1.系统方案 省法院专网网络安全防护的建设应达到功能齐全、运行高效、使用灵活、维护方便、易于扩展、安全可靠的要求,从而在最大限度上满足省厅网络各应用系统安全防护的功能和性能需要。选型主要遵循以下原则:高可靠性及安全性;、可扩充性、经济适用性、可管理性这四项原则。
2.选型目标及效果 省法院专网网络安全防火墙设备的总选型目标是:通过部署该设备,能够建立一套立体的、有效、快速的网络安全保护措施(如阻止恶意的数据包出入省法院专网网络)。防火墙部署后应至少具有如下效果:? 是一套人性化、有效的、可靠的、高性能的、立体化的网络安全方案;? 能有效探测和记录各种网络攻击的行为,定位来源;? 能有效阻止恶意程序通过网络进入省法院专网网络;? 能有效阻止恶意程序或网络攻击的数据报文在省法院专网网络内传播。
3.防火墙技术现状与趋势 防火墙是保护内部网络或其一部分的安全网关设备。从技术上来下定义,防火墙是一个以隔离为目的的安全网关设备,指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一种安全隔离设备。如果该网络只有一个防火墙,它是不同网络或网络安全域之间信息的唯一出入口;如果有多个出口,则应该是采用分布式防火墙。防火墙能根据内网的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个隔离器,一个控制器,也是一个智能分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙在技术上有五次重大的技术突破,形成了五大主流防火墙技术。尽管这些技术在市场上成功的程度各不相同,但大多数专家还是以这些技术为特征对防火墙进行分代。
目前网络安全存在的三大主要问题分别是,以DDOS为代表的拒绝访问攻击,以Worm为代表的具有拒绝访问攻击能力的病毒传播,以SPAM为代表的垃圾电子邮件。DDOS利用了TCP/IP协议的缺陷,Worm利用了系统的漏洞的缺陷,SPAM利用过滤技术无法区分善意和恶意内容的缺陷。系统漏洞缺陷还导致广泛的入侵行为,由于入侵检测技术(IDS)也是基于检查的机制,未能有效的控制入侵行为的发生。我公司经过比较、调查、测试,认为本项目选择网御神州防火墙产品完全满足招标文件的技术要求。网御神州SecGate 3600防火墙是面向政府、教育、电信、大型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能,能够有效地保证网络的安全;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;提供基本的路由能力,支持策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。 11-5防火墙总体部署方案 根据此次招标需求的分析,我们在各个市法院分别部署一台防火墙,其中防火墙的WAN口我们建议和路由器相连,并且划分DMZ区和内网区。DMZ区主要放置服务器,如PBX设备。内网区主要连接内网用户,这样不仅可以很好的保护服务器群和内网用户,而且可以很好的分配数据流量,从而使诸如语音视频系统的应用流量带宽得到很好的保障。
防火墙安全策略建议方案: 1、对流入流出的数据进行过滤。例如只允许可信网段的数据通过,不可信网段的数据阻止通过。 2、对病毒端口和极少用到且易受攻击的端口进行封堵。 3、对网络中的重要数据信息进行保护,只允许特定机构访问。 4、启用防火墙的QoS功能并采取策略路由的手段对网络性能进行优化。 5、启用视频语音系统相关的协议,以更好的优化视频语音系统性能。 6、根据需要可以灵活制定相关安全策略,使网络性能达到最佳效果。 建设后的基层法院内网网络拓扑图: