迪普防火墙方案

XX公司迪普防火墙解决方案

杭州迪普科技有限公司

2012年4月

XX公司网络系统现状分析：

经过细致的了解，XX公司现在的网络拓扑结构如下图所示：

联通专线H3C-MSR-30CISCO 2900CISCO 2900办公区服务区

XX公司网络系统现状：

1， 服务器仅仅是由路由器做端口映射发布出去，除此之外，对服务器没有做任何安全

措施，这样公网上的任何一台电脑，都可以对服务器进行访问，甚至直接进入服务器系统。

2， 服务器区域和办公区域没有有效的隔离，若出现内网病毒的传播或攻击，很容易感

染到服务器区域，造成不必要损失。

3， 缺乏对网络会话状态的监控，一旦出现安全问题，不能追根溯源，不能通过会话日

志等记录，查出造成问题的原因，以便快速有效的定位和解决问题，保证业务的正常运行。

4， 通过了解，除了安全方面的问题，XX公司还需要架设vpn服务，以满足在外工作人

员的移动办公需求。

需要解决的问题：

实现内网和外网(Internet)的互通性 服务器需对外提供服务

内部办公区域中需访问外网（Internet） 外网（Internet）只能访问公司的服务器区域 实现网络的安全性、可管理性及可靠性

实现网络的入侵检测和安全扫描，防止透过防火墙的攻击 防止恶意行为攻击公司内部服务器，保护公司数据的安全性 实现安全问题的可追溯性

实现vpn功能，保证在外工作人员的移动办公需求

XX公司防火墙方案设计

针对XX公司网络如上的特点和需求分析，我们认为只要在XXX公司网络与因特网的接口上设置防火墙，而在内部不再设置其它的防火墙，以减少防火墙投资。这样可以保证内部网络的可靠性和可管理性。实现内网和外网之间的访问控制，可以有效的保证服务器的安全运行，以及在外人员的移动办公。部署防火墙后的网络拓扑如下：

联通专线防火墙：访问控制及vpn功能FW1000-ME-NH3C-MSR-30CISCO 2900CISCO 2900办公区服务区

XX公司网络防火墙方案说明

根据以上分析，我们建议XX公司计算机网络系统的网关防火墙采用迪普FW1000-ME-N，并作如下解决方案:

1000-ME-N防火墙可将网络分成三个区域，Trust(可信任区，连接内部局域网)，Untrust(不信任区，连接Internet ),DMZ（中立区，连接公司对外发布的应用服务等），我们统一把XX公司的服务器放置在其DMZ（中立区）。

把公司的内部业务服务器放置在Trust(可信任区)，保证公司业务的正常进行，同时可以保证公司数据的安全性，不被一些恶意行为的攻击。同时在外部的（Internet）用户不能访问公司的内部数据。

将公司的对外应用服务统一放置在防火墙的DMZ区，开启相应服务的端口，方便Internet用户或公司在外工作人员，可随时访问公司合法资源，合法用户的访问将通过严格认证，其他的端口将禁止通讯。将严格限定内部用户直接访问DMZ区的资源，内部用户维护、管理服务器时将通过内部地址，其他用户禁止访问内部地址。为安全起见，将在DMZ端口设置策列，如禁止用户telnet 或ftp 80端口，禁止匿名登录服务器等多种策列，保护服务器系统不受来自Internet的“黑客攻击”。一旦它识别出某个数据流有“黑客攻击”的特征，它就会通知管理员断开此连接，断开的时间长短可由管理员自行定义。

通过防火墙的日志功能，可以准确的查看当前会话状态，清晰的掌握目前的网络安全状况，做到有备无患。

根据在外工作人员的需求，配置好本地认证策略，在外工作人员可以使用分配到的合法用户帐号通过vpn加密隧道登录访问公司内部资源。

、