网络安全整体解决方案

1、珠海市网佳科技有限公司网 络 安 全 整 体 解 决 方 案目录1 章 总体分析及需求 2章总体设计。错误!未定义书签。3章。防火墙方案3。1本方案的网络拓扑结构。错误!未定义书签。3. 2本方案的优势：。错误!未定义书签。3.3本方案的产品特色。错误!未定义书签。4 章 内网行为管理方案 4。1内网安全管理系统介绍。错误!未定义书签。4.2内网管理系统主要功能。错误!未定义书签。5章。报价单错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。第 1 章 总体分析及需求珠海市网佳科技有限公司新办公大楼由五层办公区域组成，公司规模较大、部门较多，总PC数量估 计在2 0 0左右，其中公司财务部门需要相对的独立，以保证财务的绝对安全;对于普通员工，如何防止其 利用公司网络处理私人事务,如何防止因个人误操作而引起整个公司网络的瘫痪,这些都是现在企业网络 急待解决的问题.随着公司规模的不断壮大，逐渐形成了企业总部各地分支机构移动办公人员的新型 互动运营模式，怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享， 又要防止机密的泄漏已经成为企业成长过程中

2、不得不考虑的问题.同时，如何防止骇客攻击、病毒传播、 蠕虫攻击、敏感信息泄露等都是需要考虑的问题，如：第一、随着电脑数量的增加，如果网络不划分VLAN,所有的PC都在一个广播域内，万一网内有一台 PC中了 ARP，那么将影响到整个网络的稳定；第二、各类服务器是企业重要数据所在,而服务器如果不采取一定的保护机制，则会经常遭受来自内外网病毒及其它黑客的攻击,导致服务器不能正常工作及信息泄露，经企业带来不可估量的损失;第三、网络没有网管型的设备,无法对网络进行有效的控制,使网络管理员心有余力而力不从心,往往是事倍功半，如无法控制P2P软件下载而占用网络带宽；无法限制QQ、MSN、SKYPE等即时聊天软件； 网管员无法对网络内的流量进行控制，造成网络资源的使用浪费；第四、企业有分支机构、移动办公人员，无法与总部互动、访问总部K3、ERP等重要数据资源，从 而不能及时获取办公所需数据。综上分析，珠海市网佳科技有限公司按照企业目前网络情况，有针对性地实施网络安全方面的措施， 为网络的正常运行及服务器数据的安全性做好前期工作。第 2章 总体设计根据珠海市网佳科技有限公司的实际网络情况 ，结合目前的具

3、体需求，从以下几个层面来为珠海市网 佳科技有限公司设计一个以硬件防火墙为主体的网络安全解决方案，保障珠海市网佳科技有限公司网络的 正常运行及服务器的安全。公司网络的大致结构是:光纤一路由器一交换机一PC,公司大概有200多台电脑，根据公司目前的网络规 模及上面的分析，现提出以下整体解决方案。1. 在网络出口处架构一台硬件防火墙,以防止非法攻击2. 在每台PC上安装内网行为管理软件，对每台PC实施应用程序管理、屏幕监控、上网策略管理等第 3章 防火墙方案本方案建议采用国康防火墙.根据公司的网络结构，适合的型号是FX 5 00。通过前面的分析与需求,国康防火墙可以达到贵公司现在所需解决的问题,具体表现如下：下载安装游戏软件;用QQ与MSN聊天造成工作效率低下；主动或被动的浏览色情网站；BT疯狂下 载电影、在线听歌、QQ直播，造成网络带宽堵塞;同时网络管理员需要只允许访问固定网站或屏蔽 某些网站。 员工上网管理：自定义时间开放网上聊天、游戏、查询股票项目。 有效保护对外发布的WEB、FTP、邮件服务器.防止黑客入侵篡改网站信息，发布反动黄色内容帖子. 对从内到外及从外到内的网络访问做好有效的

