中小企业网络安全解决方案HEN system office room [HEN 16H-HENS2AHENS8Q8-HENH1 瑞华中小企业网络安全解决方案2009-10-26网%幽忍安全日益成为影响网络效能的重要问题，而Internet所轟前腳潛山性在增加应用自山度的同时，对安全提出了更烏的要求。

如何ISgSi毒和黑客的入侵，已成为所有用户信息化健康发展所要考虑的重要事B離旖业、企业单位所涉及的信息可以说都带有机密性，所以，其信息安全露、黑客的侵扰、网络资源的非法使用以及讣算机病毒等’都将对用切喪爛炭威胁。

为保证网络系统的安全，有必要对其网络进行专门安全防护设计。

企咖繃网络的发展加剧r炳褂的快速传播...... 临的安全问题系统漏洞、安全隐患多可利用资源丰S 病毒扩散速度快企业用户对网络依赖性强网络使用人员安全意识薄弱网络管理漏洞较多内部网络无法管控伫自/£昭:机fcM住 H/S iiKS侖网络应用成为黑客和病毒制造者的攻击U标黑客和病毒制造者将攻击®点山以前的广域网转移到企业内网可能带来的损失网络安全/病毒事故导致信息外泄和数据破坏，导致巨大财产损失网络安全/病毒事故导致内部网络瘫痪，无法正常工作网络带宽的不断加大，员工的行为无法约束，使工作效率大大下降。

系统漏洞的不断增加，攻击方式多样化发展，通过漏洞辐射全网快速传播，导致网络堵塞，业务无法正常运行。

病毒侵入导致黑客攻击使用户业务系统计算机受远程控制并实现自动与境外服务器连接，将会使用户信息网面临失、窃密和遭受境外敌对势力黑客破坏的严重威胁。

网络行为无法进行严格规划和审计，致使网络安全处于不可预知和控制的状态。

瑞华中小网络安全解决方案隸的问题，瑞华公司根据对典型中小网络的分析,制定整体的网络安全W网络内部进行了合理化的方案制定，做到最大限度的保障用户网络安鱷网络的规范应用进行管控，而且还提供了对外服务器的保护、防止黑客等等。

下面是部署典型中小网络结构拓扑图：运行。

对所有通过的数据进行检测，包括HTTP、FTP、SMTP、POP3等方案设计思路划分安全域控制网络的安全的一种方法就是把网络化分成单独的逻辑网络域，如组织内部的网络域，和外部网络域，每一个网络域山所定义的安全边界来保护。

这种边界的实施可通过在相连的两个网络或多个网络之间安全网关来控制其间访问和信息流。

网关要经过配置，以过滤两个区域或多个网络之间的通信量和根据组织的访问控制方针来堵塞未授权访问。

边界防护的技术对策U 从外部传入计算机病毒、蠕虫和特洛伊木马等重大威胁使用防毒墙中的防病毒模块进行病毒、木马的分析和査杀。

U 修改传输中的数据使用防火墙的状态检测来完成发现对传输中数据的非授权访问，另外也将阻止未授权用户在一个远程会话过程中的插入。

U 从外部攻击普eb服务器、导致内部服务器瘫痪，业务终止。

网络中应用的服务器，信息量大、处理能力强，往往是攻击的主要对象。

另外，服务提供的各种服务本身有可能成为"黑客"攻击的突破口，因此，在实施方案时要对服务器的安全进行一系列安全保护。

如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务，就会面临着派黑客"各种方式的攻击，安全级别很低。

因此当安装防火墙后，所有访问服务器的请求都要经过防火墙安全规则的详细检测。

只有访问服务器的请求符合防火墙安全规则后，才能通过防火墙到达内部服务器。

防火墙本身抵御了绝大部分对服务器的攻击，外界只能接触到防火墙上的特定服务，从而防止了绝大部分外界攻击。

U 非法用户侵入网络和ARP攻击等重大威胁使用防火墙的IP和MAC地址绑定可以有效的避免arp攻击导致网络瘫痪的发生。

从而避免了外部用户非法接入现象的发生。

局域网病毒防护U 单一的防毒策略，导致局域网病毒无限制蔓延使用瑞星网络级防病毒体系可以部署多层次病毒防线，截断病毒可能传播的各种渠道，如服务器、客户端等，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面防范U 局域网用户无法在线升级，无法统一管理，导致整个网路没有规范性。

没有集中管理的防病毒系统是不完整的防毒系统。

只有构建了统一的防病毒集中管理系统，才能保证了整个防毒产品可以从病毒监控管理中心及时得到更新，同时乂使系统管理人员可以在任何时间通过管理控制台对整个防毒系统进行集中管理, 使整个系统中任何一个节点都可以被管理人员随时管理，保证整个防毒系统有效、及时地拦截病毒。

U 局域网用户系统漏洞日益增加，蠕虫病毒的不断泛滥等重大威胁使用瑞星网络版杀毒软件可以统一修复局域网用户的系统漏洞及其不U 无法确定内部机器中毒范圉，定义机器进行处理通过管理控制台全面直观地展现整个网络中的安全悄况：网络内存在哪些病毒，哪些客户端存在病毒，客户端的升级悄况和比例，防病毒系统系统的运行情况（系统中心升级悄况，日志记录是否超大，授权数是否超出）。

