資源描述:
《華為USG9500高端防火墻技術(shù)建議書》由會員上傳分享����,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1�����、目錄1概述31」網(wǎng)絡(luò)安全31.2網(wǎng)絡(luò)安全管理32XX網(wǎng)絡(luò)分析32」XX網(wǎng)絡(luò)現(xiàn)狀32.2XXXX網(wǎng)絡(luò)業(yè)務分析42.3XX網(wǎng)絡(luò)安全問題與分析42.4XX網(wǎng)絡(luò)安全需求43華為XX網(wǎng)安全解決方案53」大型IDC中心安全解決方案53.2政府或大型企業(yè)網(wǎng)絡(luò)總部安全防護73.3IPv4向IPv6過渡解決方案錯誤!未定義書簽�。3.4大型IDC中心DDOS安全解決方案錯誤!未定義書簽��。3.5云計算安全解決方案93.60M安全隔離解決方案103.7校園網(wǎng)安全解決方案113.8XX網(wǎng)絡(luò)安全設(shè)備選擇134華為USG9500防火墻214」產(chǎn)品功能214.1.1入侵防御(IPS)錯誤!未定義書
2��、簽�����。4.1.2運營級NAT(CGN)錯誤!未定義書簽����。4.1.3異常流量監(jiān)管(AniDDoS)錯誤!未定義書簽。4.1.4虛擬專用網(wǎng)(VPN)錯誤!未定義書簽。4.1.5安全策略錯誤!未定義書簽��。4.2操作和維護274.2.1系統(tǒng)配置方式274.2.2系統(tǒng)維護管理274.2.3系統(tǒng)業(yè)務與狀態(tài)的跟蹤274.2.4系統(tǒng)測試與診斷274.2.5在線升級284.2.6其他特性284.3網(wǎng)絡(luò)管理284.4WEB配置和管理284.5技術(shù)指標30性能扌旨標304.2遵循的協(xié)議和標準30USG9500各型號產(chǎn)品漿機性能指標30遵循的協(xié)議和標準301概述Internet的普及為社會的
3����、發(fā)展帶來了巨大的推動力,但同時也產(chǎn)生了大量的網(wǎng)絡(luò)安全問題����,越來越受到政府、金融����、教育、電力�、交通等機構(gòu)以及眾多企業(yè)的重視。網(wǎng)絡(luò)安全問題主要包括兩個層面:網(wǎng)絡(luò)本身的安全問題和網(wǎng)絡(luò)安全管理問題����。1.1網(wǎng)絡(luò)安全Internet由于其開放性,使得非常容易遭受攻擊���。隨著攻擊手段的變化多樣而且攻擊工具更容易獲取����,以及基于偎尸網(wǎng)絡(luò)DDoS攻擊的出現(xiàn),使得基于網(wǎng)絡(luò)層的攻擊層出不窮����。主耍的攻擊包括?:ARPFlood>ICMPFloodsIPSpoofingUDPFloodSynflood^Smurf攻擊、Land攻擊�����、超大ICMP攻擊�、Fragile攻擊、PingofDeathTe
4�、arDrop>PingScan、PortScan>IP路由選項攻擊���、Tracert攻擊等等。網(wǎng)絡(luò)層攻擊的目標主要有三個:帶寬攻擊�����、主機或者網(wǎng)絡(luò)設(shè)備攻擊以及入侵前的主機掃描����。帶寬攻擊指通過大量的攻擊數(shù)據(jù)包占用正常業(yè)務數(shù)據(jù)的帶寬,導致網(wǎng)絡(luò)帶寬擁擠�����,正常業(yè)務受到影響;主機或者網(wǎng)絡(luò)設(shè)備攻擊指的是攻擊者通過攻擊主機或者網(wǎng)絡(luò)設(shè)備的某個應用端口導致被攻擊設(shè)備處理不過來或者癱瘓使其不能處理正常業(yè)務數(shù)據(jù)�����;主機掃描指的是黑客在入侵Z前通過IP或者端口掃描獲取網(wǎng)絡(luò)屮活動的主機信息��,為下一步入侵提供必要的信息��。1.2網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全安全管理指的是企業(yè)對口身的網(wǎng)絡(luò)資源進行有效的安全區(qū)域��、
