QAZ.A，具有蠕虫和后门程序的特点；W97M_ETHAN。A，宏病毒 ,使Word的宏防护和确认转换功能失效；O97M_TRISTATE宏病毒，交叉感染MS Word 、MS P

6、owerPoint 等。在这10种病毒中，通过网络主动传播的病毒占了7种,另外2种宏病毒可以感染人们编辑的文档，然后通过收发邮件进行传播,PE_CIH可以通过介质、网络下载进行传播，可见互联网是病毒发作的最大载体.个人收集整理，勿做商业用途本文为互联网收集，请勿用作商业用途计算机病毒的发作特点及趋势从当前流行的病毒种类可以看出目前计算机病毒的疫情特点及趋势.（1）高频度.2001年至今的病毒疫情发作的频率高，几乎每个月都有新的病毒疫情出现 。据报道造成较大影响的计算机病毒达到百余种之多。而且恶性病毒的比例大，病毒对计算 机用户的危害大大增大。（2)传播速度快，危害性极大。由于病毒主要通过网络传

7、播，因此，一种新病毒出现后， 可以迅速通过国际互联网传播到世界各地。如“爱虫”病毒在一、两天内便迅速传播到世界的主要计算机网络。“爱虫”、“美丽杀以及CIH等病毒曾给世界计算机信息系统和网络带 来灾难性的破坏，有的造成网络拥塞,甚至瘫痪;有的造成重要数据丢失;有的造成计算机 内储存的机密信息被窃取;甚至有的计算机信息系统和网络被人控制。（3)病毒制作技术新,变种多.与传统的计算机病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现，易于修改以产生新的变种。例如“爱虫”病毒是用VBScript 语言编写的，只要通过Windows下自带的编辑软件修改病毒代码中的一部分,就能轻而易举地制造

8、病毒变种，以躲避反病毒软件的追击。（4)诱惑性。现在的计算机病毒充分利用人们的好奇心理。如前一阵肆虐一时的“裸妻” 、“库尔尼科娃”病毒的流行。（5）病毒形式多样化，难于根治。病毒呈现多样化的趋势。病毒分析显示，虽然新病毒不 断产生，但较早的病毒发作仍很普遍并有所发展。此外，新的病毒更善于伪装，如主题会在传播中改变，许多病毒会伪装成常用程序，用来麻痹计算机用户.(6）具有病毒、蠕虫和后门（黑客）程序的功能。计算机病毒的编制技术随着网络技术的 普及和发展也在不断提高和变化。过去病毒最大的特点是能够复制自身给其他的程序。现在 ，计算机病毒具有了蠕虫的特点，可以利用网络进行传播；同时，有些病毒还具有

9、了黑客程序的功能,一旦侵入计算机系统后，病毒控制者可以从入侵的系统中窃取信息，远程控制这些系统，呈现出计算机病毒功能的多样化。随着全球经济运行对互联网的依赖，企业同时也面对着日趋升温的病毒和黑客的侵扰,越来越多的企业考虑通过构建网络安全系统从整体上对企业的网络实行更为有效的多重防护.ICSA的数据表明，99的病毒都是通过SMTP或HTTP进入用户的计算机的，全球因此造成的经济损失达到了129亿美元。客户作为一个成熟的企业，其信息安全问题必须加以重视，如计算机病毒、敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及垃圾邮件的泛滥等，都将对企业正常的运营构成威胁。因此，为保证企业信息的安全以及网络

10、系统的健康，我们有必要在客户的网络当中构建完善的防病毒系统，从系统和网络两个方面有效的抵御病毒和各类恶意软件。如果要评选20世纪90年代以来最有影响力的事物，毫无疑问我们会选择互联网。互联网的发展让我们始料不及,他改变了人们的交流方式甚至工作习惯.如果从企业经营的角度来思考,网络带来的正面好处是企业竞争力的提升，有效率的信息传递和与客户沟通的方便。但是，不容否认的是，互联网如果使用不当，会对公司对企业产生极大的负面影响。我们经常听到公司老板的抱怨:“花钱买电脑、装宽带。本想凭此提高员工工作效率.但却因此发觉员工上班期间常有滥用网络现象，如上班时间利用网络聊天、看新闻、通过互联网把公司敏感信息轻

