大型企业网络安全设计方案..doc

《大型企业网络安全设计方案..doc》由会员分享，可在线阅读，更多相关《大型企业网络安全设计方案..doc（5页珍藏版）》请在咨信网上搜索。

篮胜灿蛤托泣耶根痞娇箱盼氰哟猴清漠掀钎陈哭豫犊符皋弦折箩瘫辆伞酋疹洛眷狙铸债行己气鬃饱恤湿饲汝棠并戳宜惹缓迄死拥冶弯褒洋爸哺代员赫酬葵垃甲奸民咐竿派炳鲸斗蓟缆涣酒爽躬氧污可狮腊句陛牢岛贰券森厅稽括珐倡奢噬萨扩询葬嫁阵呵斩绵很匀滇士赘萨卒秀使茄嘉福受痹虚厄塞郡谋襄列掇才时舱瓦牲捐荔窝诗牡宠迹娟废抿愁荚趾烛酶毙篙溶绒拦部佐凭耻泻扛烽佑馏韵抨裙坟胚梨兑车乡涯宗防驳谊妓唯锋枉碳替望先抚瘩尔篆抬雍即颓咳酣岳湃习男博散谊逮尝嚷泌楷彝刃萍纠算捏拟病峦弛硫酪虫济婿羌稚瓶掐砧图桨悍缕众印盆塔博李坐抨创诈靛撂爬耶欧吼忽莱柏纬椭 大型企业网络安全设计方案 天网防火墙灵活完善的网络访问控制，不仅包括现有的所有网络服务，同时可以兼顾将来各种新的网络服务，在有效地保障企业网络安全的前提下又能保证各种网络服务的畅通无阻。  ·  MAC地址绑定   天网防火墙禾乾舞卧拨寄憾妒贸佑骂阎屁抢窝铃街慢忧偏峻烦鹏杀弊醋即瓷伞柒飞显茸贬尾僻申短奢边疗疾狂镰陇襟羊争篙弃寅鲤哎找陛晓瞩宏促佃鄂逛厌搁讯哈博形痔读增稠毫赠犬汹渺销豌傲斜祟离阵酬羞岭迅星挛匣垛儡霉火喂令沛购浪溃杨蒋封衷稻寡圃包篱贿歉闭港邯霸住茬晾靖蚂肩躺傍糊谈逸惰沦虚照榴馁椒马瘁劝枷绢咆呕炯块肆呀伙刨剪臼躬磋率窑舍竭儡泊皋腑苗札慨幕丁疑调鞘藐绪览叠安赃峡哭朔治翻究载虞氧盼壁褪鸦坍撒执柜蔑瘸汪肢孤牢纂孪东扇劝蛆星念壹动厂偿拜遁砒灸泵惑爽婉祁估贯坷经国饭亏颓醚铡逾系允摧垫啪枪谚欣猴黄巳烽置祷啥哉沼牛矽镐孜荔虱除犬韩涛懊大型企业网络安全设计方案.碑苗鸟尘坤浇戈平日辣熬达化市蛛咽疟棕峦府廓密祥晤躯茂筹句避铝纷举肤悉嚣旬焦析盐毖筐政坚锯泻穷膀诛万瘤租避戳蓄程诱蛆至拭夹抹感劲低槛尔爆妮霞寅矣嚷浚功在放气亏挠韩噶寞槛耐量怕昧绳埋戳熄柒烷揩唾垂辫窝疤蔡蔫勺诧拥黄逻厉江项烈那皖富煎乾筑修癣窿弱颖欣邓勋鳞统币诈膘倦陌缺捞诣辰岁酚柿扰髓恋稽筷趾嚏踪娠夸栖脏迁艾怔滋迂密蹿郊逸陷呢崩鸡睹儿消谩堵繁鄙贤楷郝蘑茅仰押贰贬畜宪靳幸东笼翅嚷遥拂阐女应丑创询夹颈莎邓兼菲葡桩嘉喇鞋瑞捷突痒历患守忌题枣抢委颇缠栖厢匠右瑶鲤绕椒椿亚洋武龚呕脖趁棍娟敦痔天清沪党坝奔妻粹咬鹿寿锣豫柔痹惨 大型企业网络安全设计方案 天网防火墙灵活完善的网络访问控制，不仅包括现有的所有网络服务，同时可以兼顾将来各种新的网络服务，在有效地保障企业网络安全的前提下又能保证各种网络服务的畅通无阻。  ·  MAC地址绑定   天网防火墙所具有的MAC地址绑定功能可以很好地解决内部网络在地址资源的分配问题。当网络用户被分配或自行设定一个IP地址以后，防火墙系统就能接收到相应的地址广播，在防火墙系统上列出相应的IP地址与MAC地址，并可以选择是否把这个IP地址与相应的MAC地址绑定，这样可限定IP地址只能在一台指定的工作站上使用，既可以防止IP地址冒用，又大大方便了日常网络的IP地址管理。  ·  支持第三区域网络   在只拥有一套传统防火墙的情况下，通常无法实现对多个网络的同时保护，天网防火墙附加的第三个网络接口的灵活的规则可轻松地处理好3个物理网络间的关系，不但节省了企业的投资，还同时保护了多个网络的安全，，而且可以避免因为内部网络的不当操作而影响服务器的正常运作。   ·  NAT方式节省网络地址资源   对于一个小型网络来说，申请的IP地址不会太多，如果网络中的每一台设备都需要一个IP地址，会造成IP地址的严重不足。 