5����、等級劃分,使得在網(wǎng)絡(luò)安全運行的基礎(chǔ)上��,促進企業(yè)自身的信息安全管理水平�����,更好的保證企業(yè)正常運作�。安全區(qū)域指的是在網(wǎng)絡(luò)中擁有相同網(wǎng)絡(luò)資源訪問權(quán)限的主機集合,安全區(qū)域的劃分主要依據(jù)企業(yè)內(nèi)部部門的劃分�����,例如財務部門、研發(fā)部門�、市場部門分別劃分為三個不同安全等級的安全區(qū)域。將一個企業(yè)進行清晰的安全區(qū)域劃分���,大大簡化了企業(yè)的網(wǎng)絡(luò)資源控制與管理�����,在此基礎(chǔ)上�����,實施適合企業(yè)管理要求的安全策略管理���,提高企業(yè)信息安全管理水平。2XX網(wǎng)絡(luò)分析2.1XX網(wǎng)絡(luò)現(xiàn)狀[此部分主要包扌舌兩個部分(注意:要給岀網(wǎng)絡(luò)的吞吐量,一般在10G流量以上,需要提供多個10G接口的時候使用USG9500產(chǎn)品,一般
6����、10-20G采用USG9520,一般10-80G采用USG9560,80_160G采用USG9580)�;1.XX網(wǎng)絡(luò)拓撲圖,如果是新建網(wǎng)絡(luò)��,則提供沒有安全設(shè)備的網(wǎng)絡(luò)拓撲圖,用來進行安全方案的分析。1.XX網(wǎng)絡(luò)承載的業(yè)務,主要是內(nèi)部業(yè)務以及出口網(wǎng)絡(luò)業(yè)務]1.2XXXX網(wǎng)絡(luò)業(yè)務分析[給出現(xiàn)網(wǎng)的業(yè)務流分析圖,使得客戶對現(xiàn)有網(wǎng)絡(luò)安全問題理解的更加清晰�、1.3XX網(wǎng)絡(luò)安全問題與分析[此部分主要包扌舌以下兒個部分(主要根據(jù)與客戶的溝通以及我們自己的分析給出):1.XX網(wǎng)絡(luò)出口安全隱患:DoS攻擊,端口掃描4.XX網(wǎng)絡(luò)業(yè)務安全隱患:需要對?不同安全區(qū)域的業(yè)務進行過濾,豐富管理手段
7、5.XX網(wǎng)絡(luò)接入問題:設(shè)備提供豐富的VPN接入功能,實現(xiàn)安全訪問控制�����。7.XX網(wǎng)絡(luò)地址轉(zhuǎn)換問題:專業(yè)的NAT設(shè)備,具有良好的性能以及靈活的策略NAT功能,以及豐富的NATALG功能���。8.XX網(wǎng)絡(luò)NAT事后追蹤:由于NAT隱藏了內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu),使得內(nèi)部訪問外網(wǎng)出現(xiàn)社會安全事件時,事后追蹤措施變得極為重要�。華為提供專用的日志服務器,二進制的NATH志存儲��、查詢?yōu)槭潞笞粉櫶峁┲匾募夹g(shù)手段��。1.4XX網(wǎng)絡(luò)安全需求I新增統(tǒng)一安全網(wǎng)關(guān),用以滿足XX網(wǎng)絡(luò)以下需求(根據(jù)XX網(wǎng)絡(luò)安全問題與分析給出需求):1.防范網(wǎng)絡(luò)攻擊:在網(wǎng)絡(luò)出口和不同的安全區(qū)域之間啟用網(wǎng)絡(luò)攻擊防范,防止外網(wǎng)