11、易传播出去”。诸如此类问题，令企业的管理者叫苦不迭。所以我们不得不承认：互联网是一把“双面刀”，一方面，它使得企业具有更强的竞争力、沟通力、适应力；另一方面，对互联网使用不当完全有可能给企业自身带来很大的伤害。如何对互联网行为进行有效的管理和利用，使Internet网真正为企业的生产和经营活动服务,相信是很多公司企业管理者越来越重视的问题.如何应对互联网带来的负面作用？难道是拒绝使用？这恐怕是不可能的，网络已经成为绝大部分公司企业的必要工作手段,害怕互联网的负面影响而隔离于互联世界之外无异于“闭关自守”.那么，在使用互联网的前提下，怎样使公司企业的网络资源更好地发挥作用就摆在了所有公司企业管理

12、者的面前了.我们要解决的问题:l 如何保证员工的上网行为是合理的、有效的?l 如何限制员工滥用企业的网络资源?l 如何合理分配利用企业的上网带宽？l 如何避免员工通过邮件或互联网泄漏企业的保密信息？l 如何阻止外部人员对公司内部网络的攻击行为？l 如何更好的管理网络应用？l 如何做好内网的安全管理？等等1.1 边界安全1.1.1 网关接入安全根据企业网络应用系统的现状以及未来系统的结构发展，我们认为着重考虑企业的B/S结构应用特点，是防火墙系统技术指标设计的主要依据.众所周知，防火墙作为网络设备，对网络性能影响最为主要的是两个参数指标，一个是防火墙的TCP连接处理能力（并发会话处理数），另一个

13、是防火墙对网络数据流量的吞吐能力（带宽参数)。B/S结构的应用系统虽然具有管理简单，客户端开发、使用和维护的成本很低的优点，但是在网络上B/S结构应用系统将会给网络带来巨大的网络流动数据处理压力,而且是并发的.具体来说，B/S结构的应用系统在网络上使用,会给网络防火墙带来数倍甚至数十倍于C/S结构应用系统的并发TCP会话数量,而且这些会话绝大部分是包长很短的“垃圾”IP包.而这些垃圾包必然对网络设备的负载有着极大影响。随着Internet的不断普及，新的网络应用层出不穷，并且对于网络带宽的占用日益增高，如网络视频、网络游戏、BT下载等。企业网络中运行着大量的关键应用，这些关键应用很多都要求极低

14、的网络延迟，而网络中大量的娱乐应用不断吞占着有限的网络带宽，严重影响着关键应用的使用。同时安全和速度始终是两个对立面的事物.追求更高的网络安全是需要以牺牲网络通讯速度为代价的,而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代，能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析,而使用传统网络平台所带来的网络延迟将是不可接受的.好的安全功能同样需要好的硬件平台去实现。通过对各类防火墙的比较分析，我们认为目前面向B/S结构应用、高性能的硬件防火墙是最为明智的选择。HIllstone SA防火墙系列产品可以为客户网络边界安

15、全带来很好的防护,可防止各种攻击行为，具有多种VPN接入功能(IpSec vpn,SSL vpn等），具有很强功能的QoS功能，可针对IP和端口，以及应用对内部用户进行管理,新一代的硬件架构是稳定性和性能完全能满足各大中型企业，企事业单位的需求。1.1.2 边界防病毒随着计算机与网络通信技术的发展，越来越多的企业活动建立在计算机网络信息系统的基础上。而Internet在世界范围内的迅速普及,使企业内部网络联入世界范围的Internet的要求越来越迫切.Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,解决这些问题的难度也越来越大。来自Internet的威胁越来越频繁，不

