方案正文:
1. 前言
随着网络应用的日益广泛,各种大型企业或单位也将通过网络与用户及其他相关行业系统之间进行交流,提供各种网上的信息服务,但这些网络用户中,不乏竞争对手和恶意破坏者,这些人可能会不断地寻找系统内部网络上的漏洞,企图潜入内部网络。一旦网络被人攻破,机密的数据、资料可能会被盗取、网络可能会被破坏,给系统带来难以预测的损失。因此,防火墙便成为网络安全必不可少的产品,天网防火墙在系统网络与外部网络用户之间建起了一道安全的屏障,从而有效地抵御外来攻击,防止不法分子的入侵。
2. 产品特性说明
软硬件一体化的结构
防火墙对于用户来说,只是一个类似路由器的硬件设备,整体系统采用黑盒设计,防火墙系统与硬件紧密结合,发挥硬件最高效能,减少由于操作系统问题而产生网络漏洞的可能,提高系统自身安全性。
快速安装功能
传统的防火墙在安装时极为麻烦,首先需要安装操作系统,调整网络参数,安装防火墙软件,然后进行网络参数设置,系统管理员如果没有经过专门的培训,在短时间内装好防火墙几乎是不可能的事情。天网防火墙I具有快速安装特性,可以实现从上架安装、连接网线、上电、参数设置完毕整个过程不超过15分钟。
基于浏览器的Web管理界面
通常一个小型企业并没有一个防火墙专家来专门负责防火墙方面的工作,天网防火墙具有多语言支持简单易用的Web设置界面,令管理员熟练地掌握系统的时间大大减少,操作简单、管理方便,只要具有一定网络相关知识的人即可胜任。
完善的访问控制功能
天网防火墙灵活完善的网络访问控制,不仅包括现有的所有网络服务,同时可以兼顾将来各种新的网络服务,在有效地保障企业网络安全的前提下又能保证各种网络服务的畅通无阻。
MAC地址绑定
天网防火墙所具有的MAC地址绑定功能可以很好地解决内部网络在地址资源的分配问题。当网络用户被分配或自行设定一个IP地址以后,防火墙系统就能接收到相应的地址广播,在防火墙系统上列出相应的IP地址与MAC地址,并可以选择是否把这个IP地址与相应的MAC地址绑定,这样可限定IP地址只能在一台指定的工作站上使用,既可以防止IP地址冒用,而且大大方便了日常网络的IP地址管理。
支持第三区域网络
在只拥有一套传统防火墙的情况下,通常无法实现对多个网络的同时保护,天网防火墙附加的第三个网络接口的灵活的规则可轻松地处理好3个物理网络间的关系,不但节省了企业的投资,还同时保护了多个网络的安全,而且可以避免因为内部网络的不当操作而影响服务器的正常运作。
NA T方式节省网络地址资源
对于一个小型网络来说,申请的IP地址不会太多,如果网络中的每一台设备都需要一个IP 地址,会造成IP地址的严重不足。
天网防火墙提供的网络地址转换(Network Address Translation)功能不仅可以隐藏内部网路地址信息,使外界无法直接访问内部网络设备,同时,它还帮助网络可以超越地址的,合理地安排网络中的公有Internet 地址和私有IP地址的使用。通过NAT功能,天网防火墙系统可以帮助采用私有地址的内部网用户顺利的访问Internet的信息资源,不但不会造成任何网络应用的阻碍,同时还大量节省了网络地址资源。
3. 天网网络安全解决方案
3.1 用户需求分析
按照服务性质和管理区域划分,用户网络主要分为三个部分:
内部网络。提供内部用户日常办公操作环境。
DMZ网络。提供各种信息服务。
外部网络。提供到Internet连接。
主要应用类型包括:
大型企业内部信息发布
Internet应用
安全策略为先关闭全部服务和端口,再开放部分服务和端口。
3.2 网络结构
根据企业的网络状况,我们建议使用基于天网防火墙企业-II型防火墙的安全解决方案。下图为本建议方案的网络拓扑示意图。
本方案将现有网络划分为物理上相互的三个网段:
公共网段(Public_Nework)
停火区网段(DMZ_Network)
私有网段(Private_Network)
其中,公共网段提供面向Internet的广域网连接和其他各行访问的支持;停火区网段安放各种数据库、FTP/Web服务器和企业内部业务信息服务器,提供多种面向Internet的应用服务;内部私有网段保障本地用户安全地访问外部网络资源,以及对停火区内各服务提供设备进行更新和维护。
3.3 安全策略
目的:
划分安全区域。
制订安全策略,包括用户访问控制,定义访问级别,确定服务类型。l 审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。
根据对用户需求的分析,企业内部网络可以划分为以下几个安全区域:
内部网段
公共网段
外部网段
分属三个安全区域的网段通过天网防火墙进行互连。
现有需要进行审核和过滤的应用和服务类型包括:
4. 防火墙配置方案
根据网络安全解决方案中的用户需求、网络拓扑以及所制定的安全策略,防火墙采取以下配置方案:
4.1网络设置
4.2系统设置下载本文