并针对这些分析给出指导性的操作建议。

让网络管理员能够轻松地寧握网络中的总体安全悄况并及时调整防毒策略。

内部网络管理互联网拎制网关是面向企业用户的软硬件一体化的控制管理网关，它提供强大的网页过滤功能，屏蔽员工对非法网站的访问；提供了基于时间、用户.应用的精细管理控制策略，控制员工在上班时间干与工作无关的事悄。

如：网络游戏、炒股.观看在线视频，以及无节制的网络聊天等等，从而保障工作效率;提供了对通过电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计，避免了企业机密信息泄露；此外网康ICG还提供应用层的带宽管理，有效阻止、限制P2P等严重消耗带宽的应用，确保企业的核心业务带宽得以保障。

企业管理报头疼的爭推荐产品防从;墙：联想网御防火增拥有创新的VSP、CSE. HRP等安全关键技术.采用r独创的较为先进技术•深度核过滤技术•即基于OS内核的深度内容过滤技术。

其产品在众多领域已经部署了 4万台以上.市场占有率名列前茅。

今年6 JJ.联想网御发布了万兆级安全网关产品一金刚安全网关KingGuard.该款产品成为迄今为止业界处理性能最商的万兆安全网关产它首创在信息安全产品中应用矩阵式并行讣算系统--- Windrunner O网络防病毒软件：瑞星中小企业版杀毒软件具备优秀的病毒査杀引擎，实现全方位、多层防护，针对服务器、工作站等部署病毒防护系统，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面防范。

上网行为管理系统：网康ICG集上网行为管理和网络安全防御于一体，全面解决中小企业在网页过滤。

内容审计。

应用管理、流量控制、用户管理和安全防御等多方面的网络管理问题。

产品具有部署方便、灵活，易于操作等特点。

方案实施后达到的效果瑞星网络版防病毒实施后达到的效果通过对网络建立统一的整体网络病毒防范体系，在网络内部建立统一的病毒 防范策略，从而达到对整个网络达到以下病毒防范效果:U 建立防病毒中央控管系统 可以实时记录防护体系内每台计•算机上的査 杀病毒悄况、主动防御信息、漏洞悄况、安全状况等，为超级管理员分析整个网络中的安全悄况提供了大量的依拯。

通过管 理控制台发布查杀病毒、升级等各项命令，统一设置网络安全的各种策略，实现对整个防护 系统的自动控制，保障整个网络安全。

U扫描状态 实时监控的状态 主动防御的状态 版本信息 感染了哪些病毒根据上述信息，管理员可实时跟踪到每一个客户端的防毒状况，以便做出应对措施。

U 支持集中的病毒报警和报告在管理服务器上能够方便地査看全部范M（或组范囤）的病毒报警和报告，包括感染节 点的主机名、IP 地址、病毒名称、清除情况、被感染文件的路径等。

U 快速响应建立及时、快速的病毒响应、处理机制，能够迅速抑制病毒在网络中的传播。

从发现病 毒及病«行为到上报控制台报警信息更迅速，能够快速的定位病毒来源，病毒名 称，以便网实时监控客户端防毒状况网络管理员在管理控制台上能实时 地查看到每个客户端的下列信息： 11111络管理员能够迅速觉察并进行处理。

U 统一的自动升级为了满足不同用户的升级需求，瑞星制定了多种升级方式，网络智能升级、手动升级、代理升级。

U 客户端病毒防护效果对客户端进行全面的升级防护，统一升级、统一管理。

实施保持客户端病毒库处于最新状态，全面监控客户端的运行状况。

包括：病毒日志、不安全设置、系统漏洞等等。

「主动防御更可靠系统加固：针对系统的薄弱环节进行加固，防止系统被病毒破坏。

木马入侵拦截：最大程度保护用户访问网页时的安全，阻止绝大部分挂马网页对用户的侵害。

木马行为防御：基于病毒行为的防护，可以阻止未知病毒的破坏。

U漏洞扫描与补丁分发管理瑞星漏洞信息管理工具给网络管理员提供了一个便捷的途径，使网络管理员在短时间内做好整个网络系统的安全防范工作。

是网络更加彻底的清除各种漏洞、加固了系统。

许多病毒行为是借助系统的漏洞及缺陷等，不修补漏洞而单纯反复的借助防病毒系统来清除借助此漏洞进行传播及破坏的病毒程序将是徒劳的。

漏洞扫描配合补丁分发功能对每台客户端的漏洞扫描结果有针对性的分发补丁程序、修补漏洞，才能真正解决系统的安全性，防止更复性的入侵及病毒感染。

特别能够有效的防止威金系列病毒在网络中的传播。

防火墙实施后达到的效果U 防火墙是网络安全的屏障：防火墙系统可以说是网络的第一道防线。

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

山于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。

防火墙同时可以保护网络免受基于路山的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。

防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

U 防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置,能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。

与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

U 对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用悄况的统计数据。

当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

另外，收集一个网络的使用和误用情况也是非常重要的。

首先的理山是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。

而网络使用统讣对网络需求分析和威胁分析等而言也是非常重要的。

U 防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敬感网络安全问题对全局网络造成的影响。