网络安全整体解决方案Word文档下载推荐.doc
- 文档编号:15523778
- 上传时间:2022-11-03
- 格式:DOC
- 页数:15
- 大小:147KB
网络安全整体解决方案Word文档下载推荐.doc
《网络安全整体解决方案Word文档下载推荐.doc》由会员分享,可在线阅读,更多相关《网络安全整体解决方案Word文档下载推荐.doc(15页珍藏版)》请在冰豆网上搜索。
第一、随着电脑数量的增加,如果网络不划分VLAN,所有的PC都在一个广播域内,万一网内有一台PC中了ARP,那么将影响到整个网络的稳定;
第二、各类服务器是企业重要数据所在,而服务器如果不采取一定的保护机制,则会经常遭受来自内外网病毒及其它黑客的攻击,导致服务器不能正常工作及信息泄露,经企业带来不可估量的损失;
第三、网络没有网管型的设备,无法对网络进行有效的控制,使网络管理员心有余力而力不从心,往往是事倍功半,如无法控制P2P软件下载而占用网络带宽;
无法限制QQ、MSN、SKYPE等即时聊天软件;
网管员无法对网络内的流量进行控制,造成网络资源的使用浪费;
第四、企业有分支机构、移动办公人员,无法与总部互动、访问总部K3、ERP等重要数据资源,从而不能及时获取办公所需数据。
综上分析,珠海市网佳科技有限公司按照企业目前网络情况,有针对性地实施网络安全方面的措施,为网络的正常运行及服务器数据的安全性做好前期工作。
第2章总体设计
根据珠海市网佳科技有限公司的实际网络情况,结合目前的具体需求,从以下几个层面来为珠海市网佳科技有限公司设计一个以硬件防火墙为主体的网络安全解决方案,保障珠海市网佳科技有限公司网络的正常运行及服务器的安全。
公司网络的大致结构是:
光纤-路由器-交换机-PC,公司大概有200多台电脑,根据公司目前的网络规模及上面的分析,现提出以下整体解决方案。
1.在网络出口处架构一台硬件防火墙,以防止非法攻击
2.在每台PC上安装内网行为管理软件,对每台PC实施应用程序管理、屏幕监控、上网策略管理等
第3章防火墙方案
本方案建议采用国康防火墙.根据公司的网络结构,适合的型号是FX-500。
通过前面的分析与需求,国康防火墙可以达到贵公司现在所需解决的问题,具体表现如下:
l下载安装游戏软件;
用QQ与MSN聊天造成工作效率低下;
主动或被动的浏览色情网站;
BT疯狂下载电影、在线听歌、QQ直播,造成网络带宽堵塞;
同时网络管理员需要只允许访问固定网站或屏蔽某些网站。
l员工上网管理:
自定义时间开放网上聊天、游戏、查询股票项目。
l有效保护对外发布的WEB、FTP、邮件服务器。
防止黑客入侵篡改网站信息,发布反动黄色内容帖子。
对从内到外及从外到内的网络访问做好有效的日志记录,以备网监处查询。
l对网络整体进行流量限制
l防止ARP欺骗现象的发生,当发生欺骗现象时,可以通过防火墙日志端快速的查找到ARP欺骗源头所在,保障网络正常运行。
l可以实现移动办公,通过防火墙内置的各种VPN(PPTP、L2TPVPN、IPSecVPN、SSLVPN)功能,即使出差在外,也可方便地访问公司内部ERP服务器资源。
lIP/MAC地址绑定,防止员工随意更改IP地址,造成网络内地址冲突现象而发生网络中断,使网管员方便管理规划网内IP地址资源。
3.1本方案的网络拓扑结构
建议的网络拓扑结构
1、珠海市网佳科技有限公司整体处于安全区域内,对公司内部发布的服务器起到保护,有效防护外部攻击。
2、可对网络限制整体流量.
3、可以随意封堵QQ.MSN,YAHOO通等即时聊天软件.
