1、天津师范大学心理学研究所安全解决方案项目 简要描述数量多功能网关中心端多功能网关100内网用户数300包含防火墙、VPN、IPS入侵保护、防垃圾邮件、内容过滤、访问跟踪六大功能具体见附表11台安全效劳重新规划IP;划VLAN;了解内网常用端口、效劳、协议,重新严谨配置阿姆瑞特防火墙策略,关闭病毒、攻击常用端口,提高安全性;检查效劳器及工作站安全配置,实现ip,mac双向绑定4人天总价上述产品需完成以下任务或具备以下功能:师范大学心理学院目前计算机节点大约150台左右,目前网络中没有相关IPS,IDS入侵检测,流量管理类设备,网络IP地址管理比拟混乱,没有一套日志审计系统。学院的IT管理者如何及
2、时了解网络运行状况、作出分析、发现可能存在的问题如违规访问、资源滥用、泄密、ARP欺骗等,并进行故障快速定位等,组织IT管理者面临的问题包括: 1、网络效能和行为进行统计、分析、审计2、网关杀毒,挂马或者有病毒的网站挡在内网之外3、封堵BT、PPLive等P2P行为,并进行流控,提升网速和带宽效率4、防范用户“主动下载病毒、木马、恶意软件5、杜绝通过Email、MSN等途径潜在的泄密或者反动言论行为6、防止恶意发帖、反动言论等法律问题,并在发生问题时有据可查7、防止非法接入内部网络即准入系统,窃取内部资源或者感染病毒 师范大学心理学院目前网络图如下所示: 目前的网络由一台阿姆瑞特防火墙代理下面
3、计算机上网。接入点分别通过本楼层交换机连接此防火墙上网,机房和web效劳器通过一台交换机连接此防火墙。由于所有交换机都连接在防火墙上,所有路由交换都要通过防火墙的封装,对防火墙性能要求比拟苛刻,容易使防火墙负荷,管理上也不太方便。对内网的管理没有一套完整的数据中心来审计内网的操作,一旦发证ARP或者其他类攻击时间,不利于排查。在满足需求、保持网络互联互通的根底上,方案实施分作以下几个步骤:1、 合理分配IP地址,采用静态IP地址;控制IP段,防止IP的随意使用;2、 网络重新规划,原连接在防火墙上的接入层交换机,现连接AC设备下端的交换机,提高内网互访速度; 3、 了解内网常用端口、效劳、协议
4、,重新严谨配置阿姆瑞特防火墙策略,关闭病毒、攻击常用端口,提高安全性;4、 安装相应设备,采用网桥模式,启用准入策略,上网行为管理及审计、数据中心等功能; 四、方案设计设计原那么:要求网络技术运行稳定、可靠,在拓扑结构上具有开放性和可扩展性,同时简明清晰;具有较好的网络安全防范和网络管理能力;在功能上应满足各网段的互连互通,对内网每一个计算机节点审计、管理。针对以上问题建议改变网络结构如下: 针对以上问题,解决方案应具备一下作用: 基于 IP-MAC 的用户身份认证功能在我们网络中,经常会因为ARP病毒,导致内网网络中断。通过IP-MAC绑定身份认证功能不仅解决IP地址管理问题。同时有效防止了
5、ARP病毒。 上网行为管理功能和上网行为审计 a) 可对该组的上网人员所访问的网址分类过滤,可设定什么时候可以访问什么样的网站。可提高员工工作效率;可保护未成年人访问不良网站。 b) 可限制该组的上网人员不能在搜索引擎里搜索那些关键定?如:法轮功。可躲避法律风险。 c) 可限制该组的上网人员不能在 BBS、网页邮件上发送什么样类型的关键字。如:法轮大法。可躲避法律风险。 d) 可以限制该组的上网人员不能下载上传那些类型的文件,如:不允许下载MP3、RM、AVI等文件。 邮件过滤功能 Sinfor AC 的邮件过滤功能分为对用户通过 SMTP 协议发送邮件的过滤和用户通过POP3协议接收邮件的过
6、滤。对用户发送的邮件进行关键字过滤,防止内部发一些带有反动言论的邮件,给学院造成不良影响。 限制P2P软件-提升网速,带宽效率 Sinfor AC 的深度内容检测功能,可实现封堵 BT、eMule、SkyPE 等P2P软件,提升网速,保障关键业务。 流量控制与实时检测 把我们内网计算机根据本门不同或者权限不同划分不同的组,进行带宽合理化分配,充分实现带宽价值。实时检测网络中的各种协议流量所占用比列,分析网络各种存在的安全威胁。我们IT管理者可以通过协议占用比例来分析是否为异常流量,是否存在ARP,DOS/DDOS攻击等情况。 客户端安全准入功能 Sinfor AC 具有对上网的终端进行安全检查