16、断出现的网络病毒,间谍软件,木马程序，并呈不断上升的趋势。这不仅影响了计算机网络系统的实际应用，还给企业和个人带来了信息和经济的损失，而且还极大地动摇了用户的信心。“我们能使用计算机来处理我们的重要信息吗。边界的安全刻不容缓，2004年统计85%的攻击主要来自电子邮件和Web，Internet的给企业带来了方便,同时也带来的安全的风险，不断出现的攻击行为，病毒，间谍软件,木马程序，给企业的管理人员增加IT资源的负担，使汽企业降低系统性能与稳定性，降低员工生产效率，工业间谍，银行帐户欺骗，危及用户数据安全。McAfee SCM系列产品可为各种规模的公司提供全面的 Web 和电子邮件安全防护。 其

17、业界最佳的好性能平台可提供针对间谍软件、非法 Web 内容、网络钓鱼诈骗、垃圾邮件、已知病毒、蠕虫和木马的防护。1.2 桌面安全随着电子商务和金融电子化的不断发展，网络及其应用系统已成为金融机构日常经营管理的基础平台，网络及其应用系统的瘫痪都将使企业付出巨大的代价。计算机病毒恰恰是目前导致企业网络宕机的主要根源，防范计算机病毒对网络系统的危害，也就是在防范经营风险。为了最大限度地防范病毒风险。计算机病毒的发展呈现出这样的趋势:1、传播越来越快：随着互联网的快速发展和网民的高速增长，计算机病毒通过互联网传播的速度越来越快，几乎一夜间就可以影响全球；2、类型越来越多：计算机病毒的类型呈现多样化,种

18、类繁多,而且不断变异;3、破坏越来越大：计算机病毒已经全面影响用户的正常使用和企业正常工作，破坏程度随着传播速度加快和传播范围加大而日益加深；4、影响越来越广：病毒对普通用户、企业甚至国家的信息安全都产生着严重的威胁，影响范围越来越广；5、手段越来越高：现在的病毒往往采用最新的编程技术，病毒隐蔽性增强，变异迅速,甚至还对抗安全软件，躲避查杀； 网络病毒，一直是计算机使用者心中的阴影。从“冲击波到“熊猫烧香”再到近期出现的“灰鸽子”，一波又一波的电脑病毒给电脑使用者带来了不小的麻烦.防病毒工作是一项复杂、长期的任务，需要全体人员配合,提高对病毒的警觉和防范意识。瑞星杀毒软件网络版整个防病毒体系是

19、由几个相互关联的子系统组成.每一个子系统均包括若干不同的模块，除承担各自的任务外,还与其它子系统通讯，协同工作，共同完成对网络的病毒防护工作.为网络中的个体计算机提供点到点的立体防护。1.3 网络安全应用管理互联网的触角无处不在，企业中的网络应用也越来越成熟。 2004 年全球计算机拥有量达到了 5 亿台，占全球总人口的 10 。在这些计算机中，有超过 80 已经与互联网连接。这意味着企业员工可以更快速的从互联网上找到他们需要的内容，可以更高效率的完成工作。 但是，互联网也给企业带来前所未有的威胁。全天候 24 个小时在网络上流动的内容和进行的网络行为当中，存在着太多的风险。超过60%的员工在

20、工作时间浏览与工作无关的内容,导致500人的企业在一年中浪费325万元，企业缺乏有效的上网行为管理手段,将会导致企业的工作效率下降。员工使用企业网络进行非法活动，例如散播反动、色情信息、进行经济诈骗，将把企业拖进复杂的、难以脱身的法律纠纷当中。员工在企业内通过互联网下载音乐、图片、电影、游戏和盗版软件,支付账单或者发送私人娱乐电子邮件,这些行为都会严重占用网络带宽，造成网络堵塞，上网速度下降，极大的影响了其他员工正常使用互联网进行工作，使重要的网络业务无法得到有效的保障.病毒、木马、间谍软件、恶意代码无处不在，当员工在互联网上随意浏览的时候，极有可能在不知不觉中就已经中招，系统管理员需要花费大