4、日志记录，以备网监处查询。 对网络整体进行流量限制 防止ARP欺骗现象的发生，当发生欺骗现象时，可以通过防火墙日志端快速的查找到ARP欺骗源 头所在,保障网络正常运行。 可以实现移动办公，通过防火墙内置的各种VPNCPPTP、L2TP VPN、IPSec VPN、SSL VPN) 功能,即使出差在外，也可方便地访问公司内部ERP服务器资源。 IP/MAC地址绑定，防止员工随意更改IP地址，造成网络内地址冲突现象而发生网络中断,使网管 员方便管理规划网内IP地址资源。31本方案的网络拓扑结构M；JlllcilictFTPL- R Pwrn总部总 SflGi.n3.1234567、建议的网络拓扑结构2本方案的优势：珠海市网佳科技有限公司整体处于安全区域内，对公司内部发布的服务器起到保护,有效防护外部攻击。 可对网络限制整体流量可以随意封堵QQ。MSN,YAHO0通等即时聊天软件.可以整体控制BT、电驴、迅雷等下载软件占据大量带宽。可以对公司的数据进行安全过滤.防火墙的设置简单化，特别是没有专职网管的公司，为管理者带来极大的方便.增加了 SSLVPN功能，极其简化的设置方式，只需要用户名、密

5、码、服务器IP三个参数即能轻松完成配 置.为远程拨入的移动客户端,提供了方便。8、强大的日志审计，完成了对实时流量监控，对ARP、蠕虫病毒的监控，对客户端上网记录的监控等.3.3本方案的产品特色防火墙特色功能 灵活的管理界面，面象对象的管理 多WAN 口链路负载均衡-网通电信线路智能判断 PPPOE拨号功能，彻底解决ARP病毒。 实名上网功能，无需安装插件 多动态域名互为备份 应用路由功能,可设置某种协议流量走特定的外网口 可屏蔽内网客户端发贴IPSEC/SSLVPN 功能： 可基于路由、透明、单臂模式部署，不改变客户网络结构; 支持以口令或口令加证书USBKey的方式进行身份验证;内置CA中心 VPN帐号可以和特定的机器特征自动绑定； 灵活的应用发布机制和权限分布机制；支持B/S.C/S和T/S应用程序; 灵活的安全策略，方便用户远程访问； 完善的日志和报表； 解决多种宽带网络间互访“南北不通”问题； 支持低宽带条件下的数据实时压缩，最高可提高50的数据传输速率； TCPIP 协议优化，集成了数据压缩技术 穿透性好，支持移动、电信3G网络终端管理功能：USB存储设备认证与加密外联监控

6、外设控制共享目录监控硬件变更监控、软件监控进程监控离线策略资产管理软件分发网络访问控制远程桌面管理、定时截屏功能流量控制功能客户端连接数控制针对IP/地址段设置带宽识别控制P2P软件和加密P2P数据 当有多余带宽，允许突破限制,充分利用带宽 实时显示各客户端连接数、收发包量、速率、累计流量 流控对应到人 强大的流量分析日志及图形报表行为管理功能： 网站分类封堵，支持自定义组、通配符定义域名 QQ号管理、只有指定的QQ号才能登陆 封堵 MSN、Yahoo Mess a ge、AIM、IRC 与终端管理结合,可监控聊天记录 讯雷、BT、电驴等P2P软件按协议封堵 游戏、远程控制软件、 VOIP 等非法软件封堵 禁止从内到外或从外到内POST提交发贴、上下传文件 禁止通过SOCKS、HttpConn e ct代理方法访问外面数据第 4章 内网行为管理方案4. 1宝内网安全管理系统介绍完整的国康防水墙由三部分组成，服务器模块、监控端模块和客户端模块。客户端模块安装在每一台需 要被监视的计算机上。服务器模块用来存储和管理所有安装有客户端模块的计算机，用于管理监视所产生的 资料，一般安装在一台具有

