电脑公司应用案例

电脑公司应用案例

网络现状： 　　作为生产计算机配件及主机的厂商，该电脑现有PC机接近1000台，通过CISCO的三层交换机及路由器相连，内部配备有WWWserver， Emailserver，DNSserver，WINSserver，DHCPserver等，公司通过专线上网与internet相连，并通过专线与台湾总部及北京、上海、广州、成都等各分公司相连。公司内部PC机上网通过PROXYserver或拨号访问，公司内部按部门划分DOMAIN（域名），在CISCO 的5500三层交换机上划分VLAN控制各部门之间的相互访问，通过Ntserver，windows95提供的用户认证功能实现安全防范。公司的WWWserver，Emailserver接在路由器后，易受到黑客攻击。 增加NetScreen100防火墙后： 　　网络结构未作大的变动，而网络的安全性有了极大的改善，这是因为NetScreen防火墙是专用设备，内置专用操作系统，操作系统内核紧凑，代码执行效率高，其内核不超过1Mbyte把它放在连接外网的路由器后，再把公司的WWWserver，Emailserver，DNSserver放在DMZ区，有效地保护了这些服务器的安全，同时，严禁外网访问公司的内部网.通过以下措施实现网络安全防护： 1、原先公司内部的Proxy server使用二块网卡，在该Proxy server执行NAT功能，在加上Netscreen防火墙后，Proxy server的NAT功能由防火墙实现，所以可以禁用Proxy server 连到Internet上的网卡，直接把Proxy server接到公司内部的交换机上，在设置策略时，只允许Proxy server去外网访问，公司内其它用户只能通过Proxy server上网访问，公司内所有VLAN之间通过内部的三层交换机实现互访，同时，也可以在三层交换机上做访问存取限制。在三层交换机上指定Proxy server 为其缺省路由，同时，在Proxy server 上指明netscreen的Trust interface IP为其缺省网关 2、把WWWserver，Emailserver和DNSserver放到DMZ区并设置安全策略允许内部网和外部网的所有机器访问DMZ区的机器。 3、在Netscreen防火墙上添加到内部各个子网的静态路由以保证内部网的所有子网都能通过防火墙到internet。 4、如果公司总部需通过专线连接到下面的分公司而又不经过Internet时，也需要在防火墙上增加静态路由以保证各分公司同总部的WWW server和Emial server 之间的联系