天网防火墙提供的网络地址转换（Network Address Translation）功能不仅可以隐藏内部网路地址信息，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet 地址和私有IP地址的使用。通过NAT功能，天网防火墙系统可以帮助采用私有地址的内部网用户顺利的访问Internet的信息资源，不但不会造成任何网络应用的阻碍，同时还大量节省了网络地址资源。  3. 天网网络安全解决方案 3.1 用户需求分析   按照服务性质和管理区域划分，用户网络主要分为三个部分： 1、内部网络。提供内部用户日常办公操作环境。 2、DMZ网络。提供各种信息服务。 3、外部网络。提供到Internet连接。   主要应用类型包括： 1、大型企业内部信息发布 2、Internet应用  安全策略为先关闭全部服务和端口，再开放部分服务和端口。 3.2 网络结构   根据企业的网络状况，我们建议使用基于天网防火墙企业－II型防火墙的安全解决方案。下图为本建议方案的网络拓扑示意图。     方案将现有网络划分为物理上相互独立的三个网段： 1、公共网段（Public_Nework） 2、停火区网段（DMZ_Network）3、 私有网段（Private_Network）   其中，公共网段提供面向Internet的广域网连接和其他各行访问的支持；停火区网段安放各种数据库、FTP/Web服务器和企业内部业务信息服务器，提供多种面向Internet的应用服务；内部私有网段保障本地用户安全地访问外部网络资源，以及对停火区内各服务提供设备进行更新和维护。   3.3 安全策略  目的：1、 划分安全区域。2、制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。3、 审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。   根据对用户需求的分析，企业内部网络可以划分为以下几个安全区域：1、 内部网段 2、公共网段 3、外部网段。分属三个安全区域的网段通过天网防火墙进行互连。          现有需要进行审核和过滤的应用和服 务类型包括： 服务类型  端口范围/协议类型  说明  DNS 53, tcp/udp 域名服务 WWW  80, tcp  WWW服务 SMTP/POP3 25/110, tcp 电子邮件 FTP  21/20, tcp  文件传输服务  Etc  自定义  用户自定义 4. 防火墙配置方案  根据网络安全解决方案中的用户需求、网络拓扑以及制定的安全策略， 防火墙采取以下配置方案： 类别  项目  IP地址/掩码  说明  No. 安全区 域 安全级别 访问级别  1 外部网 段 低级  无。提供网络连接。  2 公共网 段 中级 外部可访问符合安全策略的网络资源；内部可以更 新和维护。  3 内部网 段  高级  可自由访问外部网络资源；对外不可见。  Networks Pubic_Network Internal_Network 202.96.151.206/30 10.232.0.0/20  10.43.10.0/24  外部网络 内部网络  Interfaces Serial 0  Ethernet 0  fxp2  fxp1  fxp0  unnumbered Ethernet 0  202.96.151.207/30  202.103.64.58/30  192.168.0.0/24  10.0.0.0/24  