网络安全系统设计方案

2024年5月5日发(作者：)

第一章 前言…… 2 1.1 概述 …… 2 第二章 系统安全需求分析 …… 4

2.1 计算机网络环境描述 …… 4 2.2 网络安全需求分析 …… 5 第三章 网络安全解

决方案设计 …… 9

3.2 网络安全系统设计的原则 …… 9 3.3 安全防范方案设计构思 …… 10 3.4 总体设

计架构 …… 12 3.5 防火墙系统设计 …… 13 3.5.1 方案原理…… 13 3.5.2 设计目标……

14 3.5.3 部署说明…… 14 3.5.4 防火墙功能设置及安全策略 …… 16 第四章 产品简

介…… 18 4.1 防火墙简介 …… 18

-1-

第一章 前言

1.1 概述

随着我国信息化建设的快速发展，各级单位和部门都正在建设或 者已经建成自己的信

息网络，而随之而来的网络安全问题也日益突 出。安全包括其上的信息数据安全，日益成

为与公安、教育、司法、 军队、企业、个人的利益息息相关的“大事情” 。 结合国内的

实际情况，网络安全涉及到网络系统的多个层次和多 个方面，而且它也是个动态变化的过

程，因此，国内的网络安全实际 上是一项系统工程。它既涉及对外部攻击的有效防范，又

包括制定完 善的内部安全保障制度；既涉及防病毒攻击，又涵盖实时检测、数据 加密和安

全评估等内容。因此，网络安全解决方案不应仅仅提供对于 某种安全隐患的防范能力， 而

是应涵盖对于各种可能造成网络安全问 题隐患的整体防范能力；同时，它还应该是一种动

态的解决方案，能 够随着网络安全需求的增加而不断改进和完善。 同时，网络安全服务在

行业领域已逐渐成为一种产品。在信息化 建设过程中，国内用户面临的最大问题就是网络

安全服务的缺乏。信 息安全服务已不再仅仅局限于产品售后服务，而是贯穿从前期咨询、 安

全风险评估、 安全项目实施到安全培训、 售后技术支持、 系统维护、 产品更新这种项目

周期的全过程。服务水平的高低，在一定程度上反 映了厂商的实力， 厂商的安全管理水平

也成为阻碍用户对安全问题认 识的一个主要方面。这就对安全厂商提出了比较高的要求，

如何为用

-2-

户服务、并使用户满意，已经成为每个网络安全产品厂商和解决方案 提供者需要认真

思考的问题。 在 XXX 网络络安全方案初步设想的基础上， 根据 XXX 网络安全的 切合实

际、 保护投资、 着眼未来、 分步建设的原则， 特点和需求， 本着切合实际、 切合实际

保护投资、 着眼未来、 分步建设 提出了针对 XXX 网络安全需求的解决方案。

-3-

第二章 第二章

系统安全需求分析 系统安全需求分析 安全

2.1 计算机网络环境描述

随着 XXX 系统信息化需求的不断增长，网络应用的不断扩展、 现有的信息基础设施

和信息系统安全措施逐渐暴露出了诸多问题， 如 原有的信息系统业务信息化程度较低，安

全方面考虑较少，所以在网 络和信息安全及其管理方面的基础非常薄弱： 整体上没有成熟

的安全 体系结构的设计， 管理上缺乏安全标准和制度， 应用中缺乏实践经验； 信息系统

缺乏有效的评估与审计，外网的接入无完善的保护措施等 等。其网络拓扑如下图所示：

网络拓扑图说明： 网络拓扑图说明： XXX 网络以一台路由器连接到互连网。 XXX 网

络内部设立五台服务器。 XXX 网络内部设立有多了 LAN，通过路由器连接互连网。

-4-

网络安全需求分析 2.2 网络安全需求分析

主要的网络安全风险主要体现在如下几个方面：内部局域网风 险、应用服务安全风险、

互联网风险，我们将对 XXX 网络各个层面存 在的安全风险进行需求分析： 内部局域网风

险分析 主要是保证 XXX 网络结构的安全、在网络层加强访问控制能力、 加强对攻击的实

时检测能力和先于入侵者发现网络中存在漏洞的能 力；加强全网的安全防范能力。具体可

