大型企业网络安全设计方案
- 格式:doc
- 大小:25.50 KB
- 文档页数:4
大型企业网络安全设计方案
天网防火墙灵活完善的网络访问控制,不仅包括现有的所有网络服务,同时可以兼顾将来各种新的网络服务,在有效地保障企业网络安全的前提下又能保证各种网络服务的畅通无阻。
MAC地址绑定
天网防火墙所具有的MAC地址绑定功能可以很好地解决内部网络在地址资源的分配问题。当网络用户被分配或自行设定一个IP地址以后,防火墙系统就能接收到相应的地址广播,在防火墙系统上列出相应的IP地址与MAC地址,并可以选择是否把这个IP地址与相应的MAC地址绑定,这样可限定IP地址只能在一台指定的工作站上使用,既可以防止IP地址冒用,又大大方便了日常网络的IP地址管理。
支持第三区域网络
在只拥有一套传统防火墙的情况下,通常无法实现对多个网络的同时保护,天网防火墙附加的第三个网络接口的灵活的规则可轻松地处理好3个物理网络间的关系,不但节省了企业的投资,还同时保护了多个网络的安全,,而且可以避免因为内部网络的不当操作而影响服务器的正常运作。
NAT方式节省网络地址资源
对于一个小型网络来说,申请的IP地址不会太多,如果网络中的每一台设备都需要一个IP 地址,会造成IP地址的严重不足。天网防火墙提供的网络地址转换(Network Address Translation)功能不仅可以隐藏内部网路地址信息,使外界无法直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet 地址和私有IP地址的使用。通过NAT功能,天网防火墙系统可以帮助采用私有地址的内部网用户顺利的访问Internet的信息资源,不但不会造成任何网络应用的阻碍,同时还大量节省了网络地址资源。 3. 天网网络安全解决方案 3.1 用户需求分析
按照服务性质和管理区域划分,用户网络主要分为三个部分: 1、内部网络。提供内部用户日常办公操作环境。 2、DMZ网络。提供各种信息服务。 3、外部网络。提供到Internet连接。
主要应用类型包括: 1、大型企业内部信息发布 2、Internet应用安全策略为先关闭全部服务和端口,再开放部分服务和端口。 3.2 网络结构
根据企业的网络状况,我们建议使用基于天网防火墙企业-II型防火墙的安全解决方案。下图为本建议方案的网络拓扑示意图。
方案将现有网络划分为物理上相互独立的三个网段: 1、公共网段(Public_Nework) 2、停火区网段(DMZ_Network)3、私有网段(Private_Network)
其中,公共网段提供面向Internet的广域网连接和其他各行访问的支持;停火区网段安放各种数据库、FTP/Web服务器和企业内部业务信息服务器,提供多种面向Internet的应用服务;内部私有网段保障本地用户安全地访问外部网络资源,以及对停火区内各服务提供设备进行更新和维护。
3.3 安全策略
目的:1、划分安全区域。2、制订安全策略,包括用户访问控制,定义访问级别,确定服务类型。3、审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。根据对用户需求的分析,企业内部网络可以划分为以下几个安全区域:1、内部网段 2、公共网段 3、外部网段。分属三个安全区域的网段通过天网防火墙进行互连。
现有需要进行审核和过滤的应用和服
务类型包括:服务类型
端口范围/协议类型
说明
DNS 53, tcp/udp 域名服务 WWW
80, tcp
WWW服务 SMTP/POP3 25/110, tcp 电子邮件 FTP
21/20, tcp
文件传输服务
Etc
自定义
用户自定义 4. 防火墙配置方案
根据网络安全解决方案中的用户需求、网络拓扑以及制定的安全策略,防火墙采取以下配置方案:类别
项目
IP地址/掩码
说明
No. 安全区
域安全级别访问级别
1 外部网
段低级
无。提供网络连接。
2 公共网
段中级外部可访问符合安全策略的网络资源;内部可以更
新和维护。
3 内部网
段
高级
可自由访问外部网络资源;对外不可见。
Networks Pubic_Network Internal_Network 202.96.151.206/30 10.232.0.0/20
10.43.10.0/24
外部网络内部网络
Interfaces Serial 0
Ethernet 0
fxp2
fxp1
fxp0
unnumbered Ethernet 0
202.96.151.207/30
202.103.64.58/30
192.168.0.0/24
10.0.0.0/24
2511路由器广域网接口
2511路由器局域网接口
连接到外部网络连接到公共网络连接到内部网络
公共服务器
Web DNS Mail Ftp
192.168.0.2/24 192.168.0.3/24 192.168.0.4/24 192.168.0.5/24
内部工作站
CONSOLE 10.0.0.1/24
网管工作站
4.2系统设置路由设置目的网络/掩码网关地址
0.0.0.0/0.0.0.0 202.96.151.206 DNS设置 202.96.128.68 系统纪绿输出地址 CONSOLE
5. 技术服务
网络安全特性检测
网络安全检测(包括对网络设备、防火墙、服务器、主机、操作系统等的安全检测)是指使用网络安全检测工具,用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补求措施和安全策略,达到增强网络安全性的目的。原则上,在一些关键业务网络系统,应该具备功能较强的网络安全检测或分析软件,通过定期对整个网络系统的扫描分析,即时对网络安全状况进行评估,并根据分析结果,来合理制定或调整网络安全策略。
培训包括面向用户的现场培训、定期举办的培训班和不同专题的网络安全研讨会。