【正文】 障。 NAT 模式部署的優(yōu)勢 防火墻以 NAT 模式部署，需要根據(jù)用戶的業(yè)務(wù)需求，結(jié)合實(shí)際的網(wǎng)絡(luò)環(huán)境，將防火墻部署于內(nèi)外網(wǎng)安全區(qū)域之間，配合最終用戶內(nèi)外網(wǎng)的 IP 地址方案，針對應(yīng)用系統(tǒng)的需求梳理制定 NAT 策略、訪問控制策略和路由策略，滿足內(nèi)網(wǎng)與外網(wǎng)的數(shù)據(jù)細(xì)粒度控制要求。 防火墻部署策略建議 根據(jù) 中國農(nóng)業(yè)科學(xué)院新圖書館 內(nèi)部網(wǎng)絡(luò)的 主要功能和應(yīng)用 ，建議對 內(nèi)網(wǎng) 防火墻設(shè)置策略如下： 1. 實(shí)現(xiàn)訪問控制 通過在防火墻上配置安全訪問控制策略過濾訪問行為，實(shí)現(xiàn)基于協(xié)議、源 /目的 IP 地址、端口的訪問控制，對來自 不同安全區(qū)域間 的訪問進(jìn)行 控制 ， 保證不同應(yīng)用系統(tǒng)間的流量是嚴(yán)格按照用戶的需求進(jìn)行流向的 ； 2. 帶寬管理 啟用帶寬管理功能，如當(dāng)某一地址或某地址段對外連接數(shù)超過一定數(shù)量或流量超過一個設(shè)定的閥值時，實(shí)現(xiàn)阻斷或流量限制的功能 ，保證內(nèi)網(wǎng)中的關(guān)鍵 應(yīng)用 中國農(nóng)業(yè)科學(xué)院圖書館項(xiàng)目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機(jī)終端）采購 項(xiàng)目（第 3 包） －投標(biāo)書 中國電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 26 業(yè)務(wù)能得到帶寬保證 ； 3. 身份認(rèn)證 在防火墻上開啟用戶身份認(rèn)證功能，利用防火墻自帶數(shù)據(jù)庫或通過 Radius及 SecureID 和 LDAP 用戶認(rèn)證功能； 4. 抗攻擊 在防火墻上開啟自動抗攻擊功能，利用防火墻本身的防御功能防止 DoS、端口掃描等攻擊，確保 內(nèi)部安全域 不被外部 惡意流量破壞 ； 5. 抗蠕蟲 通過防火墻的蠕蟲過濾等功能保證數(shù)據(jù)庫及服務(wù)器不受來自互聯(lián)網(wǎng)的蠕蟲及網(wǎng)絡(luò)病毒侵害，保障數(shù)據(jù)庫系統(tǒng)正常、高效運(yùn)行； 6. 實(shí)現(xiàn)多種手段報警 防火墻發(fā)現(xiàn)攻擊、非法入侵、未授權(quán)訪問等違反安全規(guī)則的行為，立即以多種手段（告警、日志、 SNMP 陷阱等）實(shí)現(xiàn)違規(guī)行為的告警，并記錄日志，以便查詢。防火墻 和入侵防御 系統(tǒng)軟件的任何修改 必須 要由防火墻 和入侵防御系統(tǒng)的 管理員或備用管理員執(zhí)行并且需要得到部門領(lǐng)導(dǎo)的核準(zhǔn)。 本次投標(biāo)采用的網(wǎng)神 SecGate 3600 防火墻 G6079AA 和 天清入侵防御系統(tǒng)NDP1000 支持標(biāo)準(zhǔn) SNMP 協(xié)議，可以滿足和 中國農(nóng)業(yè)科學(xué)院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)管理層面上進(jìn)行無縫對接。 ? 項(xiàng)目檢查 —— 通過其下屬實(shí)施小組提供的工程進(jìn)展匯報，將項(xiàng)目進(jìn)展?fàn)顟B(tài)與項(xiàng)目計劃進(jìn)度進(jìn)行比較，發(fā)現(xiàn)過程誤差，提出調(diào)整措施。 此接口可以滿足和 中國農(nóng)業(yè)科學(xué)院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)無縫對接的需求。 6. 建議最終用戶任命兩名 入侵防御系統(tǒng) 管理員（一個主要的，一個輔助的），負(fù)責(zé) 入侵防御系統(tǒng) 設(shè)備維護(hù)，確保 入侵防御系統(tǒng) 管理的持續(xù)性。 透明模式部署的優(yōu)勢 防火墻透明模式部署，不需要改變現(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不需要改變現(xiàn)有的各種訪問控制策略、應(yīng)用策略，不會影響既有業(yè)務(wù)系統(tǒng)的正常運(yùn)行。其中 eth0 和 eth1 選擇 DirectA 安全區(qū)， eth2 和 eth3 選擇 DirectB 安全區(qū)。 天清入侵防御產(chǎn)品提供軟、硬雙 BYPASS 功能，保障鏈路在各種情況下的通暢。 在攻擊分析階段： 多因子協(xié)議識別 —— 在識別網(wǎng)絡(luò)數(shù)據(jù)的協(xié)議時，并不單純采用 RFC 的端口標(biāo)準(zhǔn)規(guī)范，而是綜合協(xié)議指紋技術(shù)，融合協(xié)議的常見字段、參 數(shù)和慣用用法，對沒有采用常規(guī)端口的協(xié)議進(jìn)行準(zhǔn)確識別。 網(wǎng)神防火墻設(shè)備支持冗余熱插拔電源，有效保障設(shè)備自身的穩(wěn)定、不間斷運(yùn)行。 一方面，內(nèi)部網(wǎng)絡(luò)不斷的有主機(jī)或者服務(wù)器加入，網(wǎng)絡(luò)管理員要根據(jù)內(nèi)部主機(jī)情況，實(shí)時調(diào)整策略，對于一個大的網(wǎng)絡(luò)，要求各個部門通報新增或者離開的 中國農(nóng)業(yè)科學(xué)院圖書館項(xiàng)目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機(jī)終端）采購 項(xiàng)目（第 3 包） －投標(biāo)書 中國電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 10 主機(jī)，根本無法保證實(shí)時性，而對于那些經(jīng)常有臨時用戶加入或者離開的網(wǎng)絡(luò)，其工作量對于網(wǎng)絡(luò)管理員也是無法承受的。 衡量一個多核并行系統(tǒng)設(shè)計能力的數(shù)學(xué)模型為著名的 Amdahl 定律： Amdahl 定律： 其中三個影響加速比的關(guān)鍵因素是： S 表示系統(tǒng)設(shè)計中串行執(zhí)行的比例； n表示多核的處理器個數(shù)， H(n)表示系統(tǒng)開銷。 中國農(nóng)業(yè)科學(xué)院圖書館項(xiàng)目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機(jī)終端）采購 項(xiàng)目（第 3 包） 招標(biāo) 編號： 07221161FE951WJO 包 號： 第 3 包 技術(shù)文件 中國電信集團(tuán) 系統(tǒng)集成有限責(zé)任 公司 20xx 年 11 月 中國農(nóng)業(yè)科學(xué)院圖書館項(xiàng)目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機(jī)終端）采購 項(xiàng)目（第 3 包） －投標(biāo)書 中國 電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 i 目 錄 第 1 章 項(xiàng)目概述 ............................................................................................................. 5 設(shè)計目標(biāo) ............................................................................................................... 