天网网络安全解决方案
1 用户需求分析
按照服务性质和管理区域划分,用户网络主要分为三个部分: 1 、内部网络。提供内部用户日常办公操作环境。 2 、 DMZ 网络。提供各种信息服务。 3 、外部网络。提供到 Internet 连接。
主要应用类型包括: 1 、大型企业内部信息发布 2 、 Internet 应用
安全策略为先关闭全部服务和端口,再开放部分服务和端口。
2 网络结构
根据企业的网络状况,我们建议使用基于天网防火墙企业- II 型防火墙的安全解决方案。下图为本建议方案的网络拓扑示意图。
方案将现有网络划分为物理上相互独立的三个网段: 1 、公共网段( Public_Nework ) 2 、停火区网段( DMZ_Network ) 3 、 私有网段( Private_Network )
其中,公共网段提供面向 Internet 的广域网连接和其他各行访问的支持;停火区网段安放各种数据库、 FTP/Web 服务器和企业内部业务信息服务器,提供多种面向 Internet 的应用服务;内部私有网段保障本地用户安全地访问外部网络资源,以及对停火区内各服务提供设备进行更新和维护。
3 安全策略
目的: 1 、 划分安全区域。 2 、制订安全策略,包括用户访问控制,定义访问级别,确定服务类型。 3 、 审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。
根据对用户需求的分析,企业内部网络可以划分为以下几个安全区域: 1 、 内部网段 2 、公共网段 3 、外部网段。分属三个安全区域的网段通过天网防火墙进行互连。
No. |
安全区域 |
安全级别 |
访问级别 |
1 |
外部网段 |
低级 |
无。提供网络连接。 |
2 |
公共网段 |
中级 |
外部可访问符合安全策略的网络资源;内部可以更新和维护。 |
3 |
内部网段 |
高级 |
可自由访问外部网络资源;对外不可见。 |
现有需要进行审核和过滤的应用和服务类型包括:
服务类型 |
端口范围 / 协议类型 |
说明 |
DNS |
53, tcp/udp |
域名服务 |
WWW |
80, tcp |
WWW 服务 |
SMTP/POP3 |
25/110, tcp |
电子邮件 |
FTP |
21/20, tcp |
文件传输服务 |
Etc |
自定义 |
用户自定义 |
4 防火墙配置方案
根据网络安全解决方案中的用户需求、网络拓扑以及制定的安全策略, 防火墙采取以下配置方案:
类别 |
项目 |
IP 地址 / 掩码 |
说明 |
Networks |
Pubic_Network
Internal_Network |
202.96.151.206/30
10.232.0.0/20
10.43.10.0/24 |
外部网络
内部网络 |
Interfaces |
Serial 0
Ethernet 0
fxp2
fxp1
fxp0 |
unnumbered Ethernet 0
202.96.151.207/30
202.103.64.58/30
192.168.0.0/24
10.0.0.0/24 |
2511 路由器广域网接口
2511 路由器局域网接口
连接到外部网络
连接到公共网络
连接到内部网络 |
公共服务器 |
Web
DNS
Mail
Ftp |
192.168.0.2/24
192.168.0.3/24
192.168.0.4/24
192.168.0.5/24 |
|
内部工作站 |
CONSOLE |
10.0.0.1/24 |
网管工作站 |
5 系统设置
路由设置 |
目的网络 / 掩码 |
网关地址 |
|
0.0.0.0/0.0.0.0 |
202.96.151.206 |
DNS 设置 |
202.96.128.68 |
|
系统纪绿输出地址 |
CONSOLE |
|
|
******仅供学习交流用******
