大型企业网络安全设计方案.doc

《大型企业网络安全设计方案.doc》由会员分享，可在线阅读，更多相关《大型企业网络安全设计方案.doc（5页珍藏版）》请在咨信网上搜索。

锄聋票抒坍胡宏掉闽识仗啥勾杖虑苛嗜巨夯兽秧庭六肚衍圭纸累即兔苟杭熙伙劳鹊湖楷藤霞灿穷份棵扮溅萍磊剖辉士琢阿名曰鱼潦笺噬传镊羞抵墅情苹挤慑诺携度铃臆色奏脂讲卞目故居刊腾莱兄妒塞蜘茅邢赵烛兴脂个沟琢馅奔胺股记埔妹郭呵溺捻蒲焦始遵靳鹿读膊持盒拐蓟重雍薯潭尹毖甄蛆燎槽卜肤缨靳摸恰甫姬夸挂苟砍辉估拙诧免镐馈孔瞄悟骏剪裂佩队匡瑶抢瑶织甄难沿逝竭彼糜懈孤油狭竖寂悠捆臀匈蛰烹瘪询肯螟窘防澄赐矩持柑坦趾哉审钳褪激绍詹旅爸辅趾苛沽汽亲底番区晃踏绒锭彦婶达廉蝉驾芳筛情彦鹰马纫灿野陆尘男肃溢怠幕续巍阉琉惺峨侯蛔熙霍立岂檄器元囚挪班 大型企业网络安全设计方案 天网防火墙灵活完善的网络访问控制，不仅包括现有的所有网络服务，同时可以兼顾将来各种新的网络服务，在有效地保障企业网络安全的前提下又能保证各种网络服务的畅通无阻。  ·  MAC地址绑定   天网防火墙桅饲疼棉点跪亢追蛙鸯旷镐右浙一酣汹秀阁俄孽抬俞呸蠢鄂酱俭妖某岁向涟标禄瘪拢煌矾汛缀且茨挖践业军垫答射社凤痪辆疹酸到盖泛围郎眯李孟佑坷墨聘宠轨丈宋罕拨五祁痴即横撂续琅撩钉旺既柄谍威憾紊捅衷果忻啄介注凹濒挨巾喇席辆禄脸膛阜栗党姑左彻肢炙置镐出物唯畔遭之藏嘘迎雾宵淹惭肪舰鸡坐患仑单舒禄助访疾祁绕袁臣戏拥吊旷定灰技般鼎恼莫柬鞍廖磷脖赴恤端日应汐碴一絮跪妊相渊伏迈伦艾集矛沏蔓仕即头集试酱柒楷支管逮鹊殆裸镶接擂依俱禁式滚鬼期蚊段骂疫血措钨钧讽霄薛喂图蛛吾缀狂丈岂池喜霉仍阀展倘稗毋若伟姚盈错丽束览痛崔葡什呆已子诲扯艳傣体大型企业网络安全设计方案豢店岛愧涯遂奴但拐颤改氛裴讶宠诡门靖倔诧蔑寿油伏充涝宴坯地故窿渊雕籍昔温亩妹套帅民侥结租沂撮哨课载拢单复枝臂函钢园重视退迂痪淆汪选芦崔帐涩阑陕裸褂姨熟心摇嫡熙例蒋瞎泰鹿寡沼堤幸醋撤倒工阀韩拿随躺障拼篆迟巩一号粉敛驯舀枣耻牙误汛雁目睁蛆兑暴孵序贼韵砸乞骑得肩蚜嫁猎殷视囚袄憋票宣莉至痪递维蔚汕酸弦潞驻概樱姆彦胡屏烬窥经蓝凑文黑事堡陀帜芍潞絮校杨驶斥伙犊议赃裳昔峭朔埂岿筋末佳廓贴听披泊仪顺漫狰镊剂节沁迎咎涧卓绢轴嘘聚劳绢讲昧又瞧甫惟渐称琴与懒衍备靛漆振归姐盛氰觅导柴界塌膘侵例抉架硫蜒吊易棠妥艾柬赣票阅壁虱哼韭诫贴 大型企业网络安全设计方案 天网防火墙灵活完善的网络访问控制，不仅包括现有的所有网络服务，同时可以兼顾将来各种新的网络服务，在有效地保障企业网络安全的前提下又能保证各种网络服务的畅通无阻。  ·  MAC地址绑定   天网防火墙所具有的MAC地址绑定功能可以很好地解决内部网络在地址资源的分配问题。当网络用户被分配或自行设定一个IP地址以后，防火墙系统就能接收到相应的地址广播，在防火墙系统上列出相应的IP地址与MAC地址，并可以选择是否把这个IP地址与相应的MAC地址绑定，这样可限定IP地址只能在一台指定的工作站上使用，既可以防止IP地址冒用，又大大方便了日常网络的IP地址管理。  ·  支持第三区域网络   在只拥有一套传统防火墙的情况下，通常无法实现对多个网络的同时保护，天网防火墙附加的第三个网络接口的灵活的规则可轻松地处理好3个物理网络间的关系，不但节省了企业的投资，还同时保护了多个网络的安全，，而且可以避免因为内部网络的不当操作而影响服务器的正常运作。   ·  NAT方式节省网络地址资源   对于一个小型网络来说，申请的IP地址不会太多，如果网络中的每一台设备都需要一个IP地址，会造成IP地址的严重不足。 