防火墙产品解决方案模板

防火墙产品解决方案模板内容摘要：

用户会有意无意的关闭或修改基于主机的安全系统。 员工将与其它网络连接来开展业务，而这些外来网络的安全级别完全未知。 员工可能会让公司以外的人使用他们的移动设备。 移动用户往往对他们的设备具有管理员权限，这就意味着他们可以安装各种未经 批准的软件。 这些软件常常属于免费软件，可以从 Inter 上自由下载，很可能 带有木马或者间谍软件。 移动设备包含有公司信息，但可能没有备份，增加了丢失公司有价值财产的风险。 移动设备被盗的概率也要高出许多。 当移动 设备离开办公室时，它们更容易感染病毒、木马和蠕虫。 当移动用户回来连接到公司网络时，驻留在移动设备里的感染和攻击就会扩散至公司网络，感染其它曾被公司安全防御正常保护的系统。 为了防止这种情况的发生， IT 专业人员必须重新设计它们的网络，围绕关键部门、服务器群和关键应用系统提供更加安全的区域。 建立安全资源的 ―孤岛 ‖对于规范访问权限和抑制威胁爆发是有效的手段。 安全分区的常用工具包括访问控制列表（ ACLs）、防火墙和认证技术。 图： CSO 的 Security Sensor VIII对于攻击来 源的报告， 64%的安全威胁来自于企业内部可信任用户或合作伙伴。 增加基于网络的安全 基于网络的 ZXSEC US 产品能够部署在现有的安全体系中来提高检测率，并在有害流量进入公司网络之前进行拦截。 基于网络的 ZXSEC US 产品在线（ ‖inline‖ ） 部 署 ， 阻 挡 攻 10 击的能力要比传统的依靠镜像流量的 ―旁路式 ‖安全设备强得多。 基于网络的ZXSEC US 产品包括防火墙、 VPN、入侵防御系统（ IPS）、防病毒网关、反垃圾邮件网关、 Web过滤等功能。 ZXSEC US 产品是将多种安全特性相结合的统一安全平台。 除了实时阻挡攻击之外，基于网络的安全还包括以下优点： 减少维护成本。 攻击特征、病毒库和探测引擎可以对单台设备而不是上百台主机 更新。 升级对于用户、系统或者应用来说是透明的，无需停机，更新可以实时进行 —— 不像操作系统和应用程序打补丁那样需要重启系统。 保护在基于网络的安全设备后面的所有主机，因此减少了基于主机的病毒特征库、 操作系统补丁和应用程序补丁升级的急迫性，使 IT 专业人员在发生问题之前有较 充分的时间来测试补丁。 保持以前使用的设备、操作系统和应用，无需将它们都升级到最新的版本。 在网络边界或关键节点上阻挡攻击，在恶意流量进入公司网络之前将其拦截。 不像基于主机的安全应用那样可能被最终用户或恶意程序关闭。 可与已有的安全技术共存并互补。 ZXSEC US 产品的其 它优点包括： 通过为多种安全功能提供一个统一的管理平台，降低了设备的复杂性，加 快了安装速度。 与购买和使用多个单一功能的单点安全系统相比，降低了总体拥有成本 （ TCO）。 下表描述了 IDC对于未来几年具备多种安全功能的 UTM设备（包括 ZXSEC US产品）和单一功能安全设备发展预测的对比。 IDC 全球安全设备市场预测， 20202020（百万美元） 11 来源： IDC, 2020 表： IDC 的 UTM增长预测 随着网络安全对于消费者和商家都同样变得越来越重要， IDC 预测， UTM 设备的销量将在未来几年内超过传统防火墙 /VPN 安全设备。 12 第二章 ******需求分析 根据实际情况书写，并附上网络拓扑图，此处略。 13 第三章 中兴通讯网络安全解决方案 根据对网络安全现状及用户需求的分析，我们推荐中兴通讯的网络安全解决方案。 中兴通讯的 ZXSEC US 安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了无与伦比的功能和检测能力。 中兴通讯的 ZXSEC US 提供以下功能和好处： 集成关键安全组件的状态检测防火墙。 