5 設(shè)計思路 ............................................................................................................... 5 設(shè)計原則 ............................................................................................................... 5 設(shè)計依據(jù) ............................................................................................................... 5 第 2 章 投標(biāo)產(chǎn)品說明 ...................................................................................................... 7 網(wǎng)神防火墻產(chǎn)品的技術(shù)先進(jìn)性 ................................................................................ 7 高性能多核硬件平臺 ........................................................................................ 7 高效一體化的多核并行操作系統(tǒng) ...................................................................... 8 向應(yīng)用層過濾發(fā)展、支持更多應(yīng)用協(xié)議 ............................................................ 9 從工具轉(zhuǎn)變?yōu)橹? ........................................................................................... 9 網(wǎng)神防火墻產(chǎn)品的穩(wěn)定性 ..................................................................................... 10 網(wǎng)神防火墻產(chǎn)品的可擴(kuò)展性 ................................................................................. 11 網(wǎng)神防火墻產(chǎn)品的可管理性及節(jié)能性 ................................................................... 12 豐富、安全的管理方式 .................................................................................. 12 分級權(quán)限的安全管理 ...................................................................................... 12 完善的系統(tǒng)升級 ............................................................................................. 12 系統(tǒng)配置的導(dǎo)入導(dǎo)出 ...................................................................................... 12 啟明星辰天清入侵防御系統(tǒng)的技術(shù)先進(jìn)性 ............................................................ 13 啟明星辰天清入侵防御系統(tǒng)的穩(wěn)定性 ................................................................... 15 啟明星辰天清入侵防御系統(tǒng)的可擴(kuò)展性 ................................................................ 15 啟明星辰天清入侵防御系統(tǒng)的可管理性及節(jié)能性 .................................................. 16 第 3 章 系統(tǒng)集成方案 .................................................................................................... 17 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方案 ........................................................................................ 17 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方案的定位 ........................................................................ 17 中國農(nóng)業(yè)科學(xué)院圖書館項(xiàng)目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機(jī)終端）采購 項(xiàng)目（第 3 包） －投標(biāo)書 中國 電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 ii 需求分析 ....................................................................................................... 17 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方案一 ............................................................................... 18 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方案二 ............................................................................... 23 防火墻部署方式說明 ...................................................................................... 24 防火墻部署策略建議 ...................................................................................... 25 網(wǎng)絡(luò)安全系統(tǒng)運(yùn)行管理建議 ........................................................................... 26 安全系統(tǒng)集成設(shè)計方案 ........................................................................................ 27 防火墻設(shè)備端口 ............................................................................................. 28 入侵防御系統(tǒng)端口 ......................................................................................... 28