防火墙技术方案

菏泽供电公司郓城县供电公司外网网络安全系统升级改造服务技术方案凝聚科技服务电力15年不变的真挚我们一如既往山东天辉科技有限公司2012年12月hppt::0531-88027721第2页目录1项目背景........................................................................................................32需求分析........................................................................................................43设计原则........................................................................................................54设计方案........................................................................................................75方案实施......................................................................................................256培训计划......................................................................................................707项目进度计划管理......................................................................................718项目组织机构及成员组成..........................................................................749工程质量保证体系......................................................................................7910安全文明施工..............................................................................................8511技术支持与售后服务..................................................................................90hppt::0531-88027721第3页1项目背景随着网络与信息化建设的飞速发展，人们的工作、生活方式发生了巨大变化。网上行政审批、网上报税、网上银行、网上炒股、网上填报志愿、网上购物等等网络应用不仅为使用者带来了便利，而且大大提高了服务提供者的工作效率。但在享受网络带来便利的同时，我们也不得不面对来自网络内外的各种安全问题。不断发现的软件漏洞，以及在各种利益驱动下形成的地下黑色产业链，让网络随时可能遭受到来自外部的各种攻击。而网络内部的P2P下载、流媒体、IM即时消息、网络游戏等互联网应用不仅严重占用网络资源、降低企业工作效率，同时也成为蠕虫病毒、木马、后门传播的主要途径。公司目前信息网络边界防护比较薄弱，只部署了一台硬件防火墙，属于2006年购买，但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足公司网络安全需要，即使部署了防火墙的安全保障体系仍需要进一步完善，需要对网络信息安全进行升级改造。为提高郓城县供电公司信息外网安全，充分考虑公司网络安全稳定运行，对公司网络信息安全进行升级改造，更换信息机房网络防火墙，以及附属设备，增加两台防火墙实现双机热备以实现网络信息安全稳定运行。hppt::0531-88027721第4页2需求分析防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。本次为郓城县供电公司提供天融信防火墙双机冗余系统并提供系统集成服务。其中包括（但不限于）下列内容：1)负责信息外网防火墙双击热备改造的设计、系统集成和调试。2)负责提供改造所需配件/设备清单的所有硬件设备及其配件。3)负责提供信息外网安全防护双击运行所需的软件及其介质。4)负责完成本次工程提供的管理软件平台安装和调试，实现信息外网安全防护设备的管理。5)负责专业人员的技术和运行维护培训。6)负责模拟联调、设备到货验收、现场安装调试、系统联调、系统预验收。7)负责提供必需的备品备件和专用工具。8)负责该系统中设备的故障处理和更换，负责提供所有文档资料。hppt::0531-88027721第5页3设计原则下列标准中的条款通过本技术规范的引用而成为本技术规范的条款，投标人所提供的设备均按上述标准和规程进行设计、制造、检验和安装。凡是注明日期的引用标准，其随后所有的修改单（不包括勘误的内容）或修订版均不适用本技术规范。凡是不注明日期的引用文件，其最新版本适用本技术规范。（1）ISO----------国际标准化组织标准·ISO9001-2000质量体系标准（2）IEC----------国际电工委员会标准·IEC61970系列标准·IEC61968系列标准·IEC60870系列标准·IEC60870-5远动设备及系统传输规约·符合IEC60870-5-101、IEC60870-5-102、IEC60870-5-103、IEC60870-5-104规约。·符合IEC60870-6的TASE2（应用层）协议·IEC61850系列标准·IEC529防护等级·IEC61000-4-2静电放电试验·IEC61000-4-3辐射静电试验·IEC61000-4-4快速瞬变干扰试验·IEC61000-4-5浪涌抗扰性试验（3）ITU-T--------国际电信联盟标准·ITU-TV.32bis、V.32、V.22bis、V.22、V.23、V.21、G.703等通信协议（4）IEEE---------美国电气电子工程师协会标准·IEEEStd1344电力系统同步相量标准·IEEE802.X系列局域网通讯标准（5）EIA----------电子工业协会标准hppt::0531-88027721第6页（6）GB-----------中华人民共和国国家标准·GB/T13730地区电网调度自动化系统·GB/T13829远程终端通用技术条件·GB/T17626.11-1998电磁兼容、试验和测试技术，电压暂降，短时中断和变化抗干扰试验。（7）其它的通用工业标准·OMG的CORBA和UML·操作系统UNIX及POSIX标准·GUI符合X-Window的标准·ANSI的SQL、C++、FORTRAN、JAVA等·ANSI标准的SQL数据库查询访问·ITU-T、EIA、IEEE、中文国际码·TCP/IPhppt::0531-88027721第7页4设计方案4.1产品概述网络卫士系列防火墙NGFW系列专用平台产品，是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。它继承了天融信公司十多年来在安全产品研发中的积累的多项成果，以自主知识产权的网络安全操作系统TOS（TopsecOperatingSystem）为系统平台，采用开放性的系统架构及模块化的设计思想，充分体现了天融信公司在长期的产品开发和市场推广过程中对于用户需求的深刻理解。NGFW系列专用平台属于网络卫士系列防火墙的中高端产品，特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。NGFW(TG-5130/TG-5230/TG-5330)4.2关键技术4.2.1灵活的接口扩展能力最大配置为26个接口，包括3个可插拔的扩展槽和2个10/100/1000BASE-T接口（可作为HA口和管理口）；可支持8～24个千兆接口（光口或电口）。hppt::0531-88027721第8页4.2.2安全高效的TOS操作系统具有完全自主知识产权的TOS(TopsecOperatingSystem)安全操作系统，采用全模块化设计，使用中间层理念，减少了系统对硬件的依赖性，有效保障了防火墙、SSLVPN、IPSECVPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS良好的扩展性为未来迅速扩展更多特性提供了无限可能。4.2.3集成多种安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS基于专有硬件平台的NGFW4000-UF系列专用平台产品采用TOS操作系统，集成了丰富的安全引擎，包括：防火墙引擎，IPSECVPN引擎，SSLVPN引擎，防病毒引擎，IPS引擎等。这些引擎的紧密集成使得网络卫士防火墙成为了可以防范多种威胁、功能丰富的防火墙产品。4.2.4完全内容检测CCI技术网络卫士防火墙采用最新的CCI技术，提供对OSI网络模型所有层次上的网络威胁的实时保护。网络卫士系列防火墙可对还原出来的应用层对象（如文件、网页、邮件等）进行病hppt::0531-88027721第9页毒查杀，并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁，实现彻底防范。4.3产品特点介绍集成多种安全功能NGFW4000-UF系列专用平台产品由于集成了多种安全引擎，使其具备了防火墙、IPSECVPN、SSLVPN、防病毒、IPS等安全功能，成为了国内安全功能最丰富的防火墙产品。hppt::0531-88027721第10页虚拟防火墙虚拟防火墙，是指在一台物理防火墙上可以存在多套虚拟系统，每套虚拟系统在逻辑上都相互独立，具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙，但使用不同的虚拟系统。对于用户来说，就像是使用独立的防火墙。大大节省了成本。强大的应用控制网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用，如MSN，QQ、Skype、新浪UC、阿里旺旺、GoogleTalk等即时通信应用，以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略，如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能，可以对用户所关心的网络应用进行全面控制。CleanVPN服务企业对VPN应用越来越普及，但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时，病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来，这种威胁的传播方式极具