可实时更新病毒和攻击特征的网关防病毒。 和 IPS预置 3500个以上的攻击特征，并提供用户定制特征的机制。 （目前支持 PPTP、 L2TP、 IPSec、 SSL VPN）。 反垃圾邮件具备多种用户自定义的阻挡机制，包括黑白名单和实时黑名单（ RBL） 等。 内容过滤具有用户可定义的过滤器和全自动的 USService过滤服务。 带宽管理防止带宽滥用。 用户认证，防止非授权的网络访问。 动态威胁防御提供先进的威胁关联技术。 加速提供比基于 PC 工控机的安全方案高出 46倍的性能。 加固的操作系统，不含第三方组件，保证了物理上的安全。 完整的系列支持服务，包括日志和报告生成器、客户端安全组件。 1 网 络构架 ZXSEC US 系列安全网关支持路由（ NAT）模式、透明模式和混合模式三种工作模式。 可以很好的适应各种网络环境。 路由（ NAT）模式 如果需要用 ZXSEC US 连接不同 IP 地址段，则将 ZXSEC US 置于路由工作模式。 14 如上图所示，内网使用的是 ，而外网使用的是 段来连接 Inter。 此时由于内外网络不在同一 IP 地址段，因此需将 ZXSEC US设置为路由模式。 此时 ZXSEC US 工作在第三层，相当于一台路由器，连接不同的 IP 地址段。 使。 在路由（ NAT）模式下， ZXSEC US 的每一个接口都有一个 IP 地址，分别对应不同的网段。 每个接口都支持不同的地址模式，既可 以是静态 IP，也可以通过 DHCP服务器获得动态 IP，还能通过 PPPOE拨号获取 IP 地址，可以很好的支持 LAN、 ADSL等多种网络接入方式。 15 ZXSEC US 在路由模式下支持各种路由方法，包括静 态路由、动态路由（可以直接参与到 RIP、 OSPF、 BGP路由运算中，而非仅仅让动态路由协议穿越）、策略路由（根据不同的源地址、目的地址、端口等确定下一条路由网关），可以满足多种网络环境的要求。 ZXSEC US 还可以很好的支持双网关的网络环境。 如下图所示，内网使用 ISPISP2两条链路接入 Inter。 使用 ZXSEC US 可以实现两条链路的冗余。 通常情况下对 Inter的访问请求都通过带宽较高的 ISP1链路进行，当 ISP1链路出现故障中断时， ZXSEC US 会自动将所 有的访问请求切换到 ISP2链路，保证网络的不间断运行。 在路由（ NAT）模式下， ZXSEC US 可以实现双向 NAT（网络地址转换）和 PAT（端 16 口转换），包括 1： N、 N： N： N 的转换。 NAT和 PAT可以很好的起到隐藏内网结构，节约 IP 地址资源的作用。 如下图所示，内网使用的是 ，无法直接在Inter上通信。 通过 ZXSEC US 的 NAT/PAT功能，可以将内网所有私有 IP 地址转换为 ZXSEC US 外口的 IP 地址或其它地址池，实现共享上网的目的；还可以通过静态地址映射或端口转发的方式，将 ZXSEC US 外口的公网 IP 地址或其他公网 IP 地址映射到内网的服务器上（如 的Web服务器），实现私有 IP 地址的服务器对外发布服务的功能。 透明（桥）模式 如果 ZXSEC US 内、外网使用相同网段的 IP 地址，便无需 ZXSEC US 担负路由的工作。 此时可以将 ZXSEC US 置于透明模式， ZXSEC US 工作在第二层，在网络拓扑结构上相当于一个交换机或者网桥。 如下图所示： 17 内网已经可以通过路由器的路由和 NAT功能连入 Inter，内网所有计算机的默认网关均指向路由器的内口 ，此时只需加入安全网关设备实现安全功能。 为了尽可能的简化配置且不更改现有的网络环境，一般情况下都推荐使用ZXSEC US 的透明模式。 此时 ZXSEC US 不像路由模式下需要给每个接口配置一个单独的 IP 地址，只需直接插入到网络链路中即可。 内外网用户并不能感觉到这台安全设备的。