7、的功能,可检查上网的终端机器是 否安装了防病毒软件、个人防火墙软件或病毒库是否升级、操作系统是否安装安全 补丁等。SinforAC的准入系统功能还可以检查用户上网的终端机器上是否运行了 某个不该运行的软件,如:代理别人上网的软件、游戏软件等,如果发现上述情况, 可以选择封堵该用户上网并报告管理员或不封堵用户上网但记录日志上报管理员。 网关杀毒功能 通过Sinfor AC 是集成的防病毒引擎对常用协议进行扫描,实时检测病毒,挂马等威胁,并实时阻断带有病毒的网络访问。 日志审计 -记录内网计算机在网络上进行的所有操作实时查看哪些计算机触发了防火墙规那么,准入规那么,或者最近是否存在攻击事件,异常流
8、量。针对某一台PC是否流量异常,分析是因为ARP病毒还是蓄意攻击。对网络的状况有一个宏观的了解。附表1:重要性能指标: 吞吐速度:100M bps并发会话数目:300,000转发时延:0.1 ms网络接口: 局域网接口:100BASE-T (RJ-45) x 2 广域网接口:100BASE-T (RJ-45) x 2 扩展接口:无 串口:RS232x1 电源: 输入电压:180-240V 冗余电源:无环境: 工作环境温度:-545 环境相对湿度:590%,非冷凝硬件规格: 尺寸(cm):42.7(W)32.9(D)4.45(H) 重量:4.5Kg 标准1U机架式结构2、功能要求介绍类功能详细指
9、标访问控制危险网站阻隔用户可自定义对色情、病毒、钓鱼网站的阻隔访问访问控制策略提供基于组、时间、效劳、网址策略、内容策略等多种对象组合的安全访问控制策略P2P拦截使用深度内容检测技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔用户认证提供Web认证功能,提供本地用户数据库和LDAP,Radius用户数据集成功能文件上传下载控制对Http、Ftp文件上传、下载类型和大小进行控制,也能对QQ,MSN等P2P软件的文件传送进行拦截IPMAC绑定提供灵活的IPMAC绑定策略代理识别功能能识别采用Http,Https,Socks等代理效劳器绕过防火墙检查的行为,从而进行阻断敏感数据
10、拦截对Http、Ftp、Smtp、Imap等应用协议做敏感数据拦截,以防泄密或引起法律纠纷访问审计邮件延迟审计对外发邮件进行延缓慢存,审计后才能发出,确保信息资产不外泄实时监控实时监控用户的上网行为。访问监控监控用户所有的上网记录,包括Web访问、Ftp、Telnet、邮件含Webmail及附件、QQ、MSN、ICQ、Yahoo Message等流行IM的数据。以防止信息泄密。流量分析能按用户、协议和时间对Internet流量进行统计分析,以优化员工对Internet的资源使用情况。管理功能管理员权限权限粒度细致,分级管理本地管理GUI方式远程管理GUI方式配置备份使用加密的配置文件进行配置备
11、份和分发Firmware升级通过远程升级Firmware获得更新的软件版本和更多功能模块高可靠设计自动恢复看门狗提供自动恢复功能,配置恢复功能双机备份支持双机备份功能多线路备份支持24条线路的备份日志日志容量可以使用独立的日志效劳器,容量无限制。日志备份支持自动定时备份日志导入支持转换日志为标准的TXT文件,便于导入到MS SQL或ORACLE数据库进行二次开发和分析数据中心可用SINFOR 独立的数据中心进行详细的分析网络特性支持的Internet接口PSTN/ISDN ADSL/xDSL Cable Modem DDN/ATM WLAN支持的协议IPv4、IPv6网络分区WAN、DMZ、LAN多线路支持支持2-4条Internet线路的负载均衡和备份,提供智能选择最优线路等多种负载均衡策略工作方式路由模式、透明模式7