5. 利用灵活多样的告警手段(告警,日志,SNMP陷阱等)实现对违规行
为的告警;
3.3 安全产品配置和报价
配置方案一(推荐方案)
产品型号 产品描述 部署地点 数量 产品单价 (人民币) 企业级百兆防火墙,1U机箱,处理能力400M,标XX单位信配4个10/100M 息中心 自适应RJ45接口 1 68,000 备注说明 网御神州 SecGate 3600-F3 配置方案二(经济型方案)
产品型号 产品描述 部署地点 数量 产品单价 (人民币) 小型企业百兆防火墙,1U机箱,处理能力XX单位信150M ,标配7息中心 个10/100M 自适应RJ45接口(4个交换口) 备注说明 网御神州 SecGate 3600-F2 1 38,000 3.4 安全产品推荐
根据XX单位网络现状以及对安全产品的安全需求,本方案推荐在使用网御神州的SecGate 3600-F系列百兆级防火墙,该防火墙是基于状态检测包过滤和使用级代理的复合型硬件防火墙,是专门面向大中型企业、政府、军队、高校等用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、网络访问权限控制、网络流量监控和带宽管理、网页内容过滤、邮件内容过滤等功能,能够有效地保证网络的安全;产品提供灵活的网络路由/桥接能力,支持策略路由,多出
口链路聚合;提供多种智能分析和管理手段,支持邮件告警,支持日志审计,提供全面的网络管理监控,协助网络管理员完成网络的安全管理。
SecGate3600-F防火墙六大特色
1、独立的SecOS安全协议栈
完全自主知识产权的SecOS实现防火墙的控制层和数据转发层分离,全模块化设计,实现独立的安全协议栈,消除了因操作系统漏洞带来的安全性问题,以及操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的更换带来的重复开发问题。由于采用先进的设计理念,使该SecOS具有更高的安全性、开放性、扩展性和可移植性。
使用软件 配置管理 控制接口 SecOS安全协议栈 硬件抽象层 图 3.1 SecGate 3600-F防火墙体系架构图
2、独创的智能高效搜索算法
采用独创的分段直接寻址搜索算法MSDAL(Multi-Stage Direct Addressing Lookup Algorithm),解决了传统防火墙随着安全策略数的增加其性能逐渐下降的问题,确保您在大量安全策略数目情况下仍能获取最高的网络性能! 3、深度的网络行为关联分析
采用数据包内容的深度网络行为关联分析技术,让您不再为各种专有动态协议如H.323、FTP、SQL.Net等的控制“愁眉不展”!并且增强了您的网络对于各种DDoS攻击的防范能力!
4、全面的连接状态监控和实时阻断
全面的连接状态监控,让您及时掌握网络运行状态,配合丰富的连接限制,方便您对BT/电驴等P2P使用的控制,以及对感染网络蠕虫病毒的主机进行快速
定位和实时阻断!
5、强大的网络拓扑自适应性
适应于各种复杂网络拓扑,包括透明桥接、路由以及桥和路由完全自适应识别模式。支持VLAN和VLAN TRUNK处理;支持多网络出口的链路聚合和策略路由;支持生成树和每VLAN生成树协议(STP/PVST+)和虚拟路由冗余协议(VRRP),提供全面可靠的二层链路备份和三层路由备份。 6、智能便捷的配置向导和管理方式
为安全管理员提供智能便捷的配置向导,让您轻松完成复杂的安全配置!并提供丰富的管理方式,包括本地Console,拨号PPP接入,基于Web(HTTPS)浏览器,远程SSH登录,以及强大的SecFox集中安全管理方式。 主要功能列表:
功能分类 状态检测 功能概要 针对TCP/IP协议的TCP/UDP/ICMP数据包,实现完整的状态包过滤,完全达到GB/T-18019《包过滤防火墙技术要求》的要求。 针对动态协议(包括但不限于H.323、FTP、 TFTP 、Oracle TNS、SIP等智能过滤 通信协议),提供基于协议分析的智能化动态包过滤功能,实时开闭使用程序动态协商的TCP/UDP端口,最大程度地提升防火墙的安全性。 支持动态地址转换,包括多对一的地址转换,多对多的地址转换。 支持静态地址转换,包括对内部服务器提供一对一的地址转换。 地址转换 支持双向地址转换,满足对等网络间双方隐藏内部IP地址的要求。 支持基于下一跳路由的地址转换,满足多出口网络地址转换负载均衡的要求。 支持将内部提供不同服务的多个服务器地址映射成外部相同地址下的不同端口映射 端口,在端口映射状态下,可同时提供多种安全的网络服务。 支持对内部镜像服务器访问的负载均衡 提供基于TCP的HTTP代理、SMTP代理、FTP代理、TELNET代理、POP3使用代理 代理以及基于策略的通用代理。 支持在透明代理下基于HTTP、FTP、SMTP、POP3协议的内容过滤。 针对HTTP,对网页中java、javascrip、activeX进行过滤。 内容过滤 针对SMTP、POP3,基于发信人地址、收信人地址、收信人数、文件大小、邮件主题、正文内容、发件人姓名、收件人姓名、附件文件名、附件内容等进行关键字匹配过滤。
