福建三木集团防火墙系统方案设计福建中天信息技术有限公司二OO二年元月福建三木集团防火墙系统方案设计目录一、系统的意义与目的二、福建三木的当前网络配置三、针对三木集团的方案推荐四、防火墙--Neteye3.0简介⒈防火墙的概述⒉NetEye3.0防火墙功能简介⒊安全和设计原理⒋NetEye3.0防火墙的整体分析⒌Neteye防火墙福州主要客户:五、网络拓扑说明六、总体方案图解七、整体系统运行环境系统硬件系统软件八、运行成本及维护一、系统的意义与目的近年来,中国的网络发展非常迅速,同时,中国的网络安全也越来越引起人们的关注,国家权威部门曾对国内网站的安全系统进行测试,发现不少单位的计算机系统都存在安全漏洞,有些单位还非常严重,随时可能被黑客入侵。任何网络都不是绝对安全的,值得一提的是,当前一些单位在急忙赶搭网络快车时,只管好用,不管安全,这种短视必然带来严重的恶果,因此,从思想上提高对计算机网络安全重要性的认识,是我们当前的首要任务。本套系统设计的目的就是改善当前薄弱的网络安全状况,让Internet的发展给政府机构、企事业单位带来了革命性的改革和开放,使得他们能够利用网络提高办事效率和市场反应能力,以便更具竞争力。二、福建三木集团的当前网络配置①集团内部PC通过代理服务器拨号上网②内部员工自由访问互联网③关键部门财务部与其他部门处同一网段④外地分支机构可以访问财务部门,但没有足够安全的认证保障⑤MailServer及OAServer计划启用中三、针对三木集团的方案推荐建议采用一套国内目前技术领先、稳定性强、售后有保障的防火墙------我们推荐使用东大阿尔派研制的NeteyeFW5032系统四、防火墙--Neteye3.0简介⒈防火墙的概述防火墙是处于内部网和外部网之间,保护内部网及其自身安全运行的一组软硬件的有机组合。它用来管理进出网络的各种信息和行为,具有过滤进出网络的数据包、管理进出网络的访问行为、拒绝某些禁止的访问行为、记录通过防火墙的信息内容和活动、对网络攻击进行监测和报警五大基本功能,并且可以防止外部网络不安全的信息流入内部网络和限制内部网络的重要信息流到外部网络。⒉NetEye3.0防火墙功能简介NetEye防火墙3.0采用状态过滤和内容过滤技术,具有高安全性、高效性、可扩展性,应用范围广,另外NetEye防火墙3.0支持身份认证功能、IP与MAC地址的绑定、代理路由、基于IP和基于用户的流量控制、审计系统、实时监控、VLANTrunk、双机热备功能、事件报警机制并扩充了双向NAT功能。本系统具有非常强大的信息分析功能,高效包过滤功能和反电子欺骗能力,能使用户得到最大限度的安全。⒊安全和设计原理NetEye3.0防火墙是从OSI模型中数据链路层开始层层过滤,限制非法数据包的通过。其总体安全框架为:物理地址-IP地址-身份认证-应用层过滤,分别采用IP/MAC绑定,状态包过滤技术(状态监视技术),身份认证,内容过滤等安全策略。通过这样的数据流程对内部网络进行全面的保护。IP/MAC绑定技术大大方便了网络的IP地址管理,杜绝了内部网IP地址盗用,防止了使用他人的地址在网上发布非法信息、攻击他人主机、破坏网络安全的情况发生;状态包过滤技术不仅对通过防火墙的信息包进行过滤,同时能够依据连接状态信息进行更加全面的过滤;其访问控制功能除了可以根据用户的IP地址进行限制外,还可以根据用户的身份进行限制,并提供了丰富的身份验证手段,支持通过工业标准的Radius协议访问第三方认证服务器,进行口令检验;在应用级实行了内容过滤,主要提供对HTTP、FTP、SMTP等应用的内容过滤,做到了防止外部网络不安全或管理员不希望通过的信息流入内部网络和限制内部网络的重要信息流到外部网络。如图1所示:内容过滤身份认证状态包过滤物理接口IP/MAC绑定物理接口图1防火墙全面防御过程防火墙是构建整个安全体系的核心。