大型企业网络安全设计方案
3、天网网络安全解决方案
3、1用户需求分析按照服务性质和管理区域划分,用户网络主要分为三个部分:
1、内部网络。提供内部用户日常办公操作环境。
2、DMZ网络。提供各种信息服务。
3、外部网络。提供到Internet连接。主要应用类型包括:
1、大型企业内部信息发布
2、Internet应用安全策略为先关闭全部服务和端口,再开放部分服务和端口。
3、2网络结构根据企业的网络状况,我们建议使用基于天网防火墙企业-II型防火墙的安全解决方案。下图为本建议方案的网络拓扑示意图。方案将现有网络划分为物理上相互独立的三个网段:
1、公共网段(Public_Nework)
2、停火区网段(DMZ_Network)
3、私有网段(Private_Network)其中,公共网段提供面向Internet的广域网连接和其他各行访问的支持;停火区网段安放各种数据库、FTP/Web服务器和企业内部业务信息服务器,提供多种面向Internet的应用服务;内部私有网段保障本地用户安全地访问外部网络资源,以及对停火区内各服务提供设备进行更新和维护。
3、3安全策略目的:
1、划分安全区域。
2、制订安全策略,包括用户访问控制,定义访问级别,确定服务类型。
3、审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。根据对用户需求的分析,企业内部网络可以划分为以下几个安全区域:
1、内部网段
2、公共网段
3、外部网段。分属三个安全区域的网段通过天网防火墙进行互连。现有需要进行审核和过滤的应用和服务类型包括:服务类型端口范围/协议类型说明
DNS53,tcp/udp域名服务WWW80,tcpWWW服务SMTP/POP325/110,tcp电子邮件FTP21/20,tcp文件传输服务Etc自定义用户自定义
4、防火墙配置方案根据网络安全解决方案中的用户需求、网络拓扑以及制定的安全策略,防火墙采取以下配置方案:类别项目IP地址/掩码说明No、安全区域安全级别访问级别1外部网段低级无。提供网络连接。2公共网段中级外部可访问符合安全策略的网络资源;内部可以更新和维护。3内部网段高级可自由访问外部网络资源;对外不可见。NetworksPubic_NetworkInternal_Network202、
96、1
51、206/30
10、2
32、0、0/xx、
43、
10、0/24外部网络内部网络InterfacesSerial0Ethernet0fxp2fxp1fxp0unnumberedEthernet0202、
96、1
51、207/30202、103、
64、58/301
92、1
68、0、0/24
10、0、0、0/242511路由器广域网接口2511路由器局域网接口连接到外部网络连接到公共网络连接到内部网络公共服务器WebDNSMailFtp1
92、1
68、0、2/241
92、1
68、0、3/241
92、1
68、0、4/241
92、1
68、0、5/24内部工作站CONSOLE
10、0、0、1/24网管工作站
4、2系统设置路由设置目的网络/掩码网关地址0、0、0、0/0、0、0、0202、 96、1
51、206DNS设置202、
96、1
28、68系统纪绿输出地址CONSOLE
5、技术服务网络安全特性检测网络安全检测(包括对网络设备、防火墙、服务器、主机、操作系统等的安全检测)是指使用网络安全检测工具,用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补求措施和安全策略,达到增强网络安全性的目的。原则上,在一些关键业务网络系统,应该具备功能较强的网络安全检测或分析软件,通过定期对整个网络系统的扫描分析,即时对网络安全状况进行评估,并根据分析结果,来合理制定或调整网络安全策略。培训包括面向用户的现场培训、定期举办的培训班和不同专题的网络安全研讨会。售后技术支持提供8x7的热线电话支持和24小时(本地)或48小时(外地)的现场服务。
