政法专款项目产品选型方案.docx

《政法专款项目产品选型方案.docx》由会员分享，可在线阅读，更多相关《政法专款项目产品选型方案.docx（29页珍藏版）》请在第一文库网上搜索。

1、2023年度及2023年提前下达政法转移支付资金业务装备采购项目产品选型方案联系电话:传真：E-mai1：公司地址：邮编:引言在网络信息安全建设中,特殊是大众型网络工程设计的应用，合理的选择交换机、路由器、防火墙、服务器、UPS电源和各种连接路线等设备是必然的,对相关设备进行测试也是不可缺少的。网络工程建设的主要任务是：按计划进行的网络综合性工作，包括网络的需求分析、网络设备的选择、网络拓扑结构的设计、施工技术要求等。网络信息安全建设中重要关节之一就是网络设备选型与测试，这一环节完成的优劣将直接影响之后所完成系统的功能和性能。因此在信息安全建设之前，乙方的设备选型具有较强的实际应用的意义。产品

2、选型方案目录1防火墙选型1.1 防火墙的主要性能指标1AN接口：1AN接口类型，防火墙所能保护的网络类型；支持最大1AN接口数。操作系统平台：防火墙所运行的操作系统平台。协议支持:是否支持App1eTa1k.DECetIPX及NETBEU1等协议。加密支持：防火墙支持的加密算法，例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。认证支持：防火墙能够为本地或者远程用户提供经过认证与授权的对网路资源的访问，防护墙管理员必须决定客户以何种方式通过认证。访问控制：访问控制普通通过包过滤、代理及NAT三种技术来实现。谨防功能：支持病毒扫描的能力；提供内容过滤的能力；能谨防的DoS攻击；阻挠

3、脚本侵入手段的能力；主动谨防的能力。安全特性：支持转发和跟踪ICMP协议的能力；提供入侵实时警告机制；提供实时入侵防范；识别、记录、防止IP地址欺骗。管理功能：防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理。管理员的行为主要包括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。记录和报表功能；防火墙处理完整日志的方法；自动日志扫描；实时统计。1.2 防火墙的选项的基本原则总拥有成本和价格：防火墙产品作为网络系统的安全屏障，其总拥有的成本不应该超过受保护网络系统可能遭受最大损失的成本。防火墙的最终功能僵尸管理的结果，而非工程上的决策。明

4、确系统需求：即用户需要什么样的网络监视、冗余度以及控制水平。确定总体目标，确定了可接受风险水平后，可以列出一个必须检测怎样的传输、必须允许怎样的传输流通性，以及应当拒绝什么传输的清单。应满足单位特殊要求：单位安全政策中的某些特殊需求并非每种防火墙都能提供的，这常会成为选择防火墙时需考虑的因素之一，企业常见的需求如下：加密控制标准；访问控制；特殊谨防功能。防火墙本身是安全的：作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可趁之机。不同用户选择不同：对于电信级用户、企业及用户、个人单机级用户区别对待。管理与培训：在计算防火墙的成本时，不能只简单地计算购置成本，还必须考虑其总拥有成

5、本。人员的培训和日常维护费用通常会占较大的比例。防火墙的安全性：防火墙产品最难评估的方面是防火墙的安全性能，即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样，普通用户通常不发判断，即使安装好了防火墙，如果没有实际的外部入侵，也无从得知产品性能的优劣。但在实际应用检测安全产品的性能是极其危(Wei)险的，所以用户在选择防火墙产品时，应该尽量选择占市场份额较大同时又通过了国家权威认证机构认证测试的产品。综上所述，我方在该项目中选择如下防火墙产品：1.3 天清汗马USG-FW-320C防火墙天清汉马USG防火墙是启明星辰公司正式推出的高性能、易管理、可升级的全新防火墙系列产品。天清

6、汉马USG防火墙采用率先的专用MIPS64多核硬件架构，高性能、绿色低功耗,集防火墙、VPN.内容过滤、上网行为管理、抗拒绝服务攻击(Anti-DoS)、NetF1ow等多种安全技术于一身，全面支持QoS、高可用性(HA)、日志审计等功能。同时，可软件升级支持UTM功能，保护用户投资，是政府、能源、金融、教育、大型企业、中小企业、军队等用户的理想选择。此外，天清汉马USG防火墙支持扩展无线安全模块，可制定多维度的无线安全准入策略，并根据所制定策略实现无线网络的访问控制，为您提供有线、无线网络访问控制整体解决方案。1.3.1 设备参数功能参数US-FW-硬件架构320C硬件架构表核VPN硬件加速

7、有管理及外围接口CPU核数Hh1A1fcTff1TT-m11小口2E外音埋发专用IIAfstAj本地捏州接口(COnSUIe)1(RJ45)CF卜仙憎1USB接口2固定业务接口液日日业小屏百兆接,日前兆接口8G万兆接口E扩展业务接口接口板扩展槽位数量无无（小苫主捏板惜位）最大网络接口数量扩展接口板卜类型设备在满配情况下支持的最大网络接口数量（包含管理J18GE防火墙性能指标（注：吞吐量参及THA品tf冷许作物RW每秒新建连接数6IZ数指1518字节下的值）厩天亦吐星（Mbps）1.6G推荐用户数300VPN性能指标（注VPN存吐星（MbPS）200M吞吐量指164位IPSECVPN游道.数30

