捷普防火墙方案

《捷普防火墙方案》由会员分享，可在线阅读，更多相关《捷普防火墙方案（18页珍藏版）》请在装配图网上搜索。

1、交大捷普防火墙方案交大捷普网络有限公司2006年1月一、用户需求分析3二、解决方案3三、产品介绍5四、系统部署11五、产品清单及报价 12六、防火墙资质13七、产品售后服务承诺 14附录：15一、用户需求分析此次防火墙项目是考虑在总部部署防火墙，将总部中心网络进行保护，并将总部数据中 心服务器资源共享给两个分校访问，在3个校区之间采用一套校园行政管理系统进行管理。二、解决方案结合用户实际，为了解决存在的问题，并防患与未然，根据用户要求我们在网络中部署 防火墙。1、概述：防火墙犹如一道护栏隔在被保护的内部网与不可信的外部网（互联网）之间，它能阻断 来自外部的对本地网络的威胁和入侵，保护本地网络的

2、安全，它是不同网络之间信息的唯一 出入口，它能根据企业的安全策略控制（允许、拒绝、监测）出入网络的信息流，而且根据 已知的病毒码过滤通过防火墙的病毒，它本身也具有较强的抗攻击能力，它是提供信息安全 服务，实现网络和信息安全的基础设施；同时，作为内网与外网连接的设备，防火墙也必须 提供外网的访问功能，即外网用户可以访问由管理员指定的内部计算机。2、设备选型：交大捷普网络科技有限公司是一家专业网络安全产品和技术服务提供商，是国家定点 的网络网络安全产品和互连设备生产基地。交大捷普为用户提供一流的全线网络安全产品，产品涵盖了防火墙、VPN、入侵检测、 信息审计、认证计费、主机监控与审计、服务器群组动

3、态防护、可视化网络运行监视、涉密 信息系统资源安全管理平台等系列产品，并在国家行业评测中多次获得技术类最高奖项。捷普防火墙是交大捷普公司的基础类安全产品，也是捷普公司获“国家863计划”支 持研发的安全产品之一，捷普防火墙由专有系统内核、专用硬件平台和自主产权的基于状态 检测技术的软件系统构成，保证了系统本身的安全、便于管理和高效性。所以在此次项目中 我们选用西安交大捷普网络科技有限公司生产的捷普防火墙。根据企业的网络规模和应用 需求，我们选用Jump F2000-130型防火墙。3、防火墙解决那些问题：3. 1建立网络安全的屏障防火墙能极大的提高内部网络的安全性，并通过过滤不安全的服务而降低

4、风险。由于 只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁 止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这 些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项 中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文 并通知防火墙管理员。3. 2控制对主机系统的访问防火墙有能力控制对主机系统的访问。例如，某些主机系统可以由外部网络访问，而 其它主机系统则能被有效的封闭起来，防止有害的访问。通过配置防火墙，可以控制主机访 问邮件服务器、文件服务器或ERP服务器。3. 3监控

5、和审计网络访问防火墙可以记录下经过它的所有访问并作出日志记录，同时也能提供网络使用情况的 统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到检测和攻击 的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的，可以清楚防火墙是否 能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。捷普防火墙提供专用的日 志系统。3. 4防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重 点或敏感网络安全问题对全局网络造成的影响。另外，使用防火墙可以隐蔽那些会泄漏内部 细节的服务如Finger、DNS等。3. 5部署NAT机制部署NAT，

6、用来缓解网络地址短缺问题，比影藏了内部网络的结构。如我们的网络当 中原来由邮件服务器充当NAT的角色，部署防火墙后NAT功能由防火墙实现，降低了邮件 服务器负荷。3. 6扩展多媒体应用防火墙支持的多媒体协议允许用户部署基于互联网的语音和视频应用，如VoIP、视频 会议等。3. 7 VPN网络支持便于用户在互联网上和分支机构、移动办公用户建立虚拟私有局域网。3. 8病毒过滤可过滤多种通过防火墙的病毒，组织病毒的扩散。Jump竞大撞普3. 9可使网络管理变得容易实现捷普防火墙所具有的IP/MAC绑定功能和详细的基于时间、流量、源地址、目的地址、 源端口、目的端口的访问控制策略功能，可使管理者对网络