4、可以整体控制BT、电驴、迅雷等下载软件占据大量带宽。
5、可以对公司的数据进行安全过滤。
6、防火墙的设置简单化,特别是没有专职网管的公司,为管理者带来极大的方便。
7、增加了SSLVPN功能,极其简化的设置方式,只需要用户名、密码、服务器IP三个参数即能轻松完成配置。
为远程拨入的移动客户端,提供了方便。
8、强大的日志审计,完成了对实时流量监控,对ARP、蠕虫病毒的监控,对客户端上网记录的监控等。
3.3本方案的产品特色
防火墙特色功能
l灵活的管理界面,面象对象的管理
l多WAN口链路负载均衡---网通电信线路智能判断
lPPPOE拨号功能,彻底解决ARP病毒
l实名上网功能,无需安装插件
l多动态域名互为备份
l应用路由功能,可设置某种协议流量走特定的外网口
l可屏蔽内网客户端发贴
IPSEC/SSLVPN功能:
l可基于路由、透明、单臂模式部署,不改变客户网络结构;
l支持以口令或口令加证书USBKey的方式进行身份验证;
内置CA中心
lVPN帐号可以和特定的机器特征自动绑定;
l灵活的应用发布机制和权限分布机制;
支持B/S、C/S和T/S应用程序;
l灵活的安全策略,方便用户远程访问;
l完善的日志和报表;
l解决多种宽带网络间互访“南北不通”问题;
l支持低宽带条件下的数据实时压缩,最高可提高50%的数据传输速率;
lTCP/IP协议优化,集成了数据压缩技术
l穿透性好,支持移动、电信3G网络
终端管理功能:
lUSB存储设备认证与加密
l外联监控
l外设控制
l共享目录监控
l硬件变更监控、软件监控
l进程监控
l离线策略
l资产管理
l软件分发
l网络访问控制
l远程桌面管理、定时截屏功能
流量控制功能
l客户端连接数控制
l针对IP/地址段设置带宽
l识别控制P2P软件和加密P2P数据
l当有多余带宽,允许突破限制,充分利用带宽
l实时显示各客户端连接数、收发包量、速率、累计流量
l流控对应到人
l强大的流量分析日志及图形报表
行为管理功能:
l网站分类封堵,支持自定义组、通配符定义域名
lQQ号管理、只有指定的QQ号才能登陆
l封堵MSN、YahooMessage、AIM、IRC
l与终端管理结合,可监控聊天记录
l讯雷、BT、电驴等P2P软件按协议封堵
l游戏、远程控制软件、VOIP等非法软件封堵
l禁止从内到外或从外到内POST提交发贴、上下传文件
l禁止通过SOCKS、HttpConnect代理方法访问外面数据
第4章内网行为管理方案
4.1宝内网安全管理系统介绍
完整的国康防水墙由三部分组成,服务器模块、监控端模块和客户端模块。
客户端模块安装在每一台需要被监视的计算机上。
服务器模块用来存储和管理所有安装有客户端模块的计算机,用于管理监视所产生的资料,一般安装在一台具有高性能CPU和大容量内存的用作服务器的计算机上。
监控端模块主要用于监视每台安装有客户端模块的计算机及查看历史记录,一般安装在公司的管理人员的计算机上,也可以和服务器模块安装在同一台计算机上。
系统的基本框架如下图所示:
4.2内网管理系统主要功能
1、内网管理系统安全、卓越的系统性能:
控制台与服务器端及客户端代理之间的控制信息都通过加密通信
服务器端与客户端代理之间进行认证,防止未获授权使用
对非法接入的主机可切断其与内部安装过客户端代理主机之间的联系
本地用户不能自行卸载、关闭客户端代理程序
管理权限分级,利于分级控制
登录应用了严格的身份认证,保障系统的管理安全
客户端、服务器及控制台间的数据传输全部采用加密传输方式,防止传输的数据被窃听
在终端PC上运行的客户端软件采用了透明模式
客户端软件采集数据信息不影响终端PC的使用性能
传输中的数据经过特殊压缩,对网络带宽的占用非常少
备份和恢复服务器数据库中的信息,保证历史记录的方便查阅
2、内网管理系统对企业的帮助:
l保护机密商业资料
详细记录文件操作(访问、修改、删除等)
记录文件操作时的屏幕
对移动存储设备的灵活管理
对设备端口的管理
l规范员工的上班行为
限制与工作无关应用程序的使用
禁止浏览工作无关网站
对违规行为的报警
l客观评估员工工作状态
详细记录员工使用的应用程序
详细记录员工浏览的网页
员工使用电脑情况图表分析
l方便的电脑资产管理
自动获取电脑硬件设备清单
自动获取电脑安装的应用程序
协助企业管理者的工作
l灵活完善的规则设定
完善丰富的报表功能
严格的权限管理
追踪重要事件
记录电脑屏幕,直观察看员工的电脑操作记录
设置报警,查询员工的违规行为
3、内网管理系统的主要功能:
内网管理系统包括了下列的六大功能模块:
网络监视模块、网络管理模块、网络报警模块、软硬件资产管理模块、补丁管理和软件分发、远程桌面管理。
1、网络监视模块:
根据设定的安全控制策略,对受控对象的活动进行全面的审计,为事后了解和判断网络安全事故提供了宝贵的资料,具体功能如下:
文件操作的审计;
屏幕记录;
应用程序的审计;
Internet访问的审计;
网络通讯协议;
报警信息的审计;
打印机使用的审计;
网络文件访问的审计;
硬件变动的审计;
软件变动的审计;
IP/Mac地址的变动审计;
用户的变动审计;
非法笔记本电脑接入的审计;
非法拨号的设计;
客户端超时不连接的审计;
2、网络管理模块:
网络管理模块通过具有针对性的监控规则的设置,自动阻止非法操作和实现应用统计,具体功能如下:
禁止或只允许浏览的指定网站;
禁止使用指定的应用程序;
禁止使用外设如(USB存储设备、USB端口、软驱、刻录机、磁带驱动器、串口、并口、调制解调器、SCSI、1394总线、红外通讯设备,以及笔记本电脑使用的PCMCIA卡接口);
内网管理模块对电脑的使用进行具体统计,提高工作效率。
浏览网站状况统计(列表、柱状图、饼状图);
应用软件使用统计(列表、柱状图、饼状图);
3、网络报警模块:
网络监控模块通过具有针对性的监控规则的设置,并且可以向控制台发出报警信息,报警内容有:
非法对指定文件/文件夹操作报警;
非法使用指定的应用程序报警;
硬件变动的报警;
软件变动的报警;
IP/Mac地址的变动报警;
用户的变动报警;
非法计算机接入的报警;
非法拨号的报警;
客户端超时不连接的报警。
4、软硬件资产管理模块:
软硬件管理模块可以对整个局域网内的电脑的软硬件资产进行统计。
5、补丁管理和软件分发:
可以随时统计出操作系统补丁的安装情况,并对未安装重要补丁程序的计算机统一批量安装;
提供统一的应用软件派发功能,使得批量软件安装这一费时费
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 整体 解决方案
![提示](https://static.bdocx.com/images/bang_tan.gif)