8、03DES加密算法，SS1VPN隧道数3001518字节下的值）V1AN数V1AN数4K安全策略数安全策略数10部得旃P防火翱施屐警可以在一个统一号架构上建立自己的安全基础设施，而以往困扰干警的安全产品协调性、成金和技术匮乏和单位级安全解决方案等问题也能够得到彻底解决。USG-FW防火墙部署在网络Internet出口和分支机构（各部门），全面抵御来自互联网的病毒和攻击威胁。同时可作为VPN网关，各分支机构与总部之间开启VPN隧道，保证相互间通信的保密性。1.3.2 产品使用详细说明对于大型企业，网络规模较大、用户数量多、业务系统较多，网络建设类似于城域网。在安全建设方面也存在多点建设，除去在集

9、团总部的互联网出口需要安全防控外，各下属单位也有安全防护需求。在总部互联网出口部署的天清汉马USG-FW防火墙能够抵御来自互联网的入侵攻击，同时为出差员工提供VPN接入，确保通信的保密性。在各单位出口部署USG-FW防火墙，可以有效控制不同部门之间的越权访问。天清汉马USG-FW防火墙提供统一管理平台，可以统一管理全网的USG-FW防火墙，并提供详尽直观的报表，能够让管理员迅速了解到整个网络的存在的安全风险和趋势，为决定如何制定安全策略提供依据。2入侵检测产品的选型2.1 入侵检测产品的必要性现在的网络安全系统通常都已经部署了防火墙、入侵检测系统，通过对网络安全产品正确配置，控制网络访问控制，

10、监测内部网络、外部网络的攻击行为，这样的网络系统是否已经达到了真正的安全呢，答案是否定的。由于防火墙的众多局限性，比如防火墙不能很好的防范内部网络攻击，对不经过防火墙的数据，防火墙无法检查；防火墙无法解决TCP/IP协议的漏洞问题；防火墙不能阻挠内部泄密行为等，为了解决这些缺陷浮现了入侵检测产品。但是随着黑客技术的迅猛发展，已经浮现了大量的针对IDS的规避技术，使得入侵检测系统无能为力。面对这种尴尬局面，浮现了漏洞扫描系统，它可以静态的评估现有网络的安全现状，并提出建设性的意见。2.2 入侵检测系统介绍入侵检测是防火墙的合理补充，匡助系统对付网络攻击，特殊是来自于防火墙内部的恶意攻击，它从计算

11、机网络系统中的若干关键点采集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。打一个比方，如果说防火墙是一栋大楼的门卫，负责检查进出人员的身份并做好登记，那末大楼里面的录相监控系统就是入侵检测系统，它知道进入大楼的人员都做了些什么事情，如果有异常情况即将采取相应的行动。入侵检测系统通常由两部份组成：传感器和控制台。传感器负责采集数据（网络包、系统日志等）、分析数据并生成安全事件。控制台主要起到中央管理的作用，提供图形界面的控制台。根据采集

12、的数据源，入侵检测系统分为基于主机的入侵检测系统和基于网络的入侵检测系统。两者的区别表格所示：类别数据源内容优点缺点I基于网络的入侵检测系统网络中的所有数据包不会影响业务系统的性能；采取旁路侦听工作方式，不会影响网络的正常运行不能检测通过加密通道的攻击；I基于主机的入侵检测系统计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录能够提供更为详尽的用户行为信息；系统复杂性小；误报率低时主机的依赖性很强、件能影响很大；不能监测网络情况基于主机的入侵检测系统都是安装在需要进行检测的主机上，普通都是安装在需要严格监控的主机上；基于网络的入侵检测系统部署复杂一些,通常采取在各个

13、重要网段部署探测器，然后通过统一的控制管理台进行管理，对于交换式网络，要想探测器获取到网络数据，需要交换机端口镜像功能的支持。2.3 入侵检测产品功能通过部署入侵检测系统，可以起到以下功能： 记录和分析用户和系统的活动 检查系统配置、漏洞以及文件完整性 识别已知的、未知的攻击行为 基于检测结果做特定的响应动作 可以提供作为审计用的日志2.4 选择入侵略检测系统考虑的要点入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品，其他5%是采用概率统计的统计检测产品与基

14、于日志的专家知识库系产品。市面上的入侵检测产品不少，厂家的宣传也都很好，那末我们在考虑入侵检测产品的好坏以及它是否适合自己应用时通常需要考虑的要点有：特征库升级与维护的费用入侵检测的特征库需要不断更新才干检测出新浮现的攻击方法。最大可处理流量（包/秒PPS普通有百兆、千兆之分该产品容易被逃避吗能否有效检测分片、1欺骗、异常TCP分段、慢扫描、协同攻击等规避方法产品的可伸缩性系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理产品支持的入侵特征数不同厂商对检测特征库大小的计算方法都不一样，尽量参考国际标准产品的响应方法要从本地、远程等多个角度考察，以及是否支持防

15、火墙联动等等是否通过了国家权威机构的评测主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心是否有成功案例需要了解产品的成功应用案例，有必要进行实地考察和测试使用系统的价格性能价格比、以及要保护系统的价值可是更重要的因素。相比之下，启明星辰NT600-PF-B产品将应用和网络可视性与事件调查和纠正功能集成在一起以匡助客户快速而自信地部署在线攻击防护功能，是一项不错的具有智能检测入侵的硬件产品。固然对于一栋大楼的安全来说，除了门卫和录相监控系统，还需要巡逻人员，进行定时定点的巡逻，检查现有的一些安全设施的情况，并作一些建设性意见，提高现有的安全性。漏洞扫描系统对服务器、网络设备、个人主机进行潜在威胁分析，找出网络设备的错误配置、操作系统的漏洞、应用软件的Bug等等，根据漏洞扫描系统的建议进行补救和改善，做到未雨绸缪，防范于未然，有效的避免黑客攻击。所以综合上述入侵检测产品性能，我们选择