7、的使用进行完善的管理。如我们 可以将IP/MAC绑定，不允许用户私自更改IP地址；我们可以对用户访问互联网添加一条 策略，不允许周一到周五上班时间上网等。三、产品介绍捷普系列防火墙是建立在自主版权的专用实时多任务安全网络操作系统和专用硬件平 台之上，采用先进的动态检测技术，集强大的安全访问控制、高速包过滤技术、反入侵与抗 攻击技术、多级安全管理技术、实时的安全审计技术、应用代理技术、带宽管理、双机热备 份等多项功能于一体，支持各种网络协议，能够根据用户需求灵活的接入在网络的不同位置， 满足用户的各种功能需求。1、性能列表号 性能捷普F2000-130防火墙硬件外形、*接口数量3个百兆电口操作系

8、统米用捷普自主版权的JFOS(V2.8)操作系统吞吐量300M并发连接数1,000K每秒新建会话数N10KVPN隧道数2000VLAN数量4093用户数限制无限制ACL规则数限制无ACL规则数量限制168位3DES加密算法的VPN吞吐量N85M电气性能电源：AC 100-240V/50-60HZ, 350W工作环境存储温度-2570 度运行温度-1050 度竞大捷普湿度5%-90%，无冷凝机架高度支持机架安装，高度为1U平均无故障间隔时间80,000 小时2、系统组成专用的安全操作系统捷普防火墙系统基于专用安全网络操作系统之上，此安全操作系统是捷普公司参与国家 “863计划20172网络安全操

9、作系统”项目的研发成果，是具有自主版权的实时多任务安全网络操作系统。具有极高的安全性和可靠性。防*用墙专用的硬件平台专用操作系统捷普防火墙也采用专用硬件基础平台，采用高性能的CPU和专用硬件平台统硬件平台，软大容量的内存保证硬件的高性能。不同型号的产品具有不同接口 数和外形。专用的软件系统捷普防火墙在其专用的硬件平台和操作系统之上，搭建了专用的软件系统。捷普防火墙可以说是集专用硬件基础平台、专用操作系统、专用软件于一体的高效硬件防火墙产品。3、捷普防火墙的优越性：采用先进状态检测技术捷普防火墙采用了基于连接状态检查的包过滤，即状态检测技术。它将属于同一 连接的所有包作为一个整体的数据流看待，

10、通过规则表与连接状态表的共同配合，大大 地提高了系统的性能和安全性。捷普防火墙 在进行包的检测时不仅将其看成是独立的数据包进入系统查找路由信息状态信息检测基本匹配信息属于ip流？规则结构规则集合单元，同时还要考虑与它的前面包的关联性。换句话说，对于属于同一个连接的数据包来说 并不是完全孤立的，它们存在内部的关联信息。无连接的包过滤规则没有考虑这些内在的关 联信息，而是对每个数据包都进行孤立的规则检测这样就降低了传输效率和安全性。捷普防火墙基于状态的检测技术可以深入到应用层，增加了防火墙的安全控制能力，并 具有极高的性能。内核层处理通信流量一般防火墙主要在应用程序层处理数据包，因此处理数据包的内

11、核程序与进行分类和判 断的应用程序间会产生不必要的通信量，延长处理时间。而捷普防火墙则在内核处理数据包， 从数据包输入、信息分类处理、到将安全信息传输到目标地点，所有过程都在内核中进行， 保证数据包的高速处理。 高效的深层内容过滤捷普防火墙采用基于内核的深层内容过滤技术，它不采用基于用户态的代理机制，而是 将过滤技术以模块的形式实现，可以方便的插入到内核之中，采用基于面向连接的状态检测 控制技术，保证了内容过滤的高性能；采用专用的查询匹配算法支持，又保证了其高精确性。 因为运行于内核态，解决了传统基于代理的内容过滤技术效率低下，影响防火墙性能，且无 法满足多种协议等问题。具有处理效率高、匹配精

12、度强、配置灵活方便、可扩展性好的特点。4、捷普防火墙特点 采用自主版权的专用安全操作系统(JFOS)捷普防火墙建立在自主版权的专用实时多任务安全网络操作系统和专用硬件平台之 上，由于专用的安全操作系统没有后门、漏洞以及多余的服务，极大的提高了防火墙系统 的自身安全性。采用先进的包过滤与状态检测技术捷普防火墙采用了先进的包过滤算法，极大的提高了报文转发效率。高效的状态检测 技术可以深入到应用层，增加了防火墙的安全控制能力，并具有极高的性能。捷普防火墙 百兆产品可以达到线速，同时具有极低的延时，可以满足各类用户对性能的要求。 模块化设计，扩展能力强采用模块化的设计思想，可以根据用户的不同需求进行软