功能分类 功能概要 在状态包过滤方式下,支持URL过滤和特殊代码剥离,并支持黑/白名单过滤策略。 提供保护主机、保护服务、限制主机、限制服务。保护服务器或服务器上提供的某项服务,限制对服务器过于频繁的访问。在规定的时间内,如果连接管理 某台主机访问服务器超过了所限制的次数,则会对该主机实行阻断,在阻断时间段内,拒绝其对服务器的所有访问。也可以使用此功能对使用BT/电驴等连接数目过大严重影响网络流量的用户加以限制。 支持网络协议层用户认证,可以为包过滤、双向NAT、代理等访问控制提供用户认证功能。 提供基于电子钥匙的用户身份认证。 支持用户和组管理,支持用户策略控制(源IP绑定、可访问目的IP和服务),支持对用户帐号的流量控制和时间控制。 用户认证 提供和标准radius服务器(PAP)联动的用户认证。 提供本地认证库实现基于角色的用户策略,并和安全规则策略配合完成强访问控制。 支持PAP 和S/Key认证协议。 提供在线用户监控功能。 支持安全规则时间调度。 时间控制 支持用户策略时间调度。 支持一次性和周期性时间调度规则。 支持基于IP地址、使用协议的带宽管理。 支持基于用户的带宽管理(通过身份认证的用户,可以指定带宽)。 带宽管理 支持最小保证带宽和最大限制带宽设置。 支持带宽优先级的设定。 提供IP/MAC地址绑定检查功能,可有效解决网络管理中IP地址盗用问题。 可以设置绑定的默认策略,提供IP/MAC对的唯一性检查。 地址绑定 提供地址对和网口的绑定功能,可以及时定位盗用合法IP/MAC地址对的非法用户。 提供IP/MAC自动探测功能。 支持对拒绝服务攻击的防范,可以防范syn_flood 、ping flood、 udp flood 、抗DoS攻击 teardrop 、 sweep、 land、 ping of death、 smurf、碎片攻击、WINNUKE、圣诞树攻击等。配合防火墙上的IDS功能,可以抵抗更多种类的攻击。
功能分类 入侵联动 策略路由 安全管理 功能概要 支持和网御神州、启明星晨、中科网威、北方计算中心等主流入侵检测系统的联动。 提供目的路由和源地址路由功能以及目的路由负载均衡。 提供远程安全管理和本地管理功能。 提供全中文web界面和专业化的命令行界面管理方式。 提供专用带外管理口。 通过管理员身份认证(电子钥匙认证或证书认证)、管理员级授权(包括配置备份 超级管理员、配置管理员、策略管理员、审计管理员)、管理主机限制、防火墙管理IP限制、防火墙管理方式定义(web管理/命令行管理/SSH方式/PPP+SSH连接)、配置信息加密(支持SSL协议和SSH协议),提供方便且安全的配置管理。 支持配置的本地下载和上载。 模块升级 提供恢复防火墙出厂配置功能。 提供灵活的软件升级方式,适应安全需求的快速响应。 提供当前CPU和内存利用率监控。 提供HA高可用状态监控。 提供用户在线状况监控,显示用户名、登录IP、登录时间、在线时间、流日志审计 入流量和流出流量,可根据安全策略实时中断某用户的连接。 提供连接数量和流量监控。 在防火墙本地能够灵活地设置监测的时间间隔和显示方式。 日志审计功能提供对防火墙系统事件和网络事件的统计、查询、分析。 通过SecGateManager安全管理系统能够对防火墙状态信息进行实时监控和网络适应性 统计分析。 具有多个自适应网络接口,网口数目可扩展,在保证网络高度安全和数据完整的前提下,同时具有线速或接近线速的网络处理性能。 支持每个网络接口设定多个IP地址,支持网络接口模式的设定。 支持ADSL拨号连接,自动以ADSL获得的地址为公网地址,用此地址对内部IP做地址转换。 VLAN支持 适应多种网络拓扑结构和VLAN环境(支持802.1q协议、Trunk协议和VLAN间访问控制等)。 支持多种工作模式(包括透明模式、纯路由模式、混合模式)。 满足复杂网络环境的要求(防火墙冗余、防火墙旁路、防火墙跨接)。