7、高性能CPU和大容量内存的用作服务器的计算机上监控端模块主要用于监视每 台安装有客户端模块的计算机及查看历史记录，一般安装在公司的管理人员的计算机上,也可以和服务器模块 安装在同一台计算机上。系统的基本框架如下图所示：&客户端客户端客户端客户端宝界防水墙体系示意图4.2内网管理系统主要功能1、内网管理系统安全、卓越的系统性能：控制台与服务器端及客户端代理之间的控制信息都通过加密通信服务器端与客户端代理之间进行认证，防止未获授权使用金对非法接入的主机可切断其与内部安装 过客户端代理主机之间的联系本地用户不能自行卸载、关闭客户端代理程序管理权限分级,利于分级控制登录应用了严格的身份认证，保障系统的管理安全客户端、服务器及控制台间的数据传输全部采用加密传输方式，防止传输的数据被窃听在终端PC上运行的客户端软件采用了透明模母 客户端软件采集数据信息不影响终端PC的使用 性能a传输中的数据经过特殊压缩，对网络带宽的占用非常少备份和恢复服务器数据库中的信息，保证历史记录的方便查阅2、内网管理系统对企业的帮助: 保护机密商业资粋详细记录文件操作（访问、修改、删除等）4记录文件操作时的屏議对移动存 储

8、设备的灵活管理对设备端口的管理 规范员工的上班行为4 限制与工作无关应用程序的使用4 禁止浏览工作无关网站4 对违规行为的 报警 客观评估员工工作状态详细记录员工使用的应用程序4 详细记录员工浏览的网页 员工使用电脑情况图表分析 方便的电脑资产管理自动获取电脑硬件设备清单4 自动获取电脑安装的应用程序4 协助企业管理者的工作 灵活完善的规则设定完善丰富的报表功能4严格的权限管理4追踪重要事件4记录电脑屏幕，直观察看员工的电脑操作记录设置报警,查询员工的违规行为3、内网管理系统的主要功能:内网管理系统包括了下列的六大功能模块：网络监视模块、网络管理模块、网络报警模块、软硬件资 产管理模块、补丁管理和软件分发、远程桌面管理。1、网络监视模块：根据设定的安全控制策略，对受控对象的活动进行全面的审计，为事后了解和判断网络安 全事故提供了宝贵的资料，具体功能如下：文件操作的审计;屏幕记录；4应用程序的审计；4 Int erne t访问的审计；4网络通讯协议；4报警信息的 审计；打印机使用的审计； 4 网络文件访问的审计； 4 硬件变动的审计;软件变动的审计；4 IP/Mac地址的变动审计;4用户

9、的变动审计；4非法笔记本电脑接入的审 计；非法拨号的设计； 4 客户端超时不连接的审计；2、网络管理模块：网络管理模块通过具有针对性的监控规则的设置,自动阻止非法操作和实现应用统计,具体功能如下:a禁止或只允许浏览的指定网站3禁止使用指定的应用程序；禁止使用外设如（USB存储设备、 USB端口、软驱、刻录机、磁带驱动器、串口、并口、调制解调器、SCSI、1 3 9 4总线、红外通讯设 备，以及笔记本电脑使用的PCMCIA卡接口）；内网管理模块对电脑的使用进行具体统计，提高工作效率. 浏览网站状况统计（列表、柱状图、饼状图）； 应用软件使用统计（列表、柱状图、饼状图）;3、网络报警模块：网络监控模块通过具有针对性的监控规则的设置，并且可以向控制台发出报警信息，报警内容有: 非法对指定文件/文件夹操作报警;非法使用指定的应用程序报警;硬件变动的报警；软件变动的报警；a IP/Mac地址的变动报警3用户的变动报警3非法计算机接入的报警； 非法拨号的报警；a客户端超时不连接的报警。4、软硬件资产管理模块:软硬件管理模块可以对整个局域网内的电脑的软硬件资产进行统计.5、补丁管理和软件分发:可以随时统计出操作系统补丁的安装情况，并对未安装重要补

《网络安全整体解决方案》由会员re****.1分享，可在线阅读，更多相关《网络安全整体解决方案》请在金锄头文库上搜索。