2023年天津师范大学心理学研究所安全解决方案.doc

天津师范大学心理学研究所安全解决方案 项目 简要描述 数量 多功能网关 中心端多功能网关〔100<内网用户数<300〕 包含防火墙、VPN、IPS〔入侵保护〕、防垃圾邮件、内容过滤、访问跟踪六大功能〔具体见附表1〕 1台 安全效劳 重新规划IP；划VLAN；了解内网常用端口、效劳、协议，重新严谨配置阿姆瑞特防火墙策略，关闭病毒、攻击常用端口，提高安全性；检查效劳器及工作站安全配置，实现ip，mac双向绑定 4人天 总价 上述产品需完成以下任务或具备以下功能： 师范大学心理学院目前计算机节点大约150台左右，目前网络中没有相关IPS，IDS入侵检测，流量管理类设备，网络IP地址管理比拟混乱，没有一套日志审计系统。 学院的IT管理者如何及时了解网络运行状况、作出分析、发现可能存在的问题〔如违规访问、资源滥用、泄密、ARP欺骗等〕，并进行故障快速定位等，组织IT管理者面临的问题包括： 　　1、网络效能和行为进行统计、分析、审计 　　2、网关杀毒，挂马或者有病毒的网站挡在内网之外 　　3、封堵BT、PPLive等P2P行为，并进行流控，提升网速和带宽效率 　　4、防范用户“主动〞下载病毒、木马、恶意软件 　　5、杜绝通过Email、MSN等途径潜在的泄密或者反动言论行为 　　6、防止恶意发帖、反动言论等法律问题，并在发生问题时有据可查 7、防止非法接入内部网络〔即准入系统〕，窃取内部资源或者感染病毒 师范大学心理学院目前网络图如下所示： 目前的网络由一台阿姆瑞特防火墙代理下面计算机上网。接入点分别通过本楼层交换机连接此防火墙上网，机房和web效劳器通过一台交换机连接此防火墙。 由于所有交换机都连接在防火墙上，所有路由交换都要通过防火墙的封装，对防火墙性能要求比拟苛刻，容易使防火墙负荷，管理上也不太方便。对内网的管理没有一套完整的数据中心来审计内网的操作，一旦发证ARP或者其他类攻击时间，不利于排查。 在满足需求、保持网络互联互通的根底上，方案实施分作以下几个步骤： 1、 合理分配IP地址，采用静态IP地址；控制IP段，防止IP的随意使用； 2、 网络重新规划，原连接在防火墙上的接入层交换机，现连接AC设备下端的交换机，提高内网互访速度； 3、 了解内网常用端口、效劳、协议，重新严谨配置阿姆瑞特防火墙策略，关闭病毒、攻击常用端口，提高安全性； 4、 安装相应设备，采用网桥模式，启用准入策略，上网行为管理及审计、数据中心等功能； 四、方案设计 设计原那么： 要求网络技术运行稳定、可靠，在拓扑结构上具有开放性和可扩展性，同时简明清晰；具有较好的网络安全防范和网络管理能力；在功能上应满足各网段的互连互通，对内网每一个计算机节点审计、管理。 针对以上问题建议改变网络结构如下： 针对以上问题，解决方案应具备一下作用： Ø 基于 IP-MAC 的用户身份认证功能 在我们网络中，经常会因为ARP病毒，导致内网网络中断。通过IP-MAC绑定身份认证功能不仅解决IP地址管理问题。同时有效防止了ARP病毒。 Ø 上网行为管理功能和上网行为审计 a) 可对该组的上网人员所访问的网址分类过滤，可设定什么时候可以访问什么样的网站。可提高员工工作效率;可保护未成年人访问不良网站。 b) 可限制该组的上网人员不能在搜索引擎里搜索那些关键定？如：法轮功。可躲避法律风险。 c) 可限制该组的上网人员不能在 BBS、网页邮件上发送什么样类型的关键字。如：法轮大法。可躲避法律风险。 d) 可以限制该组的上网人员不能下载上传那些类型的文件，如：不允许下载MP3、RM、AVI等文件。 Ø 邮件过滤功能 Sinfor AC 的邮件过滤功能分为对用户通过 SMTP 协议发送邮件的过滤和用户通过POP3协议接收邮件的过滤。对用户发送的邮件进行关键字过滤，防止内部发一些带有反动言论的邮件，给学院造成不良影响。 Ø 限制P2P软件-----提升网速，带宽效率 Sinfor AC 的深度内容检测功能，可实现封堵 BT、eMule、SkyPE 等P2P软件，提升网速，保障关键业务。 Ø 流量控制与实时检测 把我们内网计算机根据本门不同或者权限不同划分不同的组，进行带宽合理化分配，充分实现带宽价值。