防火墙方案建议书(模版).docx

防火墙方案建议书(模版).docx

《防火墙方案建议书(模版).docx》由会员分享，可在线阅读，更多相关《防火墙方案建议书(模版).docx（10页珍藏版）》请在冰豆网上搜索。

XXX公司（组织单位名称）

启明星辰

防火墙方案建议书

— 概述

1项目介绍

介绍用户企业的背景，业务方向，信息安全现状，面临的问题。

举例：

北京邮政局直接担负着中央和国家机关、在京企事业单位、大专院校的邮政通信任务。

下属4个市区邮电局、10个郊县（区）邮政局，8个邮政通信专业局（公司）以及1个科研所和规划设计院等附属单位。

北京邮政局服务面积16808平方公里，服务人口1200多万人；邮电局所总数为611处。

营业窗口每天接待用户50余万人次，处理各类邮件2580万件。

拥有邮政生产车辆1700余辆，邮路总长度达到10万多公理。

目前，北京邮政局与国内2000多个县市、城镇直封报刊，与世界上137个国家和地区的229个城市直接通邮。

是全国最大的国际互换局和发报刊局，发报刊近1600种。

经营的主要业务有：

函件、印刷品、包裹、汇况、特快专递、储蓄、报刊发行和电报、电话等多种代办业务。

北京邮政局作为中国邮政最大的业务局之一，其信息技术局中心机房业务数据通信网不仅负担着北京地区的各种邮政业务，而且承担着部分外省市邮政综合网络的汇接任务。

如此庞大的业务对网络的依赖性可想而知，而且在网上传输的信息可能有涉密信息，

所以其信息安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等都将对北京邮政的安全构成威胁。

为保证北京邮政网络安全，有必要对其网络进行专门安全设计。

2启明星辰公司介绍

公司简介-以最新的为准

二网络安全风险分析

详细分析用户网络所存在的安全隐患。

原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失；另外，加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险可谓日益加重。

瞄准北京邮政网络系统可能存在的安全漏洞，入侵者将会利用各种攻击工具进行扫描及攻击。

这些风险由多种因素引起，与网络系统结构和系统的应用等因素密切相关。

涉及到的安全层面包括物理安全、链路安全、网络安全、系统安全、应用安全及管理安全等方面，我们将对与这次部署防火墙相关的安全问题进行分类描述：

2.1网络结构的安全风险分析

2.1.1非法用户对北京邮政内部主机的安全威胁。

北京邮政网络是一个由邮政储蓄绿卡网、邮政综合网、电子邮政网以及即将建设的综合业务服务平台系统和北京邮政信息大厦办公网互联的大型网络系统，网络结构较为复杂，同时该网络有同Internet相连的通道。

基于Internet公网的开放性、国际性与自由性，内部网络将面临严重的安全威胁。

因为每天黑客都在试图闯入Internet上的节点，如果不保持警惕，很容易被入侵，甚至连黑客怎么闯入都不知道，而且该系统还可能成为黑客入侵其他网络系统的跳板。

影响所及，还可能涉及法律、金融等安全敏感领域。

2.1.2非法用户对北京邮政网络对外服务器的安全威胁

由于北京邮政综合业务服务平台系统以及电子邮政183网提供对外服务，会有非法用户

（入侵者）使用Sniffer等嗅探程序、扫描工具对网络及主机进行扫描进而发现网络、系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放的TCP端口、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。

非法用户

（入侵者）通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。

非法用户（入侵者）通过发送大量

PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。

2.１.3内部局域网带来安全威胁

在已知的网络安全事件中,约70%的攻击是来自内部网。

首先，各节点内部网中用户之间通过网络共享网络资源。

对于常用的操作系统Windows 95/98，其网络共享的数据便是局域网所有用户都可读甚至可写，这样就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下，因此造成信息泄漏。

另外，内部管理人员有意或者无意泄漏系统管理员的用户名、口令等关键信息；泄漏内部网的网络结构以及重要信息的分布情况，甚至存在内部人员编写程序通过网络进行传播，或者故意把黑客程序放在共享资源目录做个陷阱，乘机控制并入侵他人主机。

因此，网络安全不仅要防范外部网，同时更防范内部网。

2.２系统的安全风险分析

系统安全通常是指网络操作系统、应用系统的安全。

对一个网络系统而言，操作系统或应用系统存在不安全因素。

将是黑客攻击得手的关键因素，因黑客攻击某网络系统，一般都是通过攻击软件扫描该网络系统中主机是否存在安全漏洞，通过可利用的安全漏洞进行攻击并控制这台主机，为以后进一步攻击打下基础。

我们都知道，就目前的操作系统或应用

系统来说，无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，都存在着BUG，据统计，在一个1000行程序将有一个BUG，而象Windows 2000操作系统约有三千五百万行至五千万行，其存在多少BUG？

而这些BUG都意味着重大安全隐患，可想而知其安全性如何？

但是从实际应用上，系统的安全程度与对其是否进行安全配置及系统的应用面有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。

因此应正确评估自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案。

2.３应用的安全风险分析

应用的安全涉及很多方面。

应用是动态的。

应用的安全性也是动态的。

这就需要我们对不同的应用，采取相应的安全措施，降低应用的安全风险。

2.３.1电子邮件应用安全

电子邮件是最为广泛的网络应用之一。

内部网用户可够通过拔号或其它方式进行电子邮件发送和接收。

这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等。

由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因素。

2.３.2网上浏览应用安全

网上浏览也是网络系统被入侵的一个不安全因素。

我们都知道，网络具有地域广、自由度大等特点，同时上网的有各种各样的人，网上浏览不安全因素如从网上下载资料可能带来病毒程序或者是特洛伊木马程序；还有利用假冒手段骗取你的关键信息，比如，入侵者首先伪造一个用户登录界面，当你输入用户名及口令时，系统提示你用户名或口令不正确要求重新输入，但其实你第一次输入的也是正确信息，只是第一次信息已经被入侵者传送到他的邮箱中去了，你也就因此泄漏了你的用户名及口令字。