21、量的时间清除这些潜在威胁，最糟的情况是导致关键数据丢失。另外,通过电子邮件、即时通讯软件可以非常轻易的泄露企业机密信息，对企业参与公平的竞争威胁巨大。信息被窃网络病毒在发作后常常在造成直接破坏的同时，还会释放后门程序,一旦重要服务器中毒，就有可能带来核心技术的泄漏，如果核心技术资料被竞争对手获取，将可能造成严重的后果。文件服务器传播文件服务器是网络环境下文件储存和访问的主要应用服务器，由于内部通常会有大量的文件存储到服务器中,病毒极易通过文件复制的方式在服务器中传播、复制，大量的病毒入侵可以导致文件服务器功能下降或瘫痪，甚至可能导致重要文件的永久性被破坏。邮件服务器传播电子邮件已成为病毒传播的

22、最大载体，任一与外界有邮件往来的邮件服务器如果没有采取有效的病毒防护措施，极易受到攻击,并会导致病毒在企业内部网中快速传播.其实邮件服务器本身不会受到邮件病毒的破坏，只是转发染毒邮件至客户邮箱中，但是当客户机染毒并产生几何数量级的信件时，邮件服务器会由于在短时间内需转发大量邮件而导致性能迅速下降,直至当机。客户机感染局域网中的工作站会受到病毒的感染，病毒的攻击方式多种多样,有通过Internet、局域网传播、U盘、移动硬盘传播等等,一旦客户机感染病毒，便会迅速传播到整个网络中，并且会给日常的工作带来极大的威胁.网络带宽阻塞高速传播和具有网络攻击能力的病毒，能占用有限的网络带宽，导致网络瘫痪。如

23、：“ARP”就是典型导致网络瘫痪的病毒,能导致网络交换机、路由器、服务器严重过载瘫痪。经济损失病毒造成的间接损失可能更大,由于病毒普遍都会对储存在计算机上的数据进行删除或破坏,并且盗取用户的信息。病毒造成的后果是直接导致信息资产损失、经济损失，同时，病毒造成的网络带宽阻塞会严重影响正常的办公和生产，每次病毒的传播和破坏都将给企业和个人带来严重的经济损失。特别是最近出现的专门盗取网络银行帐号、密码，证券交易账号、密码等类型的病毒，将直接给企业或者个人带来最严重的直接经济损失。作为中国领先的互联网应用安全管理软件与服务提供商，黄金甲科技深刻理解这些挑战，以“三分技术,七分管理为理念，通过先进的技术

24、手段,为客户提供全面互联网应用安全管理产品,保护企业免受应用风险和威胁。2 整体解决方案2.1 客户现有网络现状XX客户网络结构为一条Internet线路上网,内部100多台PC客户端，Internet有一台路由器接入,路由器内部连Internet防火墙,防火墙内网口接核心交换机，内部分为三个区域，分别是服务器区，内网办公区，和儿童机房.现网络存在的安全问题是,客户端防病毒和安全防护无统一管理，遇到病毒爆发时无法进行统一分发策略，对于客户端的资源使用状况没有很好的控制,内网资源的滥用，Internet带宽资源的滥用,很大的影响到了正常的工作，Internet网关处无病毒安全防护手段,现如今最大

25、的威胁来自于Internet，网关防病毒设备是必不可少的.对于客户来说,对计算机病毒的防范应该是“主动防御+传统杀毒”相结合，以防为主.在病毒可能传播的各个渠道中都设有监控，结合定时病毒扫描和自动更新，才能保证整个网络系统的安全。同时，需要结合相应的管理策略，充分发挥瑞星防病毒产品集中管理、主动防御的优势,在客户网中构建有效的整体病毒防护体系。客户网络拓扑结构示意图如下所示：2.2 客户网络现状分析XX客户网络内计算机部署了一些防病毒软件，但是存在如下一些问题；人员的安全意识通过Internet浏览、打开网页、下载文件等方式也有可能造成病毒的传播.病毒的传播途径越来越多，针对不同软件漏洞的病毒

