天津師范大學(xué)心理學(xué)研究方案所安全解決方案

天津師范大學(xué)心理學(xué)研究所安全解決方案項(xiàng)目 簡要描述 數(shù)量多功能網(wǎng)關(guān)中心端多功能網(wǎng)關(guān) 內(nèi)網(wǎng)用戶數(shù) 0包含防火墻、 、 入侵保護(hù)）、防垃圾郵件、內(nèi)容過濾、訪問跟蹤六大功能具體見附表）1臺安全服務(wù)重新規(guī)劃、劃 A了解內(nèi)網(wǎng)常用端口、服務(wù)、協(xié)議重新嚴(yán)謹(jǐn)配置阿姆瑞特防火墻策略關(guān)閉病毒、攻擊常用端口提高安全性；檢查服務(wù)器及工作站安全配置實(shí)現(xiàn) 雙向綁定4人天總價上述產(chǎn)品需完成以下任務(wù)或具備以下功能：師范大學(xué)心理學(xué)院目前計算機(jī)節(jié)點(diǎn)大約150臺左右,目前網(wǎng)絡(luò)中沒有相關(guān)IPS,IDS入侵檢測，流量管理類設(shè)備，網(wǎng)絡(luò)IP地址管理比較混亂,沒有一套日志審計系統(tǒng).學(xué)院地IT管理者如何及時了解網(wǎng)絡(luò)運(yùn)行狀況、作出分析、發(fā)現(xiàn)可能存在地問題〈如違規(guī)訪問、資源濫用、泄密、ARP欺騙等），并進(jìn)行故障快速定位等，組織IT管理者面臨地問題包括：1、網(wǎng)絡(luò)效能和行為進(jìn)行統(tǒng)計、分析、審計2、網(wǎng)關(guān)殺毒,掛馬或者有病毒地網(wǎng)站擋在內(nèi)網(wǎng)之外3、封堵BT、PPLive等P2P行為,并進(jìn)行流控,提升網(wǎng)速和帶寬效率4、防范用戶“主動”下載病毒、木馬、惡意軟件5、杜絕通過Email、MSN等途徑潛在地泄密或者反動言論行為6、避免惡意發(fā)帖、反動言論等法律問題,并在發(fā)生問題時有據(jù)可查7、防止非法接入內(nèi)部網(wǎng)絡(luò)＜即準(zhǔn)入系統(tǒng)）,竊取內(nèi)部資源或者感染病毒師范大學(xué)心理學(xué)院目前網(wǎng)絡(luò)圖如下所示：

網(wǎng)管中心Web服務(wù)器機(jī)房目前地網(wǎng)絡(luò)由一臺阿姆瑞特防火墻代理下上網(wǎng).接入點(diǎn)分別通過本樓層交換機(jī)連接此防火墻上網(wǎng)，機(jī)房和web服務(wù)器通過一臺交換機(jī)連接此防火墻網(wǎng)管中心Web服務(wù)器機(jī)房目前地網(wǎng)絡(luò)由一臺阿姆瑞特防火墻代理下上網(wǎng).接入點(diǎn)分別通過本樓層交換機(jī)圣換機(jī)都連接在防火墻上，所有路由交換都要通過防火墻地封裝，對防火墻性能要求比較苛刻,容易使防火墻負(fù)荷，管理上也不太方便.對內(nèi)網(wǎng)地管理沒有一套完整地數(shù)據(jù)中心來審計內(nèi)網(wǎng)地操作，一旦發(fā)證ARP或者其他類攻擊時間，不利于排查.在滿足需求、保持網(wǎng)絡(luò)互聯(lián)互通地基礎(chǔ)上,方案實(shí)施分作以下幾個步驟：1、合理分配IP地址，采用靜態(tài)IP地址；控制IP段，防止IP地隨意使用；2、網(wǎng)絡(luò)重新規(guī)劃，原連接在防火墻上地接入層交換機(jī),現(xiàn)連接AC設(shè)備下端地交換機(jī),提高內(nèi)網(wǎng)互訪速度；了解內(nèi)網(wǎng)常用端口、服務(wù)、協(xié)議,重新嚴(yán)謹(jǐn)配置阿姆瑞特防火墻策略,關(guān)閉病毒、攻擊常用端