1、企業(yè)網(wǎng)絡安全典型解決方案 1. 前言隨著網(wǎng)絡應用的日益廣泛，各種大型企業(yè)或單位也將通過網(wǎng)絡與用戶及其他相關(guān)行業(yè)系統(tǒng)之間進行交流，提供各種網(wǎng)上的信息服務，但這些網(wǎng)絡用戶中，不乏競爭對手和惡意破壞者，這些人可能會不斷地尋找系統(tǒng)內(nèi)部網(wǎng)絡上的漏洞，企圖潛入內(nèi)部網(wǎng)絡。一旦網(wǎng)絡被人攻破，機密的數(shù)據(jù)、資料可能會被盜取、網(wǎng)絡可能會被破壞，給系統(tǒng)帶來難以預測的損失。因此，防火墻便成為網(wǎng)絡安全必不可少的產(chǎn)品，天網(wǎng)防火墻在系統(tǒng)網(wǎng)絡與外部網(wǎng)絡用戶之間建起了一道安全的屏障，從而有效地抵御外來攻擊，防止不法分子的入侵。 2. 產(chǎn)品特性說明軟硬件一體化的結(jié)構(gòu)防火墻對于用戶來說，只是一個類似路由器的硬件設備，整體系統(tǒng)采用黑盒

2、設計，防火墻系統(tǒng)與硬件緊密結(jié)合，發(fā)揮硬件最高效能，減少由于操作系統(tǒng)問題而產(chǎn)生網(wǎng)絡漏洞的可能，提高系統(tǒng)自身安全性?？焖侔惭b功能傳統(tǒng)的防火墻在安裝時極為麻煩，首先需要安裝操作系統(tǒng)，調(diào)整網(wǎng)絡參數(shù)，安裝防火墻軟件，然后進行網(wǎng)絡參數(shù)設置，系統(tǒng)管理員如果沒有經(jīng)過專門的培訓，在短時間內(nèi)裝好防火墻幾乎是不可能的事情。天網(wǎng)防火墻I具有快速安裝特性，可以實現(xiàn)從上架安裝、連接網(wǎng)線、上電、參數(shù)設置完畢整個過程不超過15分鐘?；跒g覽器的Web管理界面 通常一個小型企業(yè)并沒有一個防火墻專家來專門負責防火墻方面的工作，天網(wǎng)防火墻具有多語言支持簡單易用的Web設置界面，令管理員熟練地掌握系統(tǒng)的時間大大減少，操作簡單、管理方

3、便，只要具有一定網(wǎng)絡相關(guān)知識的人即可勝任。完善的訪問控制功能 天網(wǎng)防火墻靈活完善的網(wǎng)絡訪問控制，不僅包括現(xiàn)有的所有網(wǎng)絡服務，同時可以兼顧將來各種新的網(wǎng)絡服務，在有效地保障企業(yè)網(wǎng)絡安全的前提下又能保證各種網(wǎng)絡服務的暢通無阻。MAC地址綁定天網(wǎng)防火墻所具有的MAC地址綁定功能可以很好地解決內(nèi)部網(wǎng)絡在地址資源的分配問題。當網(wǎng)絡用戶被分配或自行設定一個IP地址以后，防火墻系統(tǒng)就能接收到相應的地址廣播，在防火墻系統(tǒng)上列出相應的IP地址與MAC地址，并可以選擇是否把這個IP地址與相應的MAC地址綁定，這樣可限定IP地址只能在一臺指定的工作站上使用，既可以防止IP地址冒用，而且大大方便了日常網(wǎng)絡的IP地址管

4、理。支持第三區(qū)域網(wǎng)絡在只擁有一套傳統(tǒng)防火墻的情況下，通常無法實現(xiàn)對多個網(wǎng)絡的同時保護，天網(wǎng)防火墻附加的第三個網(wǎng)絡接口的靈活的規(guī)則可輕松地處理好3個物理網(wǎng)絡間的關(guān)系，不但節(jié)省了企業(yè)的投資，還同時保護了多個網(wǎng)絡的安全，而且可以避免因為內(nèi)部網(wǎng)絡的不當操作而影響服務器的正常運作。 NAT方式節(jié)省網(wǎng)絡地址資源對于一個小型網(wǎng)絡來說，申請的IP地址不會太多，如果網(wǎng)絡中的每一臺設備都需要一個IP地址，會造成IP地址的嚴重不足。天網(wǎng)防火墻提供的網(wǎng)絡地址轉(zhuǎn)換（Network Address Translation）功能不僅可以隱藏內(nèi)部網(wǎng)路地址信息，使外界無法直接訪問內(nèi)部網(wǎng)絡設備，同時，它還幫助網(wǎng)絡可以超越地址的限

5、制，合理地安排網(wǎng)絡中的公有Internet 地址和私有IP地址的使用。通過NAT功能，天網(wǎng)防火墻系統(tǒng)可以幫助采用私有地址的內(nèi)部網(wǎng)用戶順利的訪問Internet的信息資源，不但不會造成任何網(wǎng)絡應用的阻礙，同時還大量節(jié)省了網(wǎng)絡地址資源。3. 天網(wǎng)網(wǎng)絡安全解決方案3.1 用戶需求分析按照服務性質(zhì)和管理區(qū)域劃分，用戶網(wǎng)絡主要分為三個部分：內(nèi)部網(wǎng)絡。提供內(nèi)部用戶日常辦公操作環(huán)境。DMZ網(wǎng)絡。提供各種信息服務。外部網(wǎng)絡。提供到Internet連接。主要應用類型包括：大型企業(yè)內(nèi)部信息發(fā)布Internet應用安全策略為先關(guān)閉全部服務和端口，再開放部分服務和端口。 3.2 網(wǎng)絡結(jié)構(gòu)根據(jù)企業(yè)的網(wǎng)絡狀況，我們建議使

6、用基于天網(wǎng)防火墻企業(yè)II型防火墻的安全解決方案。下圖為本建議方案的網(wǎng)絡拓撲示意圖。本方案將現(xiàn)有網(wǎng)絡劃分為物理上相互獨立的三個網(wǎng)段： 公共網(wǎng)段（Public_Nework）?；饏^(qū)網(wǎng)段（DMZ_Network）私有網(wǎng)段（Private_Network）其中，公共網(wǎng)段提供面向Internet的廣域網(wǎng)連接和其他各行訪問的支持；?；饏^(qū)網(wǎng)段安放各種數(shù)據(jù)庫、FTP/Web服務器和企業(yè)內(nèi)部業(yè)務信息服務器，提供多種面向Internet的應用服務；內(nèi)部私有網(wǎng)段保障本地用戶安全地訪問外部網(wǎng)絡資源，以及對?；饏^(qū)內(nèi)各服務提供設備進行更新和維護。3.3 安全策略目的：劃分安全區(qū)域。 制訂安全策略，包括用戶訪問控制，定義訪問級別，確定服務類型。 l 審核和過濾，僅符合安全策略的訪問和響應過程可以通過，拒絕其他訪問請求。根據(jù)對用戶需求的分析，企業(yè)內(nèi)部網(wǎng)絡可以劃分為以下幾個安全區(qū)域：內(nèi)部網(wǎng)段 公共網(wǎng)段外部網(wǎng)段分屬三個安全區(qū)域的網(wǎng)段通過天