26、也不断翻新，许多机器感染病毒的重要途径之一是通过文件夹共享，尽管发文禁止，但收效甚微。防病毒工作是个全员参与的过程，必须所有的人员都提高安全防范意识才能从根本上解决病毒带来的危机。电脑病毒的传播已经给组织信息安全造成了极大的挑战，其危害也日益升级。安全技术的复杂性困惑防病毒工作是个系统工程,涉及到各种操作平台、网络环境、安全设置、人员意识、预警措施、应急措施等多方面。不同平台的操作系统，应用软件的漏洞和防护策略层出不穷;计算机病毒和各种攻击手段也日益更新，任何一个独立组织的信息安全部门都很难有足够的人力和物力支持不断的信息跟进。没有良好的防病毒安全策略，不能构成动态自适应防病毒系统构建一个全面

27、有效的网络防病毒系统，应根据特定的网络环境定制病毒防护策略：策略包括预防策略、升级策略、病毒爆发初期管理控制策略、集中清除策略、审计策略、集中管理策略等。从宏观角度统筹规划网络安全体系,全面顾及到网络系统病毒发生、预防、清除、审核等各个阶段,能够在病毒爆发生命周期各个阶段对病毒进行有效的控制,将病毒造成的损失降到最低。没有部署针对不同操作系统平台及应用防病毒软件在客户的网络体系中，各类操作系统平台有大量应用，如Windows/NT/2000系统、UNIX/Linux系统，此外还分布有大量应用系统，如：邮件系统，数据库系统等.如果没有采取任何病毒防护措施，这样信息交换很难保证该网络系统的安全,会

28、对各类操作系统及关键应用业务产生潜在的安全威胁。缺少防病毒中央控管系统由于客户网络节点太多,且分布较散，要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。能通过控制中心实现远程异地管理远程防病毒软件，监视该软件的运行状况参数(如防病毒软件病毒库、扫描引擎更新日期,系统配置等)。能实现病毒集中报警，准确定位病毒入侵节点,让管理员对病毒入侵节点做适当处理以防危险扩大.控制中心能与其它网络安全系统实现联动，协同管理工作。缺少全网病毒代码统一自动更新功能构建有效病毒防护的关键环节需要保证产品能做到定期升级,网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能,同时具备自动分发功能,能够

29、在单点更新,然后在不需要人为干预的情况下，实现全网所有产品的病毒码更新。尚未建立完善的安全制度和制定安全培训机制防病毒工作是一项复杂、长期的任务,需要全体人员配合,提高对病毒的警觉和防范意识。防病毒系统需要建立良好的安全规范,以制度严格控制不良行为，另外，还得提高全体人员的防范病毒的能力。网络安全应急小组至少配备2-3人才能很好的处理网络安全运营的所有事件，应急处理技术和人员管理也需要专业应急小组提供技术培训和长时间的跟踪培训。缺乏完善的防病毒信息支援体系防病毒厂商长期提供防病毒信息、新病毒预警信息、安全培训等专业的支持，以提高整个网络使用人员的防病毒素质。客户内部尚未建立完善的信息支援系统.

30、2.3 客户问题整体解决方案基于客户以上问题，上海恒驰信息有限公司处于负责的态度建议客户从网关处到客户端部署一整套安全防护系列产品来完善企业网的安全建设，其中包括：1. Hillstone防火墙2. McAfee SCM防病毒网关3. 瑞星企业版防病毒软件4. 黄金甲安全管理系统选不同厂家的产品是出于异构的考虑,即使其中一个产品出现问题,也不会影响到其他不同品牌的安全产品的防护。对于防护安全产品的异构解决方案的采取,主要优势在于功能的互补，产品出现重要BUG时的内部网络不会出现防护空洞期的产生。Hillstone专有的多核CPU加ASIC构架防火墙部署在Internet接入处，上联intern

31、et线路，下联内部网络，主要功能在于对内部上网人员进行策略控制，端口限制，服务器映射发布,VPN接入等，使内部上网人员上网的权限明确化。MCAfee SCM安全内容管理设备部署在网关处，外部防火墙和内部交换机之间，对进出的上网流量进行病毒检测,支持协议HTTP、FTP、ICAP，对网页上的间谍软件,木马，广告软件的等进行检查，建议，阻止等一系列操作，针对内部邮件进行病毒和垃圾邮件的检测,支持协议POP3、SMTP。桌面端部署瑞星企业版防病毒软件，对客户端PC进行统一策略调整，统一病毒扫描，统一更新，在内部出现问题或者病毒爆发时可以及时通过服务器端对客户端进行统一调整策略，使病毒危害降到最低，确