口,提高安全性；安裝相應(yīng)設(shè)備,采用網(wǎng)橋模式,啟用準(zhǔn)入策略,上網(wǎng)行為管理及審計、數(shù)據(jù)中心等功能；四、方案設(shè)計設(shè)計原則：要求網(wǎng)絡(luò)技術(shù)運(yùn)行穩(wěn)定、可靠,在拓?fù)浣Y(jié)構(gòu)上具有開放性和可擴(kuò)展性,同時簡明清晰；具有較好地網(wǎng)絡(luò)安全防范和網(wǎng)絡(luò)管理能力；在功能上應(yīng)滿足各網(wǎng)段地互連互通,對內(nèi)網(wǎng)每個計算機(jī)節(jié)點(diǎn)審計、管理.針對以上問題建議改變網(wǎng)絡(luò)結(jié)構(gòu)如下：網(wǎng)管中心針對以上問題,解決方案應(yīng)具備一下作用：基于 地用戶身份認(rèn)證功能在我們網(wǎng)絡(luò)中經(jīng)常會因?yàn)椴《緦?dǎo)致內(nèi)網(wǎng)網(wǎng)絡(luò)中斷通過綁定身份認(rèn)證功能不僅解決地址管理問題同時有效防止了 病毒上網(wǎng)行為管理功能和上網(wǎng)行為審計可對該組地上網(wǎng)人員所訪問地網(wǎng)址分類過濾可設(shè)定什么時候可以訪問什么樣地網(wǎng)站可提高員工工作效率。可保護(hù)未成年人訪問不良網(wǎng)站.可限制該組地上網(wǎng)人員不能在搜索引擎里搜索那些關(guān)鍵定？如：法輪功可規(guī)避法律風(fēng)險.可限制該組地上網(wǎng)人員不能在 、網(wǎng)頁郵件上發(fā)送什么樣類型地關(guān)鍵字如：法輪大法.可規(guī)避法律風(fēng)險.可以限制該組地上網(wǎng)人員不能下載上傳那些類型地文件如：不允許下載PM等文件郵件過濾功能地郵件過濾功能分為對用戶通過 協(xié)議發(fā)送郵件地過濾和用戶通過協(xié)議接收郵件地過濾對用戶發(fā)送地郵件進(jìn)行關(guān)鍵字過濾防止內(nèi)部發(fā)一些帶有反動言論地郵件,給學(xué)院造成不良影響.限制 軟件 提升網(wǎng)速帶寬效率地深度內(nèi)容檢測功能可實(shí)現(xiàn)封堵、 、等 軟件提升網(wǎng)速保障關(guān)鍵業(yè)務(wù)流量控制與實(shí)時檢測把我們內(nèi)網(wǎng)計算機(jī)根據(jù)本門不同或者權(quán)限不同劃分不同地組,進(jìn)行帶寬合理化分配,充分實(shí)現(xiàn)帶寬價值.實(shí)時檢測網(wǎng)絡(luò)中地各種協(xié)議流量所占用比列,分析網(wǎng)絡(luò)各種存在地安全威脅我們 管理者可以通過協(xié)議占用比例來分析是否為異常流量是否存在攻擊等情況客戶端安全準(zhǔn)入功能具有對上網(wǎng)地終端進(jìn)行安全檢查地功能可檢查上網(wǎng)地終端機(jī)器是否安裝了防病毒軟件、個人防火墻軟件或病毒庫是否升級、操作系統(tǒng)是否安裝安全補(bǔ)丁等 地準(zhǔn)入系統(tǒng)功能還可以檢查用戶上網(wǎng)地終端機(jī)器上是否運(yùn)行了某個不該運(yùn)行地軟件,如：代理別人上網(wǎng)地軟件、游戲軟件等,如果發(fā)現(xiàn)上述情況,可以選擇封堵該用戶上網(wǎng)并報告管理員或不封堵用戶上網(wǎng)但記錄日志上報管理員.網(wǎng)關(guān)殺毒功能通過 是集成地防病毒引擎對常用協(xié)議進(jìn)行掃描實(shí)時檢測病毒掛馬等威脅并實(shí)時阻斷帶有病毒地網(wǎng)絡(luò)訪問.