以概括为： 在 XXX 网络中，保证非授权用户不能访问任何一台服务器、路由 器、交换机

或防火墙等网络设备。 内部网络与外部网络（相对于本 地局域网以外的网络） ，考虑采

用硬件防火墙设备进行逻辑隔离，控 制来自内外网络的用户对重要业务系统的访问。 在

XXX 网络上，一般来说，只允许内部用户访问 Internet 上的 HTTP、FTP、TELNET、邮件等

服务，而不允许访问更多的服务；更进 一步的是要能够控制内部用户访问外部的非授权色

情暴力等非法网 站、 网页， 以防员工利用网络之便上黄色网站、 聊天、 打网络游戏等，

导致办公效率降低。 应用层的安全风险分析 系统中各个节点有各种应用服务，这些应用服

务提供给 XXX 网络 内部各级单位使用， 如果不能防止未经验证的操作人员利用应用系统

的脆弱性来攻击应用系统，会造成系统数据丢失、数据更改、非法获 得数据等。

-5-

防火墙的访问控制功能能够很好的对使用应用服务的用户进行 严格的控制， 配合以入

侵检测系统就能安全的保护信息网的各种应用 系统。 WWW 服务器安全风险 服务器崩溃，

各种 WEB 应用服务停止； WEB 服务脚本的安全漏洞，远程溢出(.Printer 漏洞)； 通过 WEB

服务服务获取系统的超级用户特权； WEB 页面被恶意删改； 通过 WEB 服务上传木马等

非法后门程序，以达到对整个服务器的 控制； WEB 服务器的数据源，被非法入侵，用户

的一些私有信息被窃； 利用 WEB 服务器作为跳板，进而攻击内部的重要数据库服务器； 拒

绝服务器攻击或分布式拒绝服务攻击； 针对 IIS 攻击的工具，如 IIS Crash； 各种网络病毒

的侵袭，如 Nimda,Redcode II 等； 恶意的 JavaApplet,Active X 攻击等； WEB 服务的某些

目录可写； CGI-BIN 目录未授权可写，采用默认设置，一些系统程序没有删 除。 软件的

漏洞或者“后门” 软件的漏洞或者“后门” 随着软件类型的多样化，软件上的漏洞也是日

益增加，一些系统 软件、桌面软件等等都被发现过存在安全隐患。可以说任何一个软件

-6-

系统都可能会因为程序员的一个疏忽、 设计中的一个缺陷等原因而存 在漏洞，这也是

XXX 网络网信息安全的主要威胁之一。 资源共享 XXX 网络系统内部自动化办公系统。因

为缺少必要的访问控制策 略。而办公网络应用通常是共享网络资源，比如文件共享、打印

机共 享等。由此就可能存在着：同事有意、无意把硬盘中重要信息目录共 享，长期暴露在

网络邻居上，可能被外部人员轻易偷取或被内部其他 用户窃取并传播出去造成泄密. 电子

邮件为网络系统用户提供电子邮件应用。内部网用户能够通 过拔号或其它方式进行电子邮

件发送和接收这就存在被黑客跟踪或 收到一些特洛伊木马、 病毒程序等， 由于许多用户

安全意识比较淡薄， 对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带 来

不安全因素。 服务漏洞 Web 服务器本身不能保证没有漏洞，不法分子可能利用服务的漏

洞修改页面，甚至破坏服务器。系统中的 BUG，使得黑客可以远程对 公开服务器发出指令，

从而导致对系统进行修改和损坏，包括无限制 地向服务器发出大量指令，以至于服务器“拒

绝服务” ，最终引起整 个系统的崩溃。这就要求我们必须提高服务器的抗破坏能力，防止

拒 绝服务（D.O.S）或分布式拒绝服务（DDOS）之类的恶意攻击，提高 . . 服务器备份与恢

复、防篡改与自动修复能力。 数据信息的安全风险分析

-7-

数据安全对 XXX 网络来说是至关重要的，在网上传输的数据可能 存在保密性质，而

出于网络本身的自由、广泛等特性，数据在广域网 线路上传输，很难保证在传输过程中不

被非法窃取和篡改。黑客或一 些不法份子会通过一些手段，设法在线路上获得传输的数据