珠海格力网络安全解决方案.doc

目 录 1. 网络现状以及安全需求 2 1.1. 防火墙/VPN需求 2 1.2. 病毒潜在威胁分析 3 1.3. 内部、外部攻击以及网络行为监控 5 2. 防火墙/VPN解决方案 5 2.1. NETSCREEN防火墙/VPN技术 5 2.2. Netscreen/VPN解决方案特点 7 2.3. 防火墙/VPN部署 8 2.4. 产品选型 8 2.5. 方案特点 9 2.6. 产品信息 10 2.6.1. NetScreen-5GT 10 2.6.2. NetScreen-25 14 3. 防病毒解决方案 22 3.1. 防病毒结构体系 22 3.2. 防病毒产品的部署 23 3.3. 客户机防护 24 3.4. 服务器防护 28 3.5. 趋势科技网络防毒墙——Network viruswall 30 3.5.1. 网络防毒墙功能简介 30 3.5.2. 详细特性描述 31 3.5.3. 部署NVW的效果 34 3.6. 中央控管体系 34 3.7. 防病毒解决方案特点 38 3.8. 产品清单 40 4. 入侵检测系统 40 4.1. Netscreen的解决方案 40 4.1.1. 多重方法检测（MMD）提高精确度 41 4.1.2. 封包处理模式以提供精确数据 42 4.1.3. 带内操作模式提供真正保护 42 4.1.4. 集中式、基于规则的管理提供更高可控性 43 NetScreen-IDP系统利用中央式、基于规则的管理方式可以提供: 43 4.1.5. 总结 44 4.2. Netscreen-IDP解决方案 44 4.2.1. 工作模式 45 4.2.2. 具体部署拓扑图 48 4.2.3. 实施步骤 48 网络现状以及安全需求 珠海格力小家电中山新厂房（以下简称格力中山）网络是典型的三层结构，核心和汇聚层都是采用CISCO交换机设备，接入层使用DLINK交换机，服务器直接接在核心交换机上面，终端除了工作站以外还部署了IP电话系统，具体的网络拓扑如下图所示： 防火墙需求 总公司网络通过专线接入互联网络，如果采用直接接入方式，就会使整个总公司内部局域网络暴露在互联网上面，而且有限的公网IP地址不能确保所有的机器访问互联网络，为了让整个内部局域网络能够接入互联网络，同时防止来自互联网络的恶意攻击，建议在总公司网络出口处架设防火墙。 为了对网络进行严格、有效的安全控制，必须采用专用的基于网络层面的网络安全产品，访问控制机制应用在网络安全环境中，主要是限制用户可以建立什么样的连接以及通过网络传输什么样的数据。网络访问控制的目的就是在各网络连接之间建立一个安全控制点，通过允许、拒绝经过网络访问控制设备的数据流，实现对进、出内部网络的服务和访问的审计和控制。 防火墙作为网络访问控制设备，有它自己的几个优点： 1、它的包过滤功能实现要比路由器的ACL实现简单，特别是防火墙的GUI管理界面，更是简化了路由器的复杂配置； 2、路由器上面实施多个ACL，会给路由器带来很大的负载，影响路由器原有功能的正常应用； 3、防火墙建立在专有的安全操作系统上面，确保了防火墙本身的系统安全； 4、基于硬件的防火墙处理网络流量速度快，不至于成为网络流量的瓶颈； 5、能够抵御常见的端口扫描和攻击的能力； 6、通过防火墙构建安全级别不同的区域，能够对这些安全功能区域进行访问控制。 这些防火墙独有的特点决定了防火墙在网络安全产品中的不可替代的地位。 病毒潜在威胁分析 由于客户机对服务器、INTERNET网络访问频繁，如果不加控制，病毒可能带来的威胁是相当现实。病毒一旦发作，带来的损失是不可估量的，而在信息被破坏后再杀毒也无法挽回已经造成的损失，对计算机病毒的态度将是防毒+杀毒的结合，以防为主。在病毒可能流传的各个渠道中都设有监控，结合定时病毒扫描和自动更新，才能保证系统的安全。同时需要结合对应的管理策略，充分发挥趋势产品在病毒防护集中管理、监控中的优势，在格力中山企业网中构建有效的病毒监控体系。基于上述病毒入侵途径的分析，评估格力中山目前是否存在以下病毒防护漏洞： 是否具有良好的防病毒安全策略，且能构成动态自适应防病毒系统 构建一个全面有效的网络防病毒系统，应根据特定的网络环境定制病毒防护策略：策略包括预防策略、升级策略、病毒爆发初期管理控制策略、集中清除策略、审计策略、集中管理策略等。从宏观角度统筹规划网络安全体系，全面顾及到网络系统病毒发生、预防、清除、审核等各个阶段，能够在病毒爆发生命周期各个阶段对病毒进行有效的控制，将病毒造成的损失降到最低。 最近爆发的网络病毒对网络产生很大的影响，甚至一度导致互联网主干瘫痪。这些网络病毒与传统的应用文件型病毒还不一样，它主要是针对微软的漏洞进行攻击感染，在最短的时间内感染所有有同样漏洞的机器，进而影响整