深信服全产品解决方案

深信服电子科技

整体解决方案

深信服科技（SANGFOR Technologies Co., Ltd,）版权所有

（2015）

文档中的全部内容属深信服科技所有，

未经允许，不可全部或部分发表、复制、使用于任何目的。

目录

1 项目背景 (7)

1.1 项目产生背景 (7)

2 现状说明 (8)

2.1 网络现状说明 (8)

2.2 业务现状说明 (8)

3 需求分析 (9)

3.1 边界安全需求 (9)

3.2 业务稳定的需求 (10)

3.3 流量监控与管理的需求 (10)

3.4 终端安全防护的需求 (11)

3.5 移动用户安全接入的需求 (11)

3.6 分支机构安全接入的需求 (12)

3.7 无线局域网的需求 (13)

3.8 漏洞扫描的需求 (13)

3.9 网络安全审计的需求 (13)

3.10 服务器虚拟化的需求 (14)

3.11 安全监控与告警的需求 (14)

4 总体方案设计 (16)

4.1 方案设计原则 (16)

4.2 总体网络拓扑图 (18)

4.3 安全区域划分 (19)

4.3.1 安全域划分的依据 (19)

4.3.2 安全域划分与说明 (20)

5 详细解决方案 (21)

5.1 边界防护 (21)

边界防护设计方案 (21)

边界安全设备选型 (22)

5.2 负载均衡 (22)

负载均衡设计方案 (22)

负载均衡设备选型 (23)

5.3 流量监控和管理 (24)

流量监控和管理设计方案 (24)

流量监控和管理设备选型 (26)

5.4 终端虚拟化 (28)

终端虚拟化设计方案 (28)

终端虚拟化产品选型 (30)

5.5 移动用户安全接入 (31)

移动用户安全接入设计方案 (31)

移动用户安全接入产品选型 (31)

5.6 分支机构安全接入 (32)

分支机构安全接入设计方案 (32)

分支机构安全接入产品选型 (35)

5.7 无线局域网 (36)

无线局域网设计方案 (36)

无线局域网产品选型 (37)

5.8 漏洞扫描 (39)

5.9 网络审计 (39)

网络安全审计系统设计方案 (39)

网络审计设备选型 (40)

5.10 服务器虚拟化 (42)

服务器虚拟化设计方案 (42)

服务器虚拟化选型 (43)

5.11 应用性能管理 (45)

应用性能管理系统设计方案 (45)

应用性能管理系统选型 (45)

6 设备清单 (46)

1项目背景

1.1项目产生背景

（加入客户背景），示例：

xx市信息中心是xx市政府的直属结构，负责xx市的电子政务外网建设和xx市的门户网站建设。

政务外网横向连接党委、人大、政府、政协、法院、检察院以及市直各部门，纵向上联省电子政务外网，下延至各县市区、乡镇和社区。从根本上解决我市电子政务建设中纵向网络重复建设、部门横向互不连通，信息资源封闭、数据不能共享的问题。

xx市门户网站群是以市政府门户网站为主站，横向包含100个市直单位，纵向13个县市区门户网站的站群平台。打破以往分散建设、管理、维护的模式，形成xx市政府网站的大集中模式，从管理和维护上更规范，从安全上更牢固，从信息的共享、内容保障等工作上更有效。

2现状说明

2.1 网络现状说明

具体网络拓扑如下：

加入现有拓扑图2.2 业务现状说明

加入现有业务现状

3需求分析

3.1 边界安全需求

建议对现有网络进行安全域划分，分域防护。采用逻辑隔离、入侵防护等手段，对XX客户的网络边界进行有效防护。

网络边界防护：基于网络层的攻击是互联网上最常见的攻击，包括各种DOS攻击、端口扫描、网络层渗透等等，这种攻击行为的技术门槛较低，但攻击范围广，而门户网站群需要通过互联网对公众提供服务，这些网络安全边界很容易遭受各类攻击，而防火墙等网络边界防护设备能够阻挡这些基于网络层的攻击行为并实现细粒度的访问控制，保障门户网站的安全。

应用安全防护：随着攻击技术的发展，攻击的目标重点转移到系统中的应用，而攻击的手段也从网络攻击逐步上升为应用层的攻击，如针对各种应用的缓冲区溢出攻击、应用系统渗透等等，这种攻击所造成的危害更大，将导致业务系统被破坏。尤其是通过互联网对公众提供服务的业务系统，一旦攻击者发现其应用漏洞并从事相应的破坏行为，网络层的安全防护措施很难发挥效用，必须要从应用层进行相应的安全防护。入侵防御和Web安全防护技术正是针对这里应用层攻击进行防御的安全措施，能够有效弥补防火墙等基础防护设备的不足，有效检测和防范四至七层攻击，与防火墙相互配合实现整体的安全防护。

恶意代码防护：各类木马、病毒及网络蠕虫等恶意代码对IT系统的影响越来越大，变种多、扩散快、传播广等问题都会对大规模的网络造成严重影响，因此，对于门户网站群这样一个规模较大且需要逐步扩展的网络来说，安全防护的一个重要需求进行恶意代码的防护。对于互联网操作系统这样规模较大的网络，需要从网关层次及系统

层次两个层面互相配合，网关防病毒系统能够在网络边界处拦截各类基于网络传播的蠕虫病毒、木马等恶意代码；而基于网络的终端防病毒系统则能够在本机侧重进行文件型恶意代码的查杀，并实现全网的统一病毒管理。通过网络层和系统层恶意代码防护的相互配合，实现“层层设防、集中控制、以防为主、防杀结合”的防毒防护策略，从而最大程度的实现恶意代码的防护。

3.2业务稳定的需求

门户网站群是对公众提供服务的业务系统，网站的健康状况直接影响单位的形象，因此必须保障门户网站在任何时候的可用性。而从业务系统的高稳定性上来说，一般分为以下几个部分：

●链路高可用：采用多运营商互联网出口以解决南北运营商互通的问题，同时多

链路部署的方式能够保障业务系统不会因为链路的中断而断线。

●服务器高可用：业务系统承载于服务器，服务器虽然稳定可靠但仍然存在故障

的可能性。为了避免因为服务器故障引起的业务系统中断，需要采用高可靠

的冗余技术，保障单台服务器发生故障时，不会影响公众对业务系统/门户网

站的访问。

3.3流量监控与管理的需求

对外发布的业务系统采用了多条互联网接入链路，而内部用户又包括众多的业务部门，如何分配各个业务系统及业务部门的带宽并自动选取最佳链路是保障业务系统的正常运转基本条件。因此需要一种有效的手段来帮助实现基于业务系统特性、基于业务部门重要性的流量分配机制，如：针对门户网站及生产业务系统，予以重点保障带宽，避免影响用户使用体验;而对于员工的互联网浏览等降低工作效率的流量请求