合肥诺雅科技有限公司企业网络安全解决方案

2004-11-5　发布方：诺雅科技　网友评论 0 条　点击进入论坛

1. 前言

    随着网络应用的日益广泛，各种大型企业或单位也将通过网络与用户及其他相关行业系统之间进行交流，提供各种网上的信息服务，但这些网络用户中，不乏竞争对手和恶意破坏者，这些人可能会不断地寻找系统内部网络上的漏洞，企图潜入内部网络。一旦网络被人攻破，机密的数据、资料可能会被盗取、网络可能会被破坏，给系统带来难以预测的损失。因此，防火墙便成为网络安全必不可少的产品，防火墙在系统网络与外部网络用户之间建起了一道安全的屏障，从而有效地抵御外来攻击，防止不法分子的入侵。

2. 诺雅网络安全解决方案

2.1 用户需求分析

    按照服务性质和管理区域划分，用户网络主要分为三个部分： 1、内部网络。提供内部用户日常办公操作环境。 2、DMZ网络。提供各种信息服务。 3、外部网络。提供到Internet连接。

主要应用类型包括： 1、大型企业内部信息发布 2、Internet应用

安全策略为先关闭全部服务和端口，再开放部分服务和端口。

2.2 网络结构

　　根据企业的网络状况，我们建议使用诺雅网络安全解决方案。下图为本建议方案的网络拓扑示意图。 
 

　　方案将现有网络划分为物理上相互独立的三个网段： 1、公共网段（Public_Nework） 2、停火区网段（DMZ_Network）3、 私有网段（Private_Network）

　　其中，公共网段提供面向Internet的广域网连接和其他各行访问的支持；停火区网段安放各种数据库、FTP/Web服务器和企业内部业务信息服务器，提供多种面向Internet的应用服务；内部私有网段保障本地用户安全地访问外部网络资源，以及对停火区内各服务提供设备进行更新和维护。

2.3 安全策略

    目的：1、 划分安全区域。2、制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。3、 审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。

    根据对用户需求的分析，企业内部网络可以划分为以下几个安全区域：1、 内部网段 2、公共网段 3、外部网段。分属三个安全区域的网段通过防火墙进行互连。

    No. 安全区域 安全级别 访问级别 

    1 外部网段 低级 无。提供网络连接。
 
    2 公共网段 中级 外部可访问符合安全策略的网络资源；内部可以更新和维护。

    3 内部网段 高级 可自由访问外部网络资源；对外不可见。

    现有需要进行审核和过滤的应用和服务类型包括：

    服务类型 端口范围/协议类型 说明

    DNS 53, tcp/udp 域名服务

    WWW 80, tcp WWW服务

    SMTP/POP3 25/110, tcp 电子邮件

     FTP 21/20, tcp 文件传输服务

     Etc 自定义 用户自定义

4. 防火墙配置方案

    根据网络安全解决方案中的用户需求、网络拓扑以及制定的安全策略， 防火墙采取以下配置方案：

    类别 项目 IP地址/掩码 说明

    Networks Pubic_Network 　202.96.151.206/30　外部网络

    Internal_Network　　　　10.232.0.0/20　　　内部网络

    Interfaces Serial 0　　　10.43.10.0/24

    Ethernet 0

    fxp2

    fxp1

    fxp0

     unnumbered Ethernet 0

    202.96.151.207/30

    202.103.64.58/30

    192.168.0.0/24

    10.0.0.0/24

    2511路由器广域网接口

    2511路由器局域网接口

    连接到外部网络

    连接到公共网络

    连接到内部网络

    公共服务器 Web

    DNS

    Mail

    Ftp

    192.168.0.2/24

    192.168.0.3/24

    192.168.0.4/24

    192.168.0.5/24

    内部工作站 CONSOLE 10.0.0.1/24 网管工作站

4.2系统设置

    路由设置 目的网络/掩码 网关地址

    0.0.0.0/0.0.0.0 202.96.151.206

    DNS设置 202.96.128.68

   系统纪绿输出地址 CONSOLE

5. 技术服务
网络安全特性检测

    网络安全检测（包括对网络设备、防火墙、服务器、主机、操作系统等的安全检测）是指使用网络安全检测工具，用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补求措施和安全策略，达到增强网络安全性的目的。 原则上，在一些关键业务网络系统，应该具备功能较强的网络安全检测或分析软件，通过定期对整个网络系统的扫描分析，即时对网络安全状况进行评估，并根据分析结果，来合理制定或调整网络安全策略。

   培训 包括面向用户的现场培训、定期举办的培训班和不同专题的网络安全研讨会。
 
   售后技术支持 提供8 x 7的热线电话支持和24小时（本地）或48小时（外地）的现场服务。

相关案例

• ·天联（TeamLink)-远程视频监控
• ·石油化工行业控制网连接的安全解决方案[图]
• ·大唐AS2800 WLAN无线局域网系统[图]
• ·首创网络"无线"酒店解决方案[图]
• ·Telindus建设中国国家金融数据通信网网络介绍[图]

• ·星网锐捷网警 金融局域网安全改造方案
• ·SonicWALL无线局域网安全方案[组图]
• ·东方卫士中小企业版 局域网络安全的守护神[图]
• ·宽带小区的无线局域网接入解决方案[图]
• ·WL-500g.P中小企业和SOHO局域网方案

推荐解决方案

领军企业实施案例

电子杂志订阅

赞助商链接