烟草公司网络安全方案建议书.doc

1、目录一. 前言2二. 现状22.1 防火墙与IPS需求分析32.2 流量控制需求分析3三. 解决方案43.1 方案设计43.2 产品部署43.3 方案价值5四. 推荐产品介绍64.1 绿盟冰之眼安全网关64.2 绿盟冰之眼网络入侵保护系统74.3 西默流量控制系统94.3.1 西默流控价值94.3.2 硬件平台94.3.3 功能特点10五. 结论11一. 前言随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正逐步改变着人类的生活和工作方式。越来越多的政府、企业组织建立了依赖于网络的业务信息系统，比如电子政务、电子商务、网上银行、网络办公等，对社会的各行各业产生了巨大深远的影响，信息

2、安全的重要性也在不断提升。近年来，企业所面临的安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用（P2P下载、IM即时通讯、网游、视频）等，极大地困扰着用户，给企业的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、带宽滥用、提高保证计算机和网络系统的安全和正常运行便成为企业所面临的一个重要问题。二. 现状说起网络安全，相信许多人已经不陌生了。可能都曾遇到过下面这些情况：u 没有及时安装新发布的一个安全补丁，造成服务器宕机，网络中断； u 蠕虫病毒爆发，造成网络瘫痪，无法网上办公，邮

3、件收不了，网页打不开；u 有的员工使用BT、电驴等P2P软件下载电影或MP3，造成上网速度奇慢无比；u 有的员工沉迷在QQ或MSN上聊天，或者玩反恐精英、传奇等网络游戏，或者看在线视频，不专心工作；u 由于员工电脑被植入间谍软件，导致公司机密资料被窃；u 部分员工电脑成为僵尸网络的“肉机”，向外网发起DOS攻击，引起公安部门注意并上门进行调查。根据调查数据显示，以上事件呈逐年上升趋势，给企业造成越来越大的直接和间接损失。2.1 防火墙与IPS需求分析绝大多数人在谈到网络安全时，首先会想到“防火墙”，企业一般采用防火墙作为安全保障体系的第一道防线，防御黑客攻击。xx烟草前几年已经部署过防火墙，但

4、由于使用时间过长，且目前为止已经重复维修过两次，本次需要重新购置防火墙替换原来的旧设备；但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要，xx烟草部署了防火墙的安全保障体系仍需要进一步完善。传统防火墙的不足主要体现在以下几个方面：u 防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的Code Red蠕虫等。u 有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。u 作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击并保存相关信息，以协助后续调查和取证工作的开展

5、。鉴于此，xx烟草需更换原有防火墙和IPS一起组建单位的边界防护体系，保障单位信息系统安全和安全运行。2.2 流量控制需求分析目前，xx烟草缺少针对带宽管理及内部流量进行有效分析流量控制设备，当网络出现速度慢，想要查看网络流量分布情况，哪些IP或者协议占用大量带宽资源的时候，通过现有网络设备无法实现，网络带宽经常被点对点应用例如BT、迅雷等下载工具占用，这些程序由于端口可变，非常难于察觉和管理，如果放任不管，就会抢占大量的带宽和链接；时下流行的pps、风行、在线视频等流媒体也充斥着我们的网络，通过查看，我们带宽的80%左右都被这些应用所占用，不但单位的带宽没有得到有效利用，也严重影响了我们的员

6、工的办公效率；并且一些下载常常伴随着病毒、木马等攻击，一旦被我们的员工下载到我们的内部网络会对我们的网络造成严重的冲击，严重的时候有可能导致单位内部网络的瘫痪。签于此，我们需要一台流量控制产品来有效管理单位的带宽，实时查看流量分布情况，并进行有效监督。三. 解决方案3.1 方案设计针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击，以及网络资源滥用（P2P下载、IM即时通讯、网络游戏、在线视频、在线炒股），通过部署防火墙、IPS流控来组建一套安全防护体系，提供了完善的安全防护方案。防火墙作为安全防护体系的第一道防线；网络入侵保护系统（以下简称“IPS”）作为一种在线部署的产品，其

7、设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。用此产品弥补防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御；流量控制产品则实时查看流量情况，动态调整带宽，监测异常流量、通过此三类产品的部署，实现xx烟草有效的安全防护体系，保障网络安全有效的运行。3.2 产品部署产品部署图u 防火墙做为xx烟草安全防护的第一道防线，可有效防止三层以下的网络攻击；u 入侵防御实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、DDoS等恶意流量，保护xx烟草信息系统和网络架构免受侵害，防止操作系统和应用程序损坏