日志審計 記錄內(nèi)網(wǎng)計算機(jī)在網(wǎng)絡(luò)上進(jìn)行地所有操作實(shí)時查看哪些計算機(jī)觸發(fā)了防火墻規(guī)則,準(zhǔn)入規(guī)則,或者最近是否存在攻擊事件,異常流量針對某一臺是否流量異常分析是因?yàn)椴《具€是蓄意攻擊對網(wǎng)絡(luò)地狀況有一個宏觀地了解.附表1：重要性能指標(biāo)：吞吐速度：100Mbp并發(fā)會話數(shù)目：300,轉(zhuǎn)發(fā)時延：0.1ms網(wǎng)絡(luò)接口：局域網(wǎng)接口： 100B2廣域網(wǎng)接口： 100B2擴(kuò)展接口：無串口：電源：輸入電壓：1冗余電源：無環(huán)境：

5~45工作5~45環(huán)境相對濕度：5~90%非,冷凝硬件規(guī)硬件規(guī)尺寸(cm>：重量42.7(W>X32.9(D>X4.45(H>4.5標(biāo)準(zhǔn)機(jī)架式結(jié)構(gòu)2、功能要求介紹類功能詳細(xì)指標(biāo)訪問控制危險網(wǎng)站阻隔用戶可自定義對色情、病毒、釣魚網(wǎng)站地阻隔訪問訪問控制策略提供基于組、時間、服務(wù)、網(wǎng)址策略、內(nèi)容策略等多種對象組合地安全訪問控制策略P2P攔截使用深度內(nèi)容檢測技術(shù)實(shí)現(xiàn)對包括QQ、MSN、SKYPE、BT等任何P2P軟件地流量阻隔用戶認(rèn)證提供Web登錄認(rèn)證功能，提供本地用戶數(shù)據(jù)庫和LDAP,Radius用『據(jù)集成功能文件上傳下載控制對Http、Ftp文件上傳、下載類型和大小進(jìn)行控制,也能對QQ,MSN等P2P軟件地文件傳送進(jìn)行攔截IPMAC綁定提供靈活地IPMAC綁定策略代理識別功能能識別采用Http,Https,Socks等代理服務(wù)器繞過防火墻檢查地行為,從而進(jìn)行阻斷敏感數(shù)據(jù)攔截對Http、Ftp、Smtp、Imap等應(yīng)用協(xié)議做敏感數(shù)據(jù)攔截，以防泄密或引起法律糾紛訪問審計郵件延遲審計對外發(fā)郵件進(jìn)行延遲緩存，審計后才能發(fā)出，確保信息資產(chǎn)不外泄實(shí)時監(jiān)控實(shí)時監(jiān)控用戶地上網(wǎng)行為.訪問監(jiān)控監(jiān)控用戶所有地上網(wǎng)記錄，包括Web訪問、Ftp、Telnet、郵件〈含Webmail）及附件、QQ、MSN、ICQ、YahooMessage等流行IM地數(shù)據(jù).以防止信息泄密.流量分析能按用戶、協(xié)議和時間對Internet流量進(jìn)行統(tǒng)計分析,以優(yōu)化

員工對Internet地資源使用情況.管理功能管理員權(quán)限權(quán)限粒度細(xì)致，分級管理本地管理GUI方式遠(yuǎn)程管理GUI方式配置備份使用加密地配置文件進(jìn)行配置備份和分發(fā)Firmware升級通過遠(yuǎn)程升級Firmware獲得更新地軟件版本和更多功能模塊高可靠設(shè)計自動恢復(fù)看門狗提供自動恢復(fù)功能,配置恢復(fù)功能雙機(jī)備份支持雙機(jī)備份功能多線路備份支持2?4條線路地備份日志日志容量可以使用獨(dú)立地日志服務(wù)器，容量無限制.日志備份支持自動定時備份日志導(dǎo)入支持轉(zhuǎn)換日志為標(biāo)準(zhǔn)地TXT文件,便于導(dǎo)入到MSSQL或ORACLE數(shù)據(jù)庫進(jìn)行二次開發(fā)和分析數(shù)據(jù)中心可用SINFOR獨(dú)立地數(shù)據(jù)中心進(jìn)行