透明的。
? 自动在线升级
病毒过滤网关可以按照管理员设定的更新策略自动连接到厂商的升级服务器,升级最新的病毒库,保证网络得到最有效的防病毒保护。
? 统计报表功能
防病毒网关提供了详细的报告,能够按照用户配置的参数查询相关的数据生成多种格式的图形化统计报表,形象直观,方便管理员的管理工作。报表中可以记录病毒的数目,主要病毒所占比例等信息,并且可以记录所有的网络活动情况。这些数据可以帮助管理员更好的规划网络需求和对防病毒网关进行配置。同时,这些用户需要的报表可以发送到管理员预先配置的邮箱,以供进一步的信息查询。
? 强大的监控功能
防病毒网关提供强大的监控功能,可以监控过滤网关系统资源、网络流量、当前会话数、当前病毒扫描信息等,极大地方便管理员对过滤网关进行监控。
? 报警功能
报警配置用于当某个病毒突然爆发时,防病毒网关可向网络管理员发送报警信息。
? 内置Bypass功能
利用防病毒网关内置的硬件BYPASS功能,当设备出现软件、硬件及电源故障时快速、自动切换到直通状态的功能,保障网络可用性。
通过部署网关防病毒设备,以解决桌面杀毒软件无法解决的防病毒难题:
? 检测阻断SQLSlammer等的新型蠕虫的功击,这是传统的防病毒软件
所做不到的。
? 防病毒软件部署率不高,有漏装
? 防病毒软件病毒特征码没有及时更新或者禁用 ? 防病毒软件配置不当影响了防病毒的能力 ? 客户机及服务器没有及时安装系统补丁
使用网关防病毒设备和网络版防病毒软件配合工作形成整体的防病毒体。
长沙天融信网络安全技术有限公司 第 16 页 共 42 页
4.6. 安全隔离与信息交换系统的设计
考虑XX火电建设公司内部网与外部网相连的安全风险,就必须先对内、外网进行隔离并做访问控制。隔离要求在国内首先由国家保密局提出并且已经严格在涉密网内执行,而隔离交换技术目前也已经在技术上取得了实质的突破并在网络安全领域内受到了广泛关注。
国保金泰安全隔离与信息交换系统工作在内部网络和外网交换机之间,即处于内部网络的网关位置。国保金泰安全隔离与信息交换系统(安全隔离网闸)可以截获所有在网络上传输的数据包,并通过解析数据包头来判断信息的流向,进而将数据包头状态在本地保存,并将数据包中不包含连接信息的纯数据部分通过硬件映射隔离技术(HRI?)在内外网间进行纯数据交换,然后根据数据需要重新构造连接信息,保障系统运行在高安全性和保密性的状态下。
建议在XX火电建设公司在办公网核心交换机出口与省公司广域网之间部署一台国保金泰安全隔离与信息交换系统,以保证对内外网之间的通路进行控制,纯数据将通过国保金泰安全隔离与信息交换系统根据实际要求重新构造成网络数据包,以屏蔽不安全的连接控制信息。由于内、外网间并不存在网络连接,所以诸如后门、木马等基于网络的攻击无法穿透国保金泰安全隔离与信息交换系统,同时外部数据进入网络内部也必须有内部请求相对应,加上内容检查,避免了黑客利用HTTP等应用协议的漏洞进行主动攻击,也在一定程度上做到了对未知攻击的免疫。
5. 安全建设效果
根据XX火电建设公司的网络现状、应用特点,本方案通过网络安全防护、系统安全防护、安全管理三个方面进行建设,从而满足XX火电建设公司在网络层、系统层、管理层三个层面的安全需求,实现以下的建设目标:
在网络安全方面实现的建设目标为:
保障XX火电建设公司的安全可靠运行;保证XX火电建设公司通信的正常
长沙天融信网络安全技术有限公司 第 17 页 共 42 页
进行,以及保障在网络上传输的信息的安全,包括:
? 利用天融信Top VPN 6000多合一网关和VRC客户端实现XX火电建设公司
与各项目部、移动用户之间对内网的安全互访,并对传输的数据进行加密保护; ? 采用入侵防御系统,实现了2~7层的应用识别分类、对所有有害流量进行检
测、阻断。卓越的入侵防御产品同时具备高性能、高检测阻断能力。 ? 内网管理与准入技术的应用,通过盈高安全准入控制系统有效地实施全局网络
配置和安全管理、监控策略,实现了真正的统一安全策略。
? 通过使用网关防病毒设备和网络版防病毒软件配合工作形成立体的防病毒体
系;
三分技术七分管理,所以我们要充分利用多种技术的基础上,严格执行管理条例,形成覆盖XX火电建设公司的安全防护体系,全面保障XX火电建设公司的机密性、完整性和可用性。
长沙天融信网络安全技术有限公司 第 18 页 共 42 页
6. 设备配置清单
6.1. XX火电建设公司安全产品清单
序号 1 设备名称 品牌型号 用途及使用地点 单位 数量 VPN网关 网络入侵防御系统 内网管理与安全准入控制 杀病毒系统 防病毒网关 安全隔离与信网络卫士多合一VPN网关Top VPN XX火电建设公司外网出口,提供分6000 TopIDP 3000 网络安全准入控制系统MSAC-500E 江民网络版 TopFilter 7000 支机构和出差移动用户安全接入 XX火电建设公司核心服务器区入口用于防御监测黑客入侵 XX火电建设公司网络内网管理和安全准入控制 对服务器和PC进行病毒防护 核心交换机网络入口,用于过滤外来病毒 台 1 2 台 1 3 4 5 套 套 台 1 1 1 6 息交换系统(安全隔离网闸) 国保金泰IGap-500 内网核心交换机出口,与省公司广域网安全隔离 台 1 长沙天融信网络安全技术有限公司 第 19 页 共 42 页
7. 安全产品说明
7.1. 天融信TOPVPN 6000网关简介
TOPVPN 6000网关基于天融信具有自主知识产权的TOS(Topsec Operating System)系统平台,同时依靠天融信在防火墙系列产品上的技术积累,在VPN产品内部嵌入了基本的防火墙功能模块,采用了天融信独创的OS内核检测等多项专利安全技术,形成了集防火墙、IPSEC VPN、入侵检测、身份认证等多种功能一体化的高效率平台。
? 自主安全操作系统平台
采用自主知识产权的安全操作系统 — TOS(Topsec Operating System),TOS拥有优秀的模块化设计架构,有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。
TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。
? 多种VPN技术有机融合
前面已经分析了目前主流的各种VPN技术的优缺点,这些技术有其不同的适用范围。在实际的用户网络中,不同的用户需求往往需要多种VPN技术综合应用,在这种情况下往往需要用户购买多台不同的VPN设备来满足需求,这既浪费资源又带来用户管理维护的工作量,同时网络环境变得更加复杂,网络运行的稳定性和安全性都会面临新的挑战。
网络卫士VPN多合一网关是天融信公司在多年各种独立的VPN产品研发和销售的基础上,推出的一款融合IPSEC/SSL/PPTP/L2TP等多种VPN技术的综合安全网关产品。在TOS平台强大的整合能力保障下,各种VPN模块进行了有机
长沙天融信网络安全技术有限公司 第 20 页 共 42 页