8、或宕机。u 流量控制阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT产出率和收益率。u 上网行为监管通过流控产品的上网行为管理全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频，以及在线炒股等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的安全策略。3.3 方案价值1、让用户省钱l 解决用户最紧急、最重要的安全问题，同时满足合规性要求 ；l 解决方案通过合理的方案设计、产品组合提升企业ROI（投资回报率）；2、让用户省力l 解决方案通过统一的集中策略管理、全中文操作界面、丰富的中文报表、自动化规则库升级，

9、让用户简单易用、轻松管理，减轻管理人员的工作负担 ；3、 让用户放心l 方案推荐的安全产品都经过众多用户的实际环境使用和长时间的稳定性验证，专业的方案和产品保证客户业务连续、稳定、可靠运行，让用户放心；4、让用户省心l 提供专家级产品实施及技术支持服务保障，让网管人员省心；四. 推荐产品介绍4.1 绿盟冰之眼安全网关绿盟冰之眼安全网关（ICEYE SG）是绿盟自主研发的面向应用的下一代多功能安全网关产品，实现防火墙、vpn、抗DDOS攻击等功能，满足用户多种防护需要。冰之眼安全网关具有以下特点：l “多核+ASIC”的高性能硬件平台冰之眼安全网关采用多核+ASIC”硬件平台整合技术，使硬件平台

10、更加安全、可靠和高效；独特的“多核”处理技术大大提高了针对应用业务安全防护的处理能力；ASIC芯片提供网络处理的硬件加速，提高网关产品的网络处理能力。冰之眼安全网关实现多业务并行处理，极大得提高了处理速度，很好地解决了网关类产品的性能瓶颈问题。l 高性能的防火墙 绿盟安全网关采用智能状态检测技术，支持路由、透明、混合模式部署，可实现基于源/目的IP地址、协议/端口、时间、用户、vlan、vpn、安全区的访问控制。绿盟安全网关支持基于策略的双向NAT、动态/静态NAT、端口PAT，支持静态路由、动态路由、策略路由、支持DNS、DHCP、vlan trunk。l 丰富的VPN特性冰之眼安全网关集成

11、IPSec和SSL等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入；支持网状、星型等多种VPN组网方式支持 。 l 强大的防御能力冰之眼安全网关实现对Synflood、Icmpflood、Udpflood等流量型DDoS防御，还提供CC攻击等应用层DDoS防御。同时还实现基于对象的虚拟IPS，防御各种攻击，如远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL注入防护、跨站脚本防护等。 l 实用的上网管理冰之眼安全网关采用业界领先的协议识别和智能关联技术，提供用户认证功能，针对用户上网行为、网络应用行为和业务运维行为进行智能多维度网络行为管理。l 方便灵活的功能

12、扩展冰之眼安全网关中除了强大的防火墙功能以外，还完美的融合了抗DDOS攻击、IPS、防病毒、VPN、WEB过滤等多种增值功能。多数用户整体购买安全网关类产品后，个别功能从不启用，导致用户购买成本部分浪费，产品价值也不能充分体现。冰之眼安全网关的各功能采用模块化管理，用户可自由选择适合自身网络环境和业务系统的功能模块，升级包激活方便快捷，真正做到物尽其用。l 统一的安全中心支持统一安全中心管理平台，实现多款绿盟冰之眼安全产品统一管理，包括日志分析、策略配置、报警信息等。安全事件统一报警功能，节省了存储空间；多台设备安全策略统一配置，降低了用户的维护成本。4.2 绿盟冰之眼网络入侵保护系统针对目前

13、流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击，以及网络资源滥用，绿盟科技提供了冰之眼网络入侵保护系统（ICEYE Network Intrusion Prevention System，简称：ICEYENIPS），这是绿盟科技自主知识产权的新一代安全产品，作为一种在线部署的产品，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵保护解决方案。冰之眼网络入侵保护系统采用先进的体系架构集成领先的

14、安全技术，深度融合的防火墙/IPS/IDS集成平台开创了世界先河，独一无二的设计使冰之眼NIPS为用户提供从链路层到应用层的深度安全防护，圆满解决了防火墙静态防御和IPS动态防御的融合难题。冰之眼网络入侵保护系统具有以下特点： l 采用高性能多核处理器，具备卓越的多千兆处理性能，同时配置丰富的工作接口，为企业提供更高性能和更多链路的安全防护；l 全面精细的漏洞保护能力，综合防火墙静态防御和IPS动态防御技术，为企业提供从网络层、应用层到内容层的深度安全防护；l 独有的协议识别技术能够识别超过100种应用层协议，拥有覆盖广泛、超过2000条获得CVE最高级别兼容性认证的攻击规则库，主动防御各类已