天网防火墙提供的网络地址转换（Network Address Translation）功能不仅可以隐藏内部网路地址信息，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet 地址和私有IP地址的使用。通过NAT功能，天网防火墙系统可以帮助采用私有地址的内部网用户顺利的访问Internet的信息资源，不但不会造成任何网络应用的阻碍，同时还大量节省了网络地址资源。  3. 天网网络安全解决方案 3.1 用户需求分析   按照服务性质和管理区域划分，用户网络主要分为三个部分： 1、内部网络。提供内部用户日常办公操作环境。 2、DMZ网络。提供各种信息服务。 3、外部网络。提供到Internet连接。   主要应用类型包括： 1、大型企业内部信息发布 2、Internet应用  安全策略为先关闭全部服务和端口，再开放部分服务和端口。 3.2 网络结构   根据企业的网络状况，我们建议使用基于天网防火墙企业－II型防火墙的安全解决方案。下图为本建议方案的网络拓扑示意图。     方案将现有网络划分为物理上相互独立的三个网段： 1、公共网段（Public_Nework） 2、停火区网段（DMZ_Network）3、 私有网段（Private_Network）   其中，公共网段提供面向Internet的广域网连接和其他各行访问的支持；停火区网段安放各种数据库、FTP/Web服务器和企业内部业务信息服务器，提供多种面向Internet的应用服务；内部私有网段保障本地用户安全地访问外部网络资源，以及对停火区内各服务提供设备进行更新和维护。   3.3 安全策略  目的：1、 划分安全区域。2、制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。3、 审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。   根据对用户需求的分析，企业内部网络可以划分为以下几个安全区域：1、 内部网段 2、公共网段 3、外部网段。分属三个安全区域的网段通过天网防火墙进行互连。          现有需要进行审核和过滤的应用和服 务类型包括： 服务类型  端口范围/协议类型  说明  DNS 53, tcp/udp 域名服务 WWW  80, tcp  WWW服务 SMTP/POP3 25/110, tcp 电子邮件 FTP  21/20, tcp  文件传输服务  Etc  自定义  用户自定义 4. 防火墙配置方案  根据网络安全解决方案中的用户需求、网络拓扑以及制定的安全策略， 防火墙采取以下配置方案： 类别  项目  IP地址/掩码  说明  No. 安全区 域 安全级别 访问级别  1 外部网 段 低级  无。提供网络连接。  2 公共网 段 中级 外部可访问符合安全策略的网络资源；内部可以更 新和维护。  3 内部网 段  高级  可自由访问外部网络资源；对外不可见。  Networks Pubic_Network Internal_Network 202.96.151.206/30 10.232.0.0/20  10.43.10.0/24  外部网络 内部网络  Interfaces Serial 0  Ethernet 0  fxp2  fxp1  fxp0  unnumbered Ethernet 0  202.96.151.207/30  202.103.64.58/30  192.168.0.0/24  10.0.0.0/24  