紫荆盾防火墙方案.doc

紫荆盾防火墙建议方案 目 录 安全风险分析 2 网络安全需求 2 产品概述 2 网络管理功能 3 虚拟专用网（VPN）功能 4 内容过滤 4 防火墙攻击检测 5 系统管理 6 辅助管理 6 安全管理功能 7 性能指标 7 认证情况 7 执行标准 8 防火墙部署 8 附：防火墙NetST2000BII参数 10 安全风险分析 连接Internet后，即存在安全风险，攻击者可以通过这些服务端口直接攻击其它未对外开放的服务器，也可以通过这些TCP/IP服务的不安全因素，取得在这些服务器上的更高的权限，并进一步攻击内部网的其它服务器。 非法流量大量占用带宽，如BT，迅雷的下载；网络病毒在内部网络的传播； 内部网络用户不受限制， 网络安全需求 提高上网速度； 保证、控制带宽； 限制非法流量，如P2P软件下载 进行访问控制， 划分安全的网络拓扑结构，隔离外部WEB服务器群和内部服务器群，保证内部网服务器的系统安全 在Internet和计算中心接口设置防火墙网关，保证内部网和服务子网的安全，保证重要部门的局域网安全。 综上所述，根据网络的具体安全需求，提高网速，限制BT，电驴，迅雷P2P下载，我们的主要网络安全产品均选用拥有自主产权的国有品牌，排除了网络安全隐患，同时符合国家对网络安全产品使用的规定，努力为用户构架一整套网络安全解决方案。建议选用清华得实防火墙NetST2000BII即可以解决问题 产品概述 功能指标 NetST?2000AIII防火墙引擎采用独创的内核检测技术、深度包过滤技术；即基于操作系统内核的会话检测技术，在操作系统内核实现对应用层的访问控制，这样既成功地实现了对应用层的细粒度控制，又有效地保证了防火墙的性能。 网络管理功能 支持协议标准： HTTP协议：RFC2616，RFC1945； SMTP协议：RFC821 FTP协议：RFC959；RFC2640, RFC2228； POP3协议：RFC1939，RFC1957，RFC2449 支持协议： TCP/IP、支持802.1Q、VLAN Trunk、H.323视频协议、MSN/SIP协议、SNMP网管协议、IGMP、DHCP协议，GRE、IPSEC、PPTP、L2TP、ORACLE、TFTP、IRC、NTP、IPX协议及IPX路由协议等。 访问控制: 支持基于地址、协议、端口和多时间段的全面的访问控制，过滤规则集成带宽管理、流量控制，TCP连接超时控制、数据优先权管理，连接/子连接的TOS控制、多时间表，时间段控制；过滤规则必须支持规则一致性检查。 支持网卡间通信的封禁，支持网卡访问属性配置，支持防火墙网卡IP冲突检查，支持网卡虚地址段NAT 支持动态、静态，一对一、多对一等双向的地址转换；支持外部网络主机访问内部的服务器；支持实现防火墙保护的服务器之间的负载均衡 过滤规则 支持灵活的规则定义，基于多时间段规则，支持规则合法性检查；协议合法性检查；HTTP/HTTPS/FTP/SMTP/POP3/DNS，可有效限制QQ等P2P软件的使用；可设置符合规则的TCP连接的超时 HA（双机热备） 支持备份中心；支持VRRP 联动设备 支持与NetDT联动，启明星辰的IDS产品联动； 提供开放的IDS接口，只要符合该接口的IDS 都能互动； 网络连接方式： 支持网桥模式、路由模式、透明模式、混合模式 支持多出口，按权重分配出口流量 虚拟专用网（VPN）功能支持基于IPSecVPN，支持2000条以上IPSEC安全隧道；支持基于PPTP、L2TP的VPN功能、支持DES、3DES等加密算法。 支持移动VPN客户端,，DVPN,XAUTH,NAT-T,DPD,硬件加速卡 支持透明模式下的VPN功能；支持NAT穿越, 认证算法： 支持多种加密认证算法，例如168Bits 3DES、DES、RC4、国产加密算法、MD5、SHA1等；支持RSA，X.509证书。 内容过滤 支持多个内容过滤池，可实现针对不同内容的过滤 针对HTTP协议： 支持URL级的信息过滤、URL攻击检测、URL白名单/黑名单、URL关键字、HTTP头字段过滤、可定制拒绝画面，支持页面转向、对HTTP协议中携带的Java Applet、JavaScript、ActiveX、Servlet、CGI、PHP、BT下载，可设置过滤User-Agent/BitTorrent；支持与URL过滤服务器结合，可实现百万数量级的URL过滤； 支持对下载的文件附件类型、页面类型、页面的关键字过滤。 针对SMTP、POP3协议： 支持对接受和发送附件的文件类型过滤 支持对邮件的发送地址、来源地址、主题关键字过滤 支持对邮件的内容类型过滤 针对FTP协议: 支持对FTP下载和上文件的DNS关键字过滤；提供地址替换，提供对DNS内