实时检测网络中的各种协议流量所占用比列，分析网络各种存在的安全威胁。我们IT管理者可以通过协议占用比例来分析是否为异常流量，是否存在ARP，DOS/DDOS攻击等情况。 Ø 客户端安全准入功能 Sinfor AC 具有对上网的终端进行安全检查的功能，可检查上网的终端机器是 否安装了防病毒软件、个人防火墙软件或病毒库是否升级、操作系统是否安装安全 补丁等。SinforAC的准入系统功能还可以检查用户上网的终端机器上是否运行了 某个不该运行的软件，如：代理别人上网的软件、游戏软件等，如果发现上述情况， 可以选择封堵该用户上网并报告管理员或不封堵用户上网但记录日志上报管理员。 Ø 网关杀毒功能 通过Sinfor AC 是集成的防病毒引擎对常用协议进行扫描，实时检测病毒，挂马等威胁，并实时阻断带有病毒的网络访问。 Ø 日志审计 -------记录内网计算机在网络上进行的所有操作 实时查看哪些计算机触发了防火墙规那么，准入规那么，或者最近是否存在攻击事件，异常流量。针对某一台PC是否流量异常，分析是因为ARP病毒还是蓄意攻击。对网络的状况有一个宏观的了解。 附表1： 重要性能指标： 吞吐速度：100M bps 并发会话数目：300,000 转发时延：0.1 ms 网络接口： 局域网接口：100BASE-T (RJ-45) x 2 广域网接口：100BASE-T (RJ-45) x 2 扩展接口：无 串口：RS232x1 电源： 输入电压：180-240V 冗余电源：无 环境： 工作环境温度：-5~45 ℃ 环境相对湿度：5~90%，非冷凝 硬件规格： 尺寸(cm)：42.7(W)×32.9(D)×4.45(H) 重量：4.5Kg 标准1U机架式结构 2、功能要求介绍 类 功能 详细指标 访问控制 危险网站阻隔 用户可自定义对色情、病毒、钓鱼网站的阻隔访问 访问控制策略 提供基于组、时间、效劳、网址策略、内容策略等多种对象组合的安全访问控制策略 P2P拦截 使用深度内容检测技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔 用户认证 提供Web认证功能，提供本地用户数据库和LDAP,Radius用户数据集成功能 文件上传下载控制 对Http、Ftp文件上传、下载类型和大小进行控制，也能对QQ,MSN等P2P软件的文件传送进行拦截 IPMAC绑定 提供灵活的IPMAC绑定策略 代理识别功能 能识别采用Http,Https,Socks等代理效劳器绕过防火墙检查的行为，从而进行阻断 敏感数据拦截 对Http、Ftp、Smtp、Imap等应用协议做敏感数据拦截，以防泄密或引起法律纠纷 访问审计 邮件延迟审计 对外发邮件进行延缓慢存，审计后才能发出，确保信息资产不外泄 实时监控 实时监控用户的上网行为。 访问监控 监控用户所有的上网记录，包括Web访问、Ftp、Telnet、邮件〔含Webmail〕及附件、QQ、MSN、ICQ、Yahoo Message等流行IM的数据。以防止信息泄密。 流量分析 能按用户、协议和时间对Internet流量进行统计分析，以优化员工对Internet的资源使用情况。 管理功能 管理员权限 权限粒度细致，分级管理 本地管理 GUI方式 远程管理 GUI方式 配置备份 使用加密的配置文件进行配置备份和分发 Firmware升级 通过远程升级Firmware获得更新的软件版本和更多功能模块 高可靠设计 自动恢复 看门狗提供自动恢复功能，配置恢复功能 双机备份 支持双机备份功能 多线路备份 支持2～4条线路的备份 日志 日志容量 可以使用独立的日志效劳器，容量无限制。 日志备份 支持自动定时备份 日志导入 支持转换日志为标准的TXT文件，便于导入到MS SQL或ORACLE数据库进行二次开发和分析 数据中心 可用SINFOR 独立的数据中心进行详细的分析 网络特性 支持的Internet接口 PSTN/ISDN ADSL/xDSL Cable Modem DDN/ATM WLAN 支持的协议 IPv4、IPv6 网络分区 WAN、DMZ、LAN 多线路支持 支持2-4条Internet线路的负载均衡和备份，提供智能选择最优线路等多种负载均衡策略 工作方式 路由模式、透明模式 7