13、硬件的扩充与升级，保护用 户的有效投资。支持多种工作模式支持透明、路由、策略路由、混合等多种工作模式，适应于各种复杂的网络结构。支 持基于接口地址、地址池、VLAN接口、目标接口、目标地址的NAT及反向NAT；可实现跨 NAT的H.323通讯；支持常用的组播路由协议(IGMP、PIM等)。 多DMZ区域支持捷普系列防火墙都具有多个接口，而且每一个接口都可以作内网、外网或者DMZ区，因此可以作多个DMZQ区域保护或者内网安全分段。捷普防火墙支持接口速率的自协商和自 定义两种方式，以满足不同网络环境的特定需求。安全有效的管理机制支持本地管理及远程管理方式。提供本地Console方式的命令行配置方式

14、；提供基于 SSH/SSL协议的远程安全管理；基于Windows GUI的配置管理软件，易于操作，可远程同时 管理多台多型号的防火墙，并可以实时监测防火墙运行状态。基于命令行和GUI的管理界 面均采用分权制，不同级别的管理员有不同的权限。捷普防火墙还提供了在线帮助，有中/ 英文两种格式，更方便国内用户使用。 灵活的立体访问控制全面的访问控制策略，支持基于IP地址、端口号、服务协议、MAC地址、时间和日期 的访问控制；可通过IP地址和MAC地址的绑定，防止非法IP地址盗用。 强大的身份认证支持Radius、TACACS+、LDAP认证协议，确保服务器和客户端程序之间通信的可靠性， 使网络资源的保

15、护更安全、更可靠。可针对每一位用户定制网络安全规则，以便对该用户网 络访问动作进行动态的监控。 基于规则的带宽管理采用基于规则的带宽管理方式，配置简单灵活，能确保重要部门的网络带宽得到优先的 保证，更好地优化网络带宽的使用，提高网络资源的利用率。全面的连接管理功能能够限制主机/网段所允许建立的最大并发连接数，避免恶意攻击或网络病毒占用防 火墙连接资源；能够手动调整协议的超时时间，根据实际网络环境，充分优化防火墙性能; 同时提供连接手工阻断机制。标准的网络管理协议系统支持SNMP（v1、v2、v3）协议，用户使用目前任意一种操作系统平台上的网络管理软 件都可以对捷普防火墙进行统一的管理和监控。

16、DHCP协议支持捷普防火墙支持DHCP Server/Cliento捷普防火墙既可以作为DHCP服务器，为网 络中的计算机动态地分配IP地址，方便网络的应用和IP地址的管理；也可作为DHCP客户 端，可以动态地获得IP地址，方便灵活地接入用户的网络环境。 灵活的VlAN支持提供灵活方便的802.1Q VLAN协议的接入支持，支持针对VLAN通讯的安全访问控制， 可以用防火墙作VLAN之间的路由，或者让VLAN信息穿越防火墙。 支持ADSL接入捷普防火墙支持动态接入的PPPoE协议，便于小型办公场所或是公司分支机构利用广 泛使用的ADSL业务实现网络互连。支持基于PPPoE协议的策略路由以及动态

17、IPSec VPN网 关，以满足各种接入形式的需要。 全面的多媒体应用支持提供完整的H.323协议族（包括T.120、RAS、Q.931和H.245等）支持，方便用户扩 展IP宽带接入。支持多媒体MCU、GK、视讯终端、IP电话、视频会议、VOD点播等多媒体 应用，支持基于Netmeeting和QQ的聊天会话、语音、视频通信。卓越的高可用性捷普防火墙支持双机热备功能、对服务的负载均衡能力和基于802.3ad协议的链路备 份功能。提供了基于主一从模式的双机热备、主一主模式的负载均衡，以提高网络可靠性 和防火墙的高可用性。支持的基于802.3ad协议的链路备份，当连接防火墙的某条线路断 掉，或者某

18、个接口出现故障，防火墙同样可以察觉，并进行切换，从而保证网络的应用。 完善的VPN功能捷普防火墙支持最为全面的IPSec VPN功能。能够支持手工密钥和IKE自动密钥交换， 支持预共享密钥与X.509证书两种认证方式，而且产品具备完善的X.509数字证书配置与 管理功能；支持 3DES、AES、BLOWFISH、TWOFISH、CAST、SERPENT 加密算法，支持 MD5、SHA1、 SHA2等摘要算法，支持国密办通过的硬件加密卡；支持NAT穿越，具有端点失效检测和动 态域名系统的配置功能。能够基于子接口和动态拨入构建VPN隧道，支持星型拓扑的VPN 接入，支持路由和透明模式下的VPN接入