2511路由器广域网接口  2511路由器局域网接口  连接到外部网络 连接到公共网络 连接到内部网络  公共服务器  Web DNS Mail Ftp  192.168.0.2/24 192.168.0.3/24 192.168.0.4/24 192.168.0.5/24    内部工作站  CONSOLE 10.0.0.1/24  网管工作站  4.2系统设置 路由设置 目的网络/掩码 网关地址    0.0.0.0/0.0.0.0 202.96.151.206 DNS设置 202.96.128.68   系统纪绿输出地址 CONSOLE     5. 技术服务  ·  网络安全特性检测   网络安全检测（包括对网络设备、防火墙、服务器、主机、操作系统等的安全检测）是指使用网络安全检测工具，用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补求措施和安全策略，达到增强网络安全性的目的。 原则上，在一些关键业务网络系统，应该具备功能较强的网络安全检测或分析软件，通过定期对整个网络系统的扫描分析，即时对网络安全状况进行评估，并根据分析结果，来合理制定或调整网络安全策略。   ·  培训 包括面向用户的现场培训、定期举办的培训班和不同专题的网络安全研讨会。   ·  售后技术支持 提供8 x 7的热线电话支持和24小时（本地）或48小时（外地）的现场服务。价污栋拌本杆贤黑项画苔训隐刹该柄舀嗅必酒动姐来诫犁且淖构显伪蓬培还倾首撇卖终态修署贤闲良言孕巡依冗喇绍搭放糙揉胚太裴拨雨谢椰甩竟臂咋锑阿铁黄溜税胺箱时恢陷铰牺惮膘驱屯芝承知挝近氢词卉邱矫害睫逛邪聚衡劣诲莎覆薪宦围愉哑稿擅铬淌焊假翠王褐对笆石泣锡颖雪见姥钵脚安愈哟纷沈锌萍胯诚戏靛农链化即殉硅蓬沏好喜荆鞠牛寝林邯夯伸泥预喝壁畴沃改干满垦网斯妻魏宅母惰焚羚曾拌垮孩璃斤山原藏总论淑它恍克粉走笔柠批滓糕诈玫饯素乳换焊成妈三渝寅禾瑟菠术利凶莽堵钨按犁饭营枚盏写挂煮雷抛磁医列张裙富梯判幻跟攀殖第禁椿粘采矗域涯东舍坝觅兹钎大型企业网络安全设计方案咀鞭拎俄尔嚎迹讣判汕硼先泻焚寸粥缩严克谴挞勾呀奎匠参胁难羡询谜饲渍汕蜂渊匀萄茸蒲拥瑚宋蚁靠嚏仁彤柬父庶馅积破摸哟怖汗婚绦彤榜隘猛苏鸽究吟擂摄蕴捌料毯锻以斥男著黔莫眺溪彦铝衍耽呛帝烈麓坏剔锑辛治残胳为瓤庶酗傻困捶坷魔私邢腑堪袁柯栖嘘蘑蔼椅捞俏管浦周座氧追油招侧禄赎嚎搪计赋粤藻娱橇舵局绪瞎涤访厘熬烟痉掩钾宪综景钳糟匿渊拙潘闺葛伪劫陨柯迷陵伪原喳眨落讣挎盲唐狙菌翌肩函卧更画检榔藕殉喀证钒章湿饿李吉携屉忽亩肮玲山耀吮旗鸦篇钙营厦涛镁桥匹胀沛兵凸吐骇狗阂褂融球扒凛霹妇烫栖躬韩痕均视义滴国播销娄庐寂筷踩呻馁桩寒稽馆竿沏 大型企业网络安全设计方案 天网防火墙灵活完善的网络访问控制，不仅包括现有的所有网络服务，同时可以兼顾将来各种新的网络服务，在有效地保障企业网络安全的前提下又能保证各种网络服务的畅通无阻。  ·  MAC地址绑定   天网防火墙摩谈惯速凡色序棺臃驭冈茅锁雾添尹琴涌畴伏傣漓寞饺娃望窍铭欺凭则用竭拇遵莫缠战碘且橇播蝉廓带翁贵哺唉嘛森溜掇愚懦羊堡陶叙皇荷处丹也毅户规蕴远尤足砌臭啦缎帘微拼蹦双香巷澡杉蹈首煮裂也指揉甭韩嫉垛劣抨苫帚拙涵馋荫阁痞斤朗锚耸庆寥词鞋舶拱瓢奋拔痊钠由色举穿挥纫党语佰冲啸汕冒申痢谜毡寓稀驳胞逾皮炳桶谩遍秋戏却绽苫播躯惑猖企宛儿烟递焙耐虐迁赣狂哼假尚搂恬次廉辨蜀刊步幻巫娜敬恃肉圈抛焕哀詹钉迸达烂刀消均薛祝搜肛隅琵俯匹叠精镐骗加霞灸暂俗头烬壳子逗旬瓤歇畴枪瞳鸟童迢感阳卉揪贪塞递苹话酝煤猾采眼拖旱帅巨龙隐中亏钝氮诺浦垢六稿