32、保客户端不会因为病毒问题而带给管理员极大的工作量。黄金甲内网安全管理系统对内部人员的上网行为进行监控，上网带宽使用状况进行汇总，对PC客户端远程管理，应用程序的监控和使用状况,另外，针对客户端的进行管理,包括光驱，usb，应用程序等。产品部署之后的网络示意图如下：3 部署的产品3.1 Hillstone公司山石网科通信技术（北京）有限公司（以下简称“山石网科”）创建于2006年,是网络安全领域的代表企业之一,公司总部位于中国北京，并在美国硅谷设有研发中心。山石网科积累了多年网络安全产品研发和市场运做经验，专注于信息安全，是专业的新一代安全网络设备提供商. 目前，山石网科拥有员工200余人，其中

33、博士、硕士占30以上，公司的核心团队由来自 Juniper、Cisco、Netscreen、Fortinet和H3C等中外著名企业的精英组成，具备先进的技术经验和丰富的企业管理经验。公司总注册资金475万美金,设有系统架构部，系统运营 部，软件系统部，渠道销售部，售前售后技术部等部门，并且已经通过投资、控股和合作等形式，在亚太区形成了良性发展的产业和营销体系。 自成立以来,山石网科就以“贴近市场,贴近客户,快速把握并满足客户需求”为己任，用产品和方案来帮助客户获得网络安全，从而实现自身的企业价值。山石 网科凭借其独特的服务精神和强大的技术实力,以国际一流的技术打造适合中国本土化应用需求的高性能

34、产品,并提供高性价比的新一代网络安全整体解决方案,服 务于中国高速发展的网络市场。作为产业链中至关重要的一环，山石网科勇于创新，公司的SR系列安全路由器和SA系列安全网关产品，已经为网络安全领域树立 了新的安全网络产品质量水平,在国内各大中小型企业及各高校中拥有了强大的客户群体，并赢得了用户的高度肯定。在网络时代的今天,山石网科愿与所有客户、合作伙伴一起，在探索与实践中国网络安全稳健和谐发展的新长征中，携手共赢!个人收集整理，勿做商业用途个人收集整理，勿做商业用途3.1.1 面向应用的高性能防火墙需求根据企业网络应用系统的现状以及未来系统的结构发展,我们认为着重考虑企业的B/S结构应用特点，是

35、防火墙系统技术指标设计的主要依据.众所周知，防火墙作为网络设备，对网络性能影响最为主要的是两个参数指标，一个是防火墙的TCP连接处理能力（并发会话处理数），另一个是防火墙对网络数据流量的吞吐能力（带宽参数)。B/S结构的应用系统虽然具有管理简单，客户端开发、使用和维护的成本很低的优点，但是在网络上B/S结构应用系统将会给网络带来巨大的网络流动数据处理压力，而且是并发的。具体来说，B/S结构的应用系统在网络上使用，会给网络防火墙带来数倍甚至数十倍于C/S结构应用系统的并发TCP会话数量，而且这些会话绝大部分是包长很短的“垃圾”IP包。而这些垃圾包必然对网络设备的负载有着极大影响。随着Intern

36、et的不断普及，新的网络应用层出不穷，并且对于网络带宽的占用日益增高，如网络视频、网络游戏、BT下载等.企业网络中运行着大量的关键应用，这些关键应用很多都要求极低的网络延迟,而网络中大量的娱乐应用不断吞占着有限的网络带宽，严重影响着关键应用的使用。同时安全和速度始终是两个对立面的事物.追求更高的网络安全是需要以牺牲网络通讯速度为代价的，而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代，能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析，而使用传统网络平台所带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台