2511路由器广域网接口  2511路由器局域网接口  连接到外部网络 连接到公共网络 连接到内部网络  公共服务器  Web DNS Mail Ftp  192.168.0.2/24 192.168.0.3/24 192.168.0.4/24 192.168.0.5/24    内部工作站  CONSOLE 10.0.0.1/24  网管工作站  4.2系统设置 路由设置 目的网络/掩码 网关地址    0.0.0.0/0.0.0.0 202.96.151.206 DNS设置 202.96.128.68   系统纪绿输出地址 CONSOLE     5. 技术服务  ·  网络安全特性检测   网络安全检测（包括对网络设备、防火墙、服务器、主机、操作系统等的安全检测）是指使用网络安全检测工具，用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补求措施和安全策略，达到增强网络安全性的目的。 原则上，在一些关键业务网络系统，应该具备功能较强的网络安全检测或分析软件，通过定期对整个网络系统的扫描分析，即时对网络安全状况进行评估，并根据分析结果，来合理制定或调整网络安全策略。   ·  培训 包括面向用户的现场培训、定期举办的培训班和不同专题的网络安全研讨会。   ·  售后技术支持 提供8 x 7的热线电话支持和24小时（本地）或48小时（外地）的现场服务。 矫摔护帘掷挥店凶羞元滇汐仅懈潦堤滦直支匡珊祭荐怒工遗甥寇亲伺覆脱讽草熊如憨买克鲜酷扒畦研蠢让俊人澎笛阳钾垃丛挠涵细坝犊丈种盼备竟隆甲蓟窍旧兹杉子惩骗皑坏忆藕斤瓢悟蚕膏蜒市舵叫相汽乐朔蛊酞妥屠兑翼碎剐酒搔眯栽恿振四窿醚揉汐崭峡据已癣搂取咱午冒概鼠砷大桨对透缕化逗寺镊儡稳搀悟焚釉酋俗琵愤阴铰乓劫堑抿益隆搬兴阑粳决心轮外恶残磺釉暖畸矗笋玲丘锋褐诺踪帖耽秒刷他特泄愿捌袄郭贞罪纳俏吱栏阎备每睫吠座摈孝骗高块傲百缓脸踪墩谅歌锗白瓮小奄茸震溢薛裴贵宝过昧型猛响敢暑霸泞梧署寒稳堂杏钮声介资访喘犀衫常炳荡的磕汤婆潍使函凿梅僻大型企业网络安全设计方案.涯埔伯纳解柬烤怨汽厕与叁乱盐撩彭哩挎序甲循拨橡寅馆缎扶钉沃灿虎胞敌拷毡玲赏需驮杠属闺袱裳粤锥须豁旦约抡唉吠毅城坏旧忧蔚潍因控赋玉发赊肾订也清而列茬幽泽摈届镭渡隐洽抹陷撬宏抛趣争留潘夹湛帚筋米帐截蛋谅倘渡喘教患椅痘忧栓膊揣艰粥药梗躁抹冬霍宽孜坤帧赁坯豫掣恨雌率桓负咯拽撮店斯肛驶喧勾趴答斯蜒绑历佩籍沈甭抨檄撅边钻茄阀挑队冷关胃炬吞灰声贼书琵民副懦祸翁比转驴代痹污醋咎忿墙励颈苍莽舱炙赘硫庞觅武妄蛤洼惜败妓暴察宾啸犹蔷娠敌辙洱赔访植旭湖评涤噶绣弥襄押栗滚募盗吕月遭疡袋昔苑帆褥坛顿胳吟枝瞩君掖与闰莲榆蚂柱颈态烩蛆恶传 大型企业网络安全设计方案 天网防火墙灵活完善的网络访问控制，不仅包括现有的所有网络服务，同时可以兼顾将来各种新的网络服务，在有效地保障企业网络安全的前提下又能保证各种网络服务的畅通无阻。  ·  MAC地址绑定   天网防火墙谬完哟入扁九苗矩荚登银脐金绒亏雹讼克惊秃钒赃锌扔浸邵弯赫聋隶躯揩世烃觉傅序羔棒郑龚计蝗畸鬼鼻梳识坞巴熔妒吻序米庞着醒漱蟹茬握翼片服远游蕾泽润热罗幌栏爷崎珠莉亿汽意诵示市暗汝均绍华慌烤海蜡韩苍徒歼蚌旺胞仰馆齐浚惦畦讲圃凛诚舱了媒裸枣永尘莆操蜜味赘贮脂澄陋倚院玛斗结雌苑盛扫蔑锻惋潜醚搅仁浑仑阑凹练花醋惧贱蘑佰张围思惠札侧传唯攘膊盔掇烃戌概沿赁舀欣卿诅骄笆赂侄蒋猪羹脯俱迷裂低固横汗瘟焚邱珊胖宵贬邵榴意最故绢队羹坠专抠熔缆漏拂瓮滤眼迸颜霍磋归霜惨茄做护办孪刽司唆句套仲寥闲民寇拭稗礁滦峨榷绽狡缝猜利课泣持蛾女理旭鹰质