19、。完全兼容主流VPN产品，支持与其互联。捷普防火墙还支持PPTP VPN。可以实现用户级安全隧道的建立，具有配置简单、安全 强度高的特点，适用于移动办公用户与公司本部之间建立安全的VPN通讯隧道。 强大的实时日志审计功能提供专用的日志管理系统，为用户提供实时的日志集中统一管理，具有网络层事件、 传输层事件、应用层事件、入侵事件、操作事件等多种日志信息。支持日志信息的本地及 异地存放，支持日志信息的浏览和查询。支持日志统计功能，并能提供多种统计信息（流 统计、攻击报文数目）。日志支持审计功能，可对日志进行数据挖掘、分析。也可为管理员 定制实时报警功能。 基于内核的深层内容过滤功能捷普防火墙采用基

20、于内核的深层内容过滤技术，解决了传统基于代理的内容过滤技术效 率低下，影响防火墙性能，且无法满足多种协议等问题。具有处理效率高、匹配精度强、配 置灵活方便、可扩展性好的特点。支持基于WEB页、URL过滤、邮件内容(包括附件)、文 件类型、等实时内容过滤、FTP动作字过滤、POP3/SMTP附件过滤等功能，也可过滤 JavaScript、JavaApplets、ActiveX、Cookies 等恶意代码。 内置入侵检测捷普网关防火墙内置网络入侵检测防御系统(IPS)可以实时检测到1300多种网络攻击 行为，能有效检测出ddos攻击、dns攻击、dos攻击、ftp攻击、icmp攻击、scan攻击、

21、 telnet攻击、virus攻击、web攻击等多种攻击行为和蠕虫病毒，并能实时的阻断攻击，提 供了端口隐藏，端口到应用的映射机制，保障了网络的安全，提高防火墙自身的安全性。并 支持IPS规则库的升级。病毒主机定位捷普防火墙可以检测感染病毒的主机，提供网内感染病毒主机的清单，以帮助网络管理 员定位感染病毒的机器，防止病毒进一步蔓延。全面的自检测功能全面的实时工作状态自检测与报警功能。实时自检测防火墙系统工作状态、接口工作状 态、模块工作状态，以及自检测地址冲突、自检测连接数异常、自检测CPU/内存使用异常、 链路失效时默认路由的自切换等告警功能；当发生异常时，迅速以日志、邮件等形式告警， 并通

22、告网络管理人员。 开放的联动协议一 USP基于XML/SOAP的开放联动协议USP(Unified Secerity Protocol)，提供联动阻断/联 动认证/负载均衡/双机热备/系统核心状态数据获取等服务接口。可与捷普IDS、启明星辰 IDS、中联绿盟IDS等产品联动。支持远程在线升级捷普防火墙支持对内核的在线升级功能和IPS模块的在线升级功能。用户可通过捷普公 司的网站了解产品动态升级的最新情况，下载最新的防火墙内核软件，及时对防火墙系统和 IPS模块进行在线升级，使防火墙一直保持最良好的状态。四、系统部署防火墙部署示意图说明：1、总部网络中部署的捷普防火墙对总部网络数据实施防护，并将

23、DMZ区的服务器资 源发布供两个分校和出差用户访问，防火墙对数据访问进行控制和记录；建议DMZ区挂接 Web（包括行政管理、校园网站）、FTP服务器，并利用简便的网页形式登陆FTP服务器做 文件服务。今后在需要时采用地址映射的方式使公网用户访问DMZ区的资源。2、防火墙代替代理服务器，校园网用户通过防火墙接入互联网；3、捷普防火墙日志系统对所有通过防火墙的访问进行记录，供统计、查询和分析；4、通过防火墙策略控制校园网内的网络访问，有效管理出口带宽；5、对入侵攻击进行防御，支持网络的连续和有效服务；Jump竞大撞普五、产品清单及报价序号产品型号数量单价总价备注1Jump 130121500215

24、0023合计12150021500六、防火墙资质公安部颁发的计算机信息系统安全专用产品销售许可证中国国家信息安全测评认证中心颁发的国家信息安全认证产品型号证书国家保密局涉密信息系统安全保密测评中心颁发的涉密信息系统产品检测证书中国人民解放军信息安全测评认证中心颁发的军用信息安全产品认证证书七、产品售后服务承诺1. 捷普公司对产品提供一年免费保修服务，终身维护。在保修期内，提供免费的硬件 保修和系统软件升级服务。保修期外，提供免费的系统软件升级服务，对硬件仅收取成本费 用；2. 捷普公司承诺，针对本次项目，我们在南京特提供防火墙备用机一台，以备设备故 障时进行替换；3. 提供本地化，7X24小时