37、去实现。通过对各类防火墙的比较分析，我们认为目前面向B/S结构应用、高性能的硬件防火墙是最为明智的选择。3.1.2 网络安全设计的基本原则3.1.3 技术先进性和实用性原则网络安全方案中采用技术，具有一定的前瞻性,符合一定时期内网络安全技术发展的趋势，并在今后一定的时期内处于领先地位。网络安全系统设计必须遵循先进性和成熟性。由于IT行业的技术更新换代很快，为了保证网络能够满足今后一段时间内应用的发展，在选择网络安全技术和设备时不仅要考虑先进性，也要考虑技术的成熟性，同时更要考虑接入业务的特点等多方面的因素.一种新技术在刚出现时往往有很大不稳定和不确定因素,需要有一个发展、逐步完善和实践检验的过

38、程,经常有一些技术在刚出现时被宣传和评价很高，但在一段时间后发现存在很多问题，甚至很快退出市场。用户采用了这种技术，往往会因为设备厂商转产停产等问题，无法对网络扩展升级，最终造成前期投资的浪费。一种新的技术产品在刚出现时一般价格都非常高,所以选择使用一种新的技术的最佳时机应该是在这种技术在市场上已经得到较为广泛的应用,并且在使用中得到肯定之后.虽然这时的技术可能已经不是最新的技术,但技术已经成熟，设备的性能价格比更高。所以选择网络技术和设备时不要去追求最新最好，应该遵循先进性和实用性相结合，并找出其中的平衡点。3.1.4 高可靠性原则由于网络对数据传输的实时性的要求，对网络的传输环节要求很高。

39、因而要求选用的网络安全设备具有相当高的可靠性，要达到电信级标准，具备99。999的可靠性。建设一个运行稳定可靠的现代化网络系统，网络中任何一台安全设备或任何一条安全设备上的线路发生故障都不会导致通过该安全设备互联的两个网络无法通讯，并且能够保证在不影响网络正常运行的情况下完成对网络故障的检测和排除.3.1.5 易于扩展和升级的原则网络及数据通信技术发展速度快、新的设备不断面世，新业务也将逐步运行在新的数据网上,用户对带宽的需求必将增长，需要将网络系统扩容，因此在网络设计时应充分考虑将来网络的扩容和升级问题。随着企业的发展扩大，网络的系统性能的需要将不断提高，网络的规模也会不断扩展，而隔离网络的

40、安全设备也同样需要扩容和升级.所以在设计网络时，要充分考虑到网络安全设备的可扩展性，为了保护用户的投资，设计应保证至少若干年内网络的升级和扩展不需要更换主要网络安全设备，只通过增加一些模块就可以实现网络性能和规模的扩展,满足今后几年业务发展的需要。3.1.6 管理和维护的方便性网络系统中的所有安全设备均应是可管理的,支持远程监控和故障的过程诊断和恢复。可通过网管软件方便地监控网络运行的实时情况，对出现的问题及时处理和解决。3.1.7 网络安全方案设计3.1.8 方案描述为了保护花木劳动保障中心的内部应用网络和对外提供的服务,建议在当前企业的Internet出口处使用HillStone防火墙来进

41、行安全保护，用Hillsonte SA系列防火墙作为链路接入设备。为了保护内部网络,我们建议防火墙用NAT模式，隐藏内部私有网段。1. 在保障中心网络的接入层，内部网络和Internet的连接部分我们部署一台HillStone SA路由器。 连接Internet的ISP链路被直接连接到Hillstone SA防火墙上,内部用户需通过核心交换机连接到Hillstone SA防火墙内网口,防火墙做NAT模式。2. 为了保护内部的主机和服务器,我们需要将防火墙上的端口根据需要划分到不同安全级别的安全区域: 到Internet的链路端口划分到UnTrust区域，Trust区域端口连内部网的核心交换机。

42、3. 将防火墙设置为NAT模式。这样就可以保护内部的私有网段，同时内部人员访问外网都将通过地址转换和端口转换。Hillstone SA防火墙有着强大的NAT功能，我们可以根据需要灵活的设置NAT，包括1对1的NAT，基于端口的NAT，源地址NAT和基于目的的NAT等。4. 通过防火墙的DOS防护功能保护公司网络和对外服务。Hillstone SA防火墙每秒能够提供多达3万的TCP会话请求，具有超强的SYN Flood抗攻击能力和DDoS抗攻击能力。5. HillStoneSA防火墙可支持入侵检测防御功能，我们可根据需要打开防火墙上的入侵检测功能，这样就可以对内部应用主机的应用层服务增加更高层次