15、知和未知攻击； l 提供业界领先的基于对象的虚拟系统（VIPS），针对不同的网络环境和安全需求，实现面向不同对象，执行不同策略的智能化入侵防御；l 新一代专家级抗DDoS攻击防护能力：全面防御常规flood攻击和CC等应用层DoS攻击；l 强大丰富的管理能力：同时支持B/S和C/S两种管理方式，通过控制台实现单级、多级和主辅管理；l 灵活的2层/3层混合部署：具备基于二层和三层的混合部署模式，能够灵活接入各种复杂的网络环境，以满足企业多样化的部署需求；l 高可用性部署：拥有丰富的HA功能，支持Active-Active和Active-Standby两种工作模式，当单台IPS产品出现故障时，会自

16、动将网络服务平滑切换到另外一台正常运行的IPS上，确保用户网络不中断、稳定运行。支持热插拔的冗余电源，完善的BYPASS解决方案确保设备高可用。4.3 西默流量控制系统4.3.1 西默流控价值通过西默智能流量控制设备保证您重要业务应用所需的网络带宽，实现网络为工作（业务运作）服务的目标： 1) 核心业务系统所需的网络带宽有保障，保证业务运作与工作的高效进行2) 对非工作使用网络可根据需要是否设限3) 通过四到七层的网络交换技术，从应用层面解决了上述问题4) 实时监看内网流量、掌握网络资源使用情况，丰富的历史报表，便于事后查询5) 把握网络流量运行状况，应对突发事故6) 优化带宽资源配置、降低网

17、络费用7) 可针对session数高的应用服务如：P2P等作限制；提供基于IP、应用、网络出口的实时流量分析8) 针对关键应用，P2P等大流量应用做带宽策略9) 丰富的流量报表，基于用户及应用的报表分析，并可根据情况自定义报表类型4.3.2 硬件平台西默智能流量控制产品采用ASIC+NP+多核处理器的架构设计，利用ASIC+NP在快速路径对数据包进行处理，把处理相对比较简单、但是流量很大的“快速路径”从处理器上“卸载（Offload）”下来，把“宝贵”的处理器资源留给复杂的协议处理和报文的深度检测。另一方面，因为ASIC、NPU本身又具有很高带宽的外部接口，具有很强的报文处理能力，可以为用户提

18、供G级的处理能力，西默智能流量控制产品最大提供4G的吞吐量，可以满足广大用户的需求。4.3.3 功能特点协议识别西默流量控制产品，通过自带的协议库支持识别常见的P2P类应用，并通过自动更新功能保证协议库的最新，自定义协议可以根据您的需要添加，通过DPI技术，深层分析所有数据，对带宽进行管理。流量管理通过流量控制和上网行为管理技术，过滤掉非业务数据，优化企业网络的出口带宽，通过系统自带的带宽分配模板，为您的网络提供最优化的带宽分配方案。上网行为管理可以智能对网页的内容和类型进行过滤，有效阻止有病毒和挂马的网站。 系统内置有强大的不法URL库可以提供定期升级 可以添加和删除网管自定义的网址 可以智

19、能对网页的内容和类型进行过滤，有效阻止有病毒和挂马的网站 可以基于时间设置访问网站同时，所有的日志均保存60天，使您满足公安部82号令要求！日志与审计系统带有完备的日志审计功能，真正做到“事前防范，事发限制，事后跟踪”，满足“公安部82令”要求。NAT共享Internet西默智能流量控制产品支持代理和策略路由功能，因此，在小型企业里可以当作网关设备来使用，从而节省投资，独有的策略路由，使双线或者多线接入更加快速、高效。五. 结论随着安全漏洞不断被发现，黑客的技巧和破坏能力不断提高，网络受到越来越多的攻击。每天成千上万的蠕虫、病毒、木马、垃圾邮件在网络上传播，阻塞甚至中断网络；BT、电驴等P2P

20、下载软件轻易的占据100%的企业网络上行下行带宽；员工沉浸在QQ、MSN等聊天或反恐精英、传奇等网络游戏中不能自拔，从而影响了正常的工作。这些新型的混合威胁越来越给企业造成巨大的损失，而对于上述威胁，单一的靠传统防火墙、入侵检测系统和防病毒系统都无法有效地阻止。为了弥补目前单一安全设备对攻击防护能力的不足，我们需要一种新的安全保障体系用于保护业务系统不受黑客攻击的影响。这种防护方式不仅仅能够精确识别各种黑客攻击，而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。我们本次通过部署防火墙、IPS、流控提供实时、主动的防护能力，通过这种交互性的防护技术能够有效的阻断攻击，保证合法流量的正常传输，这对于保障业务系统的运行连续性和完整性有着极为重要的意义。