安全解决方案.docx

《安全解决方案.docx》由会员分享，可在线阅读，更多相关《安全解决方案.docx（14页珍藏版）》请在优知文库上搜索。

1、目录、一、前言2二、网络安全现状和需求分析22.1网络现状分析22.2网络安全的重要行和发展方向22. 3网络安全现在主要有那几中解决方案32.1.1 综合防病毒方案32.1.2 内网安全解决方案32.1.3 边界安全解决方案42.1.4 接入安全解决方案52.1.5 终端安全解决方案62.4当前客户网络需求分析7三、网络安全的设计原则7四、网络安全的解决方案74.1当前网络分布情况及安全隐患74.2当前网络拓扑图74.3增加安全设备后的网络拓扑图及方案描述84.4整个方案的优势84.5选用厂商及产品的描述8五、解决方案的技术细节95.ISCePath虚拟防火墙技术9虚拟防火墙介绍105.2V

2、PN的连接105.3策略的应用105.4EAD端点准入防御10六、工程实施及售后服务保隙116.1工程实施规划116.2规范的文档管理126.3售后技术保隙12一、刖百为适应当前网络建设的需要，保证某某能够安全有效的使用网络，建立起一套有效的网络安全防范机制。针对这一情况我公司将根据贵方的现有情况，建设一套适合贵方的安全方案，以满足，贵方能够安全有效的使用网络来很好的工作。二、网络安全现状和需求分析2.1网络现状分析现有网络的构造情况。有无使用安全产品。有那些不足的地方需要改进的。2.2网络安全的重要行和发展方向当今网络安全建设已经是这个网络建设中最重要的一部份，如果在一个网络建设中没有安全防

3、护的应用，那就好比一个房子没有大门一样，任何人都可以自由的出入，没有任何的安全保护和防范。我相信任何人都不会愿意自己的物品处在这样的环境之中。而我们自己的网络建设就好比自己在构建自己的房子一样，而网络安全的建设就是构建我们这个房子的大门。让它能够很好的保护我们自己的财产。现在网络安全的发展是非常快的，已经从原来的只是简单的、单一的，防病毒，防黑客攻击，发展成一系列的安全解决方案。如：认证系统，1.Og系统，监控系统等一整套的方案。2. 3网络安全现在主要有那几中解决方案2.1.1 综合防病毒方案随着互联网的发展，病毒问题越来越严重，以金钱和利益为直接目的的病毒呈现明显上升趋势，更是威胁企业的经

4、济利益。随着病毒和黑客攻击的融合，以及借助于网络和即时通讯、U盘等多元化传播手段，病毒威胁呈现的混合型、网络化、越来越快的趋势。面对新形势下的病毒威胁，传统防病毒产品孤立的单点部署的防范模式已经不能适应反病毒的要求，反病毒技术迫切需要建立联合各种技术手段和管理措施的统一战线。另一方面，企业的分支机构和不同部门形成了具有一定规模的网络，需要建立机制来防范病毒在总部以及这些分支机构之间的传播和泛滥。享受互联网带来的商业机会，但同时避免病毒攻击等的侵扰成为企业的难题。H3C综合病毒防护解决方案从企业整体网络安全角度出发，建立一个全面立体的综合病毒防护体系，为病毒防御部署下天罗地网，全面提升企业的信息

5、安全水平。通过部署H3C综合病毒防护解决方案，企业可以避免病毒攻击带来的损失以及对业务流程的影响，从而降低企业的运营风险，并且可以减少为恢复需要的人力、时间等成本。2.1.2 内网安全解决方案在所有的安全事件中，有超过70%的安全事件是发生在内网上的，并且随着网络的庞大化和复杂化，这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点，但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因，一直以来也都是安全建设的难点。一般说来，内网安全应该考虑以下问题： 终端安全策略部署终端安全是内网安全的核心问题，终端安全策略的部署也就是内网安全的最主要部分。

6、但是受限于终端用户安全应用水平，如何确保网络中的终端安全状态符合企业安全策略，却是每一个网络管理员不得不面对的挑战。管理员查找、隔离、修复不符合安全策略的终端，是一项费时费力的工作，往往造成企业安全策略与终端安全实施之间存在巨大的差距。 内网访问控制部署传统上，在内网是通过划分V1.AN,配合AC1.进行访问控制，这虽然可以在一定程度上实现内网访问控制，却难以做到比较精细的安全控制，同时也可能会影响到V1.AN间用户的访问，从而影响网络的使用效率。对于部分交换机，AC1.数量的增加会导致严重的性能下降。如何在内网实现更精细更高效率的访问控制是内网安全建设必须要解决的问题。 网络自身安全保障目前

7、在内网安全事件中，出现从攻击主机转为攻击网络资源的趋势，而传统的以太网交换机的工作原理和开放特征决定其难以对此类攻击进行有效防控。2.1.3 边界安全解决方案随着网络技术的不断发展以及网络建设的复杂化，网络边界安全成为最重要的安全问题，需要对其进行有效的管理和控制，主要体现在以下几个方面：网络隔离需求：主要是指能够对网络区域进行分割，对不同区域之间的流量进行控制，通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数，可以实现对网络流量的精细控制，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。攻击防范能力:由于TCP/IP协议的开放特性，缺少足够的安全特性的考虑，