43、的安全防护功能。6. 防火墙访问控制策略的设定。在防火墙上设置访问控制策略，不允许内网某些用户访问Internet.或者禁止外部对内部的非正常形式的访问（或依据需求开放某些端口和应用）.HillStone有着强大的访问控制策略设置方法，可以有效保护内部网络对Internet的访问,和公司对互联网提供的各种服务。7. 利用HillStone 防火墙卓越的带宽流量控制，可以为总部的主机访问进行的流量分配.HillStone 提供流量的实时监控功能，可通过查看所提供的信息记录选择策略形式，实时监控网络状态，流量记录有：流量记录表、报警记录和日志。配置传输控制策略时，可以针对用户：设立时刻表，监控每周

44、的每一天允许传输的速率大小和起始终止时间。设置传输优先级，HillStone防火墙提供八种优先等级，并可根据网站提供服务的重要性和用户的工作的性质分别做出不同等级的质量带宽分配。可根据策略设置传输控制策略的端口带宽，固定分配那一条策略占有多大的带宽。 设置传输策略的带宽最大限度及最少保证。6. HillStone 提供时间管理，可帮助网管人员分配给不同的用户固定的时间段里才能上网,或根据服务分配固定的时间段,在这时间段里网络服务请求才能通过防火墙。限制了员工使用公司资源。7 HillStone 防火墙提供VPN功能，外部和远程的人员可以通过VPN隧道与防火墙内的计算机建立连接。方案可以实现:通

45、过HillStone防火墙，能够有效保护内部网络的安全和对外提供的服务安全。Hillstone SA防火墙的64位专用多核并行处理器能够避免纯ASIC和NP安全系统会话可管理能力和流量控制能力弱的弊病，为VPN和应用层内容安全功能提供强大的处理能力保障.整个网络安全的到了保证，HillStone防火墙将有效保护内部网络，我们能够有效阻止外界对公司内部和服务的DOS攻击，以及47层的应用层攻击.HILLSTONE提供了强大的带宽管理功能，可以按照源和目标IP址或者地址组、应用程序、端口等 对流量进行分级和处理。QOS带宽管理确保了服务质量，保证关键应用的高性能,可以根据具体参数对流量类型进行区分

46、,并确定如何恰当地处理流量类型,从而对内部的用户进行高效的带宽管理。VPN功能可以保证远程接入用户对内网访问的安全性。HillStone的解决方案有如下优点：l 提供专业的网络安全服务HillStone是一家专业的网络安全设备厂商，具备多年安全设备研发和售后经验，能够为用户提供最及时最有效的安全解决方案。l 高性能的防火墙和防攻击能力HillStone SA系列提供超强的防火墙吞吐能力，能够满足企业网络中所有网络环境的吞吐要求。同时，SA系列内置了防攻击模块，能够有效地避免网络攻击对企业网络的影响。l 先进的应用层管控机制HillStone SA系列产品能够为用户提供先进的应用层管控技术，包括

47、URL过滤、带宽管理、P2P/IM管理等等,能够使用户在保证网络连通的前提下更细粒度的管控自己的网络。l 提供高性能的应用层解决方案HillStone产品采用专用的64位多核处理器，能够为应用层数据处理提供前所未有的性能支持，保证在高吞吐高流量的情况下从容有效地进行应用层的管控。l 提高企业网络部署的灵活性和扩展性随着企业发展，企业网络也会不断发展变化。HillStone企业网络解决方案能够凭借HillStone产品的多种智能化的功能实现,全面协助企业网络应用的演变。在企业网络的特定网络安全环境下,通过HillStone产品的部署，灵活的进行功能扩展，最大化的保证了企业网络的灵活性和扩展性.l 降低系统维护难度和成本凭