这将对你的主机受到攻击埋下的安全隐患。

2.３.3网上应用的安全

对于北京邮政信息系统，无论是各子网之间的数据传输，还是每个子网内部的通讯都是通过电信部门的线路进行的。

基于Internet的公开性、开放性，此网络将面临着严重的安全问题。

例如：

如何制定合理的访问权限？

使合法用户能进行正常访问，并能阻止非法访问。

如何保证大量保密信息在公开网络的传输过程中不被窃取？

在通讯过程中，如何对双方进行认证，以保证数据通讯的双方身份的正确性？

在通讯完成后，如何保证通讯的任何一方无法否认已发送（接受）过相应的数据，进行抵赖？

所以，对这种网上应用的安全性要进

行充分考虑。

三 天清汉马防火墙方案

3.1需求分析

先说明用户网络、应用系统现状，然后说明针对这些现状对安全接入的各方面需求。

如易用性需求、安全性需求，认证需求、访问控制需求、性能需求、可靠性需求等。

举例：

3.1.1访问控制需求

3.1.1.1非法用户非法访问

非法用户（黑客或商业间谍）对网络的非法访问将给网络带来巨大的安全风险。

例如：

窃取邮政局内部资料、商业秘密、非法删除重要的资料、篡改公司的主页……。

然后非法用户还会把木马等程序拷到邮政局内的主机、服务器上，为下一次入侵打开一扇便利之门。

同时黑客还会把已入侵过的主机作为跳板，通过它入侵其他地方的主机（例如：

政府、银行、证券等）。

所以，必须要采取一定的访问控制手段，防范来自非法用户的非法访问。

3.1.1.2合法用户非授权访问

合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。

一般来说，每个成员的主机系统中，有一部份信息对外开放，而有些信息是要求保密的，它的公开范围是有限的。

外部用户（指北京邮政局内的合法用户）被允许正常访问的一定的信息，如他同时通过一些手段越权访问了网络上不允许他访问的信息，因此而造成他人的信息泄漏。

所以，必须加强访问控制的机制，对服务及访问权限需要进行严格控制。

3.1.1.3假冒合法用户非法访问

从管理上及实际需求上是要求合法用户可正常访问被许可的资源。

但是一些没有获得访问权的人员可能会假冒合法用户的IP地址或用户名等资源进行非法访问。

因此，必需从访问控制上做到防止假冒的非法访问。

3.1.2入侵检测需求

网络安全是整体的，动态的，不是单一产品能够完全实现。

防火墙是实现网络安全最基本、最经济、最有效的措施之一。

它可以对所有的访问进行严格控制（允许、禁止、报警），但防火墙不可能完全防止来自内部网络的攻击和那些绕过防火墙带来的攻击乃至被允许通过防火墙正常访问带来的攻击以及一些新的攻击手段。

所以，确保网络安全还必须采用入侵检测系统，对所有进出内部网络的访问行为进行检查并做相应反应（记录、报警、

阻断）。

星辰防火墙不单可以加装入侵监测模块同时还可以与其他厂家的入侵检测系统联动，使网络的安全性有着更好的保障。

3.1.3安全评估需求

网络系统存在安全漏洞（如安全配置不严密等）和操作系统存在安全漏洞等是入侵者攻击屡屡得手的重要因素。

入侵者通常都是通过一些程序来探测网络中系统中存在的一些安全漏洞，然后通过这些安全漏洞，采取相应技术进行攻击，因此，如何减少各种操作系统和应用系统存在的安全漏洞，也是降低网络安全风险的重要因素。

解决操作系统和应用系统的安全性可以采用相应的安全扫描软件来检测其存在的安全漏洞，对系统进行评估，并建议相应的补救措施。

3.1.4安全服务

一个完整的安全解决方案还必须包括长期的、与项目相关的信息安全服务，包括：

全方位的网络安全咨询、网络安全技术培训；静态的网络安全风险评估；特别事件应急响应等。

对于北京邮政局这样重要的网络，必须更加重视安全服务，通过安全服务来保障整体网络安全真正得以实现。

3.2安全目标

基于以上的需求分析，我们认为对于北京邮政局网络系统必需实现以下安全目标：

Ø既使网络系统正造受攻击也能够保证网络系统继续运行。

Ø确保合法用户使用合法网络资源。

Ø网络的入侵能够被检测并提供日志，以便跟踪和事后追踪。

Ø检测并处理网络安全漏洞，减少可能被黑客利用的不安全因素。

3.3产品选型

项目

参数

网络接口

管理用串口

新建连接数

并发会话数

业务处理速率

吞吐量

MTBF

根据以上需求分析，我们建议选择星辰天清汉马防火墙XXX来满足需求。

XXX主要参数如下表所示：

3产品部署

根据用户需求加入有针对性的拓扑图，并说明如此部署的优点。

举例：

F/W

â[

[

â

F/

13

ЯW

呆贯乗

陆Ｏｗ

/

拦

拦

F

isco406

4防火墙产品介绍

请从技术白皮书中选取

4.1防火墙产品特色

从技术白皮书中依据用户需求的功能进行选择

4.2防火墙产品功能列表

从技术白皮书中依据用户需求的功能进行选择

四 产品报价

根据