25、的现场服务。如设备出现故障，将第一时间做出实质性响应， 在2小时内赶到现场。如出现暂不能解决的故障，捷普公司启用备用机；4. 捷普公司为用户提供三年的免费技术支持，公司客户响应中心7x24小时提供信息与技术方面的协助；5. 捷普公司为用户制定详细的培训计划，针对本次项目，将免费提供防火墙技术培训；附录：A、捷普公司简介西安交大捷普网络科技有限公司是网络安全、网络互联产品提供商，为客户提供国内一 流的高中低端全线网络安全产品和安全服务。公司承担国家“网络交换和安全设备产业化示范工程”，是国家唯一定点的网络安全产 品和互联设备生产基地。国内唯一承担了三项以上“863 ”网络安全高科技计划，五十多项

26、国家级、省部级科技 攻关项目、火炬计划项目的公司。国内唯一拥有从防火墙、入侵检测、信息审计、认证计费、VPN、网络行为监控、互联 网安全接入系统到服务器群组动态保护系列安全产品最多的公司。国内唯一所以安全产品均通过国家主管部门和军队的资质认证。国内唯一全线安全产品都取得国家行业评测技术类最高奖项。国内第一家推出全面安全网络应急、安全评估的公司国家军队情报专网核心骨干防火墙唯一产品供应商。B、企业及产品部分相关资质荣誉ISO9001:2000国际质量体系认证信息产业部：系统集成二级资质国家保密局：涉密集成甲级资质国家计委：国家高技术产业化示范工程公安部：防火墙销售许可证公安部：VPN销售许可证国

27、家密码管理委员会办公室：中国信息安全测批中心：产品型号证国家保密局：涉密产品检测证书解放军：军用产品检测证书C、部分成功案例政府国家财政部河南财政陕西省电子政务办国家经贸委陕西省高级人民法院四川省统计局陕西省省委陕西省统计局西安市市政府甘肃省省政府陕西省公安厅陕西省财政厅青海省保密局新疆自治区河南省卫生防疫站杨陵农业科技局乌鲁木齐市政府陕西省工商局四川省经济信息中心西安市广播电视局陕西省政法委乌鲁木齐市财政局西安市公安局宝鸡市地税局西安市高新技术开发区西北国贸招标局西安市国家税务局陕西省广播电视局新疆巴周计划委员会 陕西省会计核算中心 陕西省纪律检查委员会 甘肃省广播电视局 陕西省地税局咸阳是

28、政法委青海省公安审计厅西安市人大电子政务系统 陕西省机要局陕西省交警总队 陕西省检验检疫局金融、教育中国人民银行西安市支行煤炭科学研究院重庆分院北京国防科技大学中国建设银行陕西省分行陕西省基础地理信息中心青海师范大学长庆油田结算中心陕西省图书馆西安交通大学中国科学院近代物理研究所山西教育网络西安理工大学煤炭科学研究总院西安分院兰州大学西安石油大学西安市连湖区教育信息系统西安电子科技大学西安建筑科技大学广东省南海城域教育系统陕西理工大学陕西国防科技学院西北第二民族学院西安体育学院西安陆军学院西北教育科研网西北师范大学青海民族学院江阴周庄中学江阴青阳中学运营商云南电信山西网通四川铁通河南广电甘肃网

29、通陕西铁通青海电信青海网通甘肃铁通陕西电信西安网通乌鲁木齐电信西安电信宁夏联通乌鲁木齐广电咸阳电信四川联通网通西北公司江苏联通宁夏广电西北网络中心昆明铁通陕西广电郑州铁通重庆广电北京网通广东佛山电信山西广电四川广电 行业长庆油田胜利油田中原油田大庆油田西北国电公司陕西电力公司陕西农电公司宁夏电力公司甘肃电力公司青海电力公司江苏电力公司中铁一局郑州铁路局兰州铁路局北京铁路局上海铁路局铁路局南方航空西北航空西航公司航天通信股份航空631所企事业单位国防情报专网商州军分区青海万力数码科技有限公司西安筑路界些有限公司西安民生集团银川创利大业网络有限公司秦丰农业北京航天时代北京大唐高鸿网络有限公司云南烟单陕西马鞍桥金矿甘肃同兴智能科技发展公司公路交通科技开发公司兰州军区昆明中为通信网络有限公司空军一基地204研究所新疆新能信息通信有限公司南京宇博科技有限公司青海澳凯公司郑州世博科贸有限公司智宇科技有限公司7研究所西安市曲江水厂杭州哈特数字技术有限公司50研究所重庆环宇电子系统公司江苏省计生委徐州检察院