安泰关于电脑公司网络安全解决方案

2004-10-22　发布方：北京金网安泰　网友评论 0 条　点击进入论坛

    网络现状：
   
    作为生产计算机配件及主机的厂商，该电脑现有PC机接近1000台，通过CISCO的三层交换机及路由器相连，内部配备有WWWserver， Emailserver，DNSserver，WINSserver，DHCPserver等，公司通过专线上网与internet相连，并通过专线与台湾总部及北京、上海、广州、成都等各分公司相连。公司内部PC机上网通过PROXYserver或拨号访问，公司内部按部门划分DOMAIN（域名），在CISCO 的5500三层交换机上划分VLAN控制各部门之间的相互访问，通过Ntserver，windows95提供的用户认证功能实现安全防范。公司的WWWserver，Emailserver接在路由器后，易受到黑客攻击。
   
    增加NetScreen100防火墙后：
   
    网络结构未作大的变动，而网络的安全性有了极大的改善，这是因为NetScreen防火墙是专用设备，内置专用操作系统，操作系统内核紧凑，代码执行效率高，其内核不超过1Mbyte把它放在连接外网的路由器后，再把公司的WWWserver，Emailserver，DNSserver放在DMZ区，有效地保护了这些服务器的安全，同时，严禁外网访问公司的内部网.通过以下措施实现网络安全防护：
    1. 原先公司内部的Proxy server使用二块网卡，在该Proxy server执行NAT功能，在加上Netscreen防火墙后，Proxy server的NAT功能由防火墙实现，所以可以禁用Proxy server 连到Internet上的网卡，直接把Proxy server接到公司内部的交换机上，在设置策略时，只允许Proxy server去外网访问，公司内其它用户只能通过Proxy server上网访问，公司内所有VLAN之间通过内部的三层交换机实现互访，同时，也可以在三层交换机上做访问存取限制。在三层交换机上指定Proxy server 为其缺省路由，同时，在Proxy server 上指明netscreen的Trust interface IP为其缺省网关。
    2. 把WWWserver，Emailserver和DNSserver放到DMZ区并设置安全策略允许内部网和外部网的所有机器访问DMZ区的机器。
    3. 在Netscreen防火墙上添加到内部各个子网的静态路由以保证内部网的所有子网都能通过防火墙到internet。
    4. 如果公司总部需通过专线连接到下面的分公司而又不经过Internet时，也需要在防火墙上增加静态路由以保证各分公司同总部的WWW server和Emial server 之间的联系。

相关案例

• ·IP VPN技术及其应用[组图]
• ·轻松实现移动安全办公——EETRUST SecureVPN
• ·医疗卫生行业异地互连VPN应用
• ·华为民航信息化网络解决方案[组图]
• ·华为小型机构VPN安全互联方案

• ·宽兆科技VPN/数据无线传输解决方案[图]
• ·NEC大客户城域网VPN的VoIP解决方案[图]
• ·中国联通虚拟专网VPN/VPDN专线系统[图]
• ·中联科技银行储蓄所GPRS联网解决方案[图]
• ·北京四达时代MPLS VPN的网络安全[组图]

推荐解决方案

领军企业实施案例

电子杂志订阅

赞助商链接