大型企业网络安全解决方案

大型企业网络安全解决方案

1. 前言

随着网络应用的日益广泛，各种大型企业或单位也将通过网络与用户及其他相关行业系统之间进行交流，提供各种网上的信息服务，但这些网络用户中，不乏竞争对手和恶意破坏者，这些人可能会不断地寻找系统内部网络上的漏洞，企图潜入内部网络。一旦网络被人攻破，机密的数据、资料可能会被盗取、网络可能会被破坏，给系统带来难以预测的损失。因此，防火墙便成为网络安全必不可少的产品，天网防火墙在系统网络与外部网络用户之间建起了一道安全的屏障，从而有效地抵御外来攻击，防止不法分子的入侵。

2. 产品特性说明

• 软硬件一体化的结构

防火墙对于用户来说，只是一个类似路由器的硬件设备，整体系统采用黑盒设计，防火墙系统与硬件紧密结合，发挥硬件最高效能，减少由于操作系统问题而产生网络漏洞的可能，提高系统自身安全性。

• 快速安装功能

传统的防火墙在安装时极为麻烦，首先需要安装操作系统，调整网络参数，安装防火墙软件，然后进行网络参数设置，系统管理员如果没有经过专门的培训，在短时间内装好防火墙几乎是不可能的事情。天网防火墙I具有快速安装特性，可以实现从上架安装、连接网线、上电、参数设置完毕整个过程不超过15分钟。

• 基于浏览器的Web管理界面

通常一个小型企业并没有一个防火墙专家来专门负责防火墙方面的工作，天网防火墙具有多语言支持简单易用的Web设置界面，令管理员熟练地掌握系统的时间大大减少，操作简单、管理方便，只要具有一定网络相关知识的人即可胜任。

• 完善的访问控制功能

天网防火墙灵活完善的网络访问控制，不仅包括现有的所有网络服务，同时可以兼顾将来各种新的网络服务，在有效地保障企业网络安全的前提下又能保证各种网络服务的畅通无阻。

• MAC地址绑定

天网防火墙所具有的MAC地址绑定功能可以很好地解决内部网络在地址资源的分配问题。当网络用户被分配或自行设定一个IP地址以后，防火墙系统就能接收到相应的地址广播，在防火墙系统上列出相应的IP地址与MAC地址，并可以选择是否把这个IP地址与相应的MAC地址绑定，这样可限定IP地址只能在一台指定的工作站上使用，既可以防止IP地址冒用，又大大方便了日常网络的IP地址管理。

• 支持第三区域网络

在只拥有一套传统防火墙的情况下，通常无法实现对多个网络的同时保护，天网防火墙附加的第三个网络接口的灵活的规则可轻松地处理好3个物理网络间的关系，不但节省了企业的投资，还同时保护了多个网络的安全，，而且可以避免因为内部网络的不当操作而影响服务器的正常运作。

• NAT方式节省网络地址资源

对于一个小型网络来说，申请的IP地址不会太多，如果网络中的每一台设备都需要一个IP地址，会造成IP地址的严重不足。 天网防火墙提供的网络地址转换（Network Address Translation）功能不仅可以隐藏内部网路地址信息，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet 地址和私有IP地址的使用。通过NAT功能，天网防火墙系统可以帮助采用私有地址的内部网用户顺利的访问Internet的信息资源，不但不会造成任何网络应用的阻碍，同时还大量节省了网络地址资源。

3. 天网网络安全解决方案

3.1 用户需求分析

按照服务性质和管理区域划分，用户网络主要分为三个部分： 1、内部网络。提供内部用户日常办公操作环境。 2、DMZ网络。提供各种信息服务。 3、外部网络。提供到Internet连接。

主要应用类型包括： 1、大型企业内部信息发布 2、Internet应用

安全策略为先关闭全部服务和端口，再开放部分服务和端口。

3.2 网络结构

根据企业的网络状况，我们建议使用基于天网防火墙企业－II型防火墙的安全解决方案。下图为本建议方案的网络拓扑示意图。

方案将现有网络划分为物理上相互独立的三个网段： 1、公共网段（Public_Nework） 2、停火区网段（DMZ_Network）3、 私有网段（Private_Network）

其中，公共网段提供面向Internet的广域网连接和其他各行访问的支持；停火区网段安放各种数据库、FTP/Web服务器和企业内部业务信息服务器，提供多种面向Internet的应用服务；内部私有网段保障本地用户安全地访问外部网络资源，以及对停火区内各服务提供设备进行更新和维护。

3.3 安全策略

目的：1、 划分安全区域。2、制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。3、 审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。

根据对用户需求的分析，企业内部网络可以划分为以下几个安全区域：1、 内部网段 2、公共网段 3、外部网段。分属三个安全区域的网段通过天网防火墙进行互连。

No.	安全区域	安全级别	访问级别
1	外部网段	低级	无。提供网络连接。
2	公共网段	中级	外部可访问符合安全策略的网络资源；内部可以更新和维护。
3	内部网段	高级	可自由访问外部网络资源；对外不可见。

 

 

 

现有需要进行审核和过滤的应用和服务类型包括：

服务类型	端口范围/协议类型	说明
DNS	53, tcp/udp	域名服务
WWW	80, tcp	WWW服务
SMTP/POP3	25/110, tcp	电子邮件
FTP	21/20, tcp	文件传输服务
Etc	自定义	用户自定义

4. 防火墙配置方案

根据网络安全解决方案中的用户需求、网络拓扑以及制定的安全策略， 防火墙采取以下配置方案：

类别	项目	IP地址/掩码	说明
Networks	Pubic_Network Internal_Network	202.96.151.206/30 10.232.0.0/20 10.43.10.0/24	外部网络 内部网络
Interfaces	Serial 0 Ethernet 0 fxp2 fxp1 fxp0	unnumbered Ethernet 0 202.96.151.207/30 202.103.64.58/30 192.168.0.0/24 10.0.0.0/24	2511路由器广域网接口 2511路由器局域网接口 连接到外部网络 连接到公共网络 连接到内部网络
公共服务器	Web DNS Mail Ftp	192.168.0.2/24 192.168.0.3/24 192.168.0.4/24 192.168.0.5/24
内部工作站	CONSOLE	10.0.0.1/24	网管工作站

4.2系统设置

路由设置	目的网络/掩码	网关地址
	0.0.0.0/0.0.0.0	202.96.151.206
DNS设置	202.96.128.68
系统纪绿输出地址	CONSOLE

5. 技术服务

• 网络安全特性检测

网络安全检测（包括对网络设备、防火墙、服务器、主机、操作系统等的安全检测）是指使用网络安全检测工具，用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补求措施和安全策略，达到增强网络安全性的目的。 原则上，在一些关键业务网络系统，应该具备功能较强的网络安全检测或分析软件，通过定期对整个网络系统的扫描分析，即时对网络安全状况进行评估，并根据分析结果，来合理制定或调整网络安全策略。

• 培训 包括面向用户的现场培训、定期举办的培训班和不同专题的网络安全研讨会。
• 售后技术支持 提供8 x 7的热线电话支持和24小时（本地）或48小时（外地）