NetEye防火墙3.0贯穿内部网络的整个防御过程:NetEye防火墙3.0实行事前检测安全漏洞,可以做到事先防备多种网络攻击手段;NetEye防火墙3.0能够检测到通过防火墙的各种入侵、攻击和异常事件,并以相应的方式通知相关人员,安全员依据这些警报信息及时修改相应的安全策略,重新制定访问控制规则;NetEye防火墙3.0提供审计功能,由安全员分析审计信息,修正策略,制定新的过滤规则。⒋NetEye3.0防火墙的整体分析NetEye3.0防火墙是通过对当今流行的防火墙产品的综合分析,根据防火墙领域里的最新发展趋势,提出的一种具有强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用的安全可靠的专用防火墙系统。NetEye防火墙3.0是一款采用x86架构的服务器,利用安全增强型专有操作系统。在设计上遵循了国际通用标准(cc)的“标记安全等级的防火墙”标准。NetEye防火墙3.0的优点:①先进的核心安全架构,专门为防火墙设计的安全的内核,先进的状态包过滤技术和应用层过滤技术相结合,充分考虑安全性、效率的问题,发挥了状态包过滤性能优势。②高度的网络适应性,实现了代理路由(类似三层交换)的功能,支持路由模式和交换模式。③骨干封装能力,支持VLAN封装协议(ISL和802.1q)。④严格、高效的内容过滤,提供对应用层信息的访问控制。⑤具有高度实时性、可视性和可控性的在线监控功能。⑥高度的自身安全性,无IP特性,全“黑洞”特性。⑦高度的可管理性,人性化的管理系统,为用户增加了制定访问控制规则的向导功能(Wizard)。⑧强大的审计功能,实现了事件日志审计和访问日志审计。⑨双向NAT功能,不仅增加在内部网络中可用IP地址,而且实现了不同区域间的的双向隐藏。⑩方便的升级方式,支持通过管理端进行远端升级。⒌Neteye防火墙福州主要客户:①兴业证券股份有限公司②福建电视台③福建省交通厅④福州大学五、网络拓扑说明六、总体方案图解1、防火墙上共有五块100M网卡,除内网口1、内网口2、外网口、DMZ口之外还一监控口,通过物理隔断保障各关键部门的安全,管理员可根据权限通过该口对防火墙进行配置、管理和监控,也可进行远程管理。2、防火墙基本访问规则:①内网用户根据规则可以合法访问外网及DMZ区;②外网各地分支机构允许根据认证访问内网1和DMZ区服务器开放的服务;外网不允许访问内网2,未经认证的用户不允许访问内往和DMZ。③DMZ服务器向外或向内提供指定端口的服务如:WEB服务,FTP、MAIL服务3、集团用户所有要访问互联网的PC均要添加一个网关指向NETEYE防火墙的内网网口IP;这样所有的PC对外或对DMZ的访问均通过防火墙,防火墙可进行有效的控制、监督和管理。4、防火墙内网口1、内网2、DMZ和外网分别处不同网段。内网口应与内网IP同一个网段,如内网有多个网段可通过掩码或地址映射来设置。七、整体系统运行环境系统硬件防火墙管理PC:WIN2000SERVER系统软件服务器:MicrosoftWindows2000(防火墙管理)防火墙3.0管理软件、客户端认证软件(防火墙自带)网络类型支持TCP/IP协议,FTP协议。八、运行成本及维护●运行成本:价格单位:人民币元安全产品配置/说明硬件配置说明单价NetEye3.050325个端口,32000并发连接,防火墙设备1套,管理端软件1套1U\ISP1100\PIII850\256M\20GIDE\INTEL100x1,INTEL100双口网卡x1120,000●系统安装及售后维护:1、系统免费安装及调试;2、提供免费网络安全培训,强化网管及相关人员安全意识提高安全产品使用技能。3、在系统出现故障,福州市内承诺1小时之内及时响应。4、提供最新的产品更新