8、带来了很大的安全风险，常见的IP地址窃取、IP地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击（DoS/DDoS）等，必须能够提供有效的检测和防范措施。病毒抵御能力：网络中蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透，后门木马和垃圾邮件侵袭的不断，影响企业用户的正常工作，甚至威胁的企业生存。如何识别和处理病毒，抵御未知病毒，降低网络风险成为急需解决的问题。网络可视化监控：网络流量的统计、实时流量的监控、系统漏洞检测和网络流量应用管理等功能，是网络管理的基础。如果可以图形化界面和直观全面的展现各种统计信息，就能够帮助管理人员可掌握网络状况，增强了网络的风险防范能力。网络优化需

9、求：对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽，同时应该提供完善的QoS机制，保证数据传输的质量。另外，应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力，比如支持WEB和EMAI1.过滤，支持P2P识别并限流等能力。用户管理需求：对于接入局域网、广域网或者Internet的内网用户，都需要对他们的网络应用行为进行管理，包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。2.1.4 接入安全解决方案随着企业规模日益扩大，客户分布日益广泛，合作伙伴日益增多，传统企业网基于固定地点的专线连接方式，已难以适应现代企业的需求。虚拟专用网（VPN）满足

10、了企业对网络的灵活性、安全性、经济性、扩展性等多方面要求，赢得了越来越多的企业的青睐，使企业可以较少地关注网络的运行与维护，更多地致力于企业商业目标的实现。对于企业网用户来说，IPSeCVPN是一个公认的理想解决方案。IPSeC是业界标准的网络安全协议，可以为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，从而有效抵御网络攻击。H3C的IPSeCVPN解决方案以IPSeC技术为基础，与GRE、1.2TP等技术的灵活组合给用户提供多样的、高可靠性的解决方案并配合高性能VPN网关、VPN路由器、VPNManager、BIMS等软硬件设施为用户提供包括接入、传输、认证、管理、配置

11、等全方位解决方案。2.1.5 终端安全解决方案目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。网络安全从本质上讲是管理问题。H3C端点准入防御(EAD,EndpointAdmissionDefense)解决方案从控制用户终端安全接入网络的角度入手，整合网络接入

12、控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。2.4当前客户网络需求分析根据客户提供的现有网络安全需求。写出客户需求的网络安全要求。是那种类型的，具体情况。三、网络安全的设计原则网络安全的设计，首先要考虑客户现有网络的情况，保证设计的合理性，在保证满足客户对网络安全的需求的情况下，做出最合理的设计，避免客户的重复投资和浪费。其次，在做出设计的时候要保证网络安全的升级以及后续的维护等。四、网络安全的解

13、决方案4-1当前网络分布情况及安全隐患根据客户提供的资料以及亲自现场了解的情况完整的描述出来（每个项目的情况都是不一样的），并指出其存在的安全隐患，并因此可能导致的安全问题。使客户明白其危害性。4.2当前网络拓扑图把客户当前的网络拓扑图画出来，指出其需要改进的地方，方便客户更直观的了解情况。4.3增加安全设备后的网络拓扑图及方案描述画出增加你配置的安全设备后的网络拓扑图，并在图下面做出整个拓扑图的的介绍，详细的描述整个方案的结构，及解决的问题。4. 4整个方案的优势由于上面已经介绍的了整个方案，这里主要写明，这个方案在预防客户所担心的网络破坏所起的作用，以及现在网络安全设计的主流设计是那种情况

14、。而我所设计的方案符合当今主流安全设计，并在这个上面，根据客户的实际情况又做出了那些改进。以及满足未来网络安全的需要，保护用户的投资。避免客户的重复投资。4. 5选用厂商及产品的描述针对用户的实际需求，我们公司拟选用H3C公司的安全设备等来满足客户的需求。H3C公司的安全设备包含了从硬件到软件，如硬件的防火墙，IPS,安全中心以及软件的EAD等所选设备的图片：所选设备产品介绍：防火墙FlOOO-A,IPS1200E,EAD端点准入系统。产品规格介绍:产品特点介绍：五、解决方案的技术细节5. 1ScePath虚拟防火墙技术随着计算机技术和网络技术的普及，网络安全问题也越来越得到关注。防火墙作为出

15、现最早，发展最成熟的安全设备，已成为安全部署的首要选择。作为维护网络安全的关键设备，防火墙的目的就是在信任网络（区域）和非信任网络（区域）之间建立一道屏障，并实施相应的安全策略。应该说，在网络中应用防火墙是一种非常有效的网络安全手段。防火墙诞生以来，技术发展总共经历了三个主要的发展阶段：包过滤技术、应用代理技术、状态检测技术。目前，获得普遍认同的是状态检测技术，因为该技术的安全性、性能都比较优良，所以得到了广泛的应用。在以上发展阶段中，出现了许多有特点的技术，虚拟防火墙技术也应运而生。虚拟防火墙可以在一个单一的硬件平台上提供多个虚拟的防火墙实例。所有常规的防火墙功能及其与外部世界的互动一一独立管理、独立配置，以及每个虚拟防火墙的各种内部组件例如安全策略、路由表、NAT转换等，都将被虚拟化。虚拟防火墙介绍虚拟防火墙就是在一台物理防火墙上虚拟出多台逻辑上的防火墙，具有各自的管理员，并可以根据需要配置出完全不同的安全策略，各虚拟防火墙的安全策略互不影响。虚拟防火墙实例提供相互隔离的安全服务，具备私有的区域、AC1.规则组和NAT地址池，并且能够将绑定接口加入私有区域；虚拟防火墙能够提供地址绑定、黑名单、地址转换、包过滤、统计、攻击防范、ASPF和NATA1.G等私有的安全服务。5. 2VPN的连接如果客户在整个方案