2022大型企业网络安全探索与研究.docx

23 页


3. 天网网络安全解决方案
用户需求分析
按照服务性质和管理区域划分，用户网络主要分为三个部分： 1、内部网络。提供内部用户日常办公操作环境。 2、DMZ网络。提供各种信息服务。 3、外部网络。提供到Internet连接。
主要应用类型包括： 1、大型企业内部信息发布 2、Internet应用
安全策略为先关闭全部服务和端口，再开放部分服务和端口。
网络结构
根据企业的网络状况，我们建议使用基于天网防火墙企业－II型防火墙的安全解决方案。下图为本建议方案的网络拓扑示意图。
方案将现有网络划分为物理上相互独立的三个网段： 1、公共网段（Public_Nework） 2、停火区网段（DMZ_Network）3、 私有网段（Private_Network）
其中，公共网段提供面向Internet的广域网连接和其他各行访问的支持；停火区网段安放各种数据库、FTP/Web服务器和企业内部业务信息服务器，提供多种面向Internet的应用服务；内部私有网段保障本地用户安全地访问外部网络资源，以及对停火区内各服务提供设备进行更新和维护。










安全策略
目的：1、 划分安全区域。2、制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。3、 审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。
根据对用户需求的分析，企业内部网络可以划分为以下几个安全区域：1、 内部网段 2、公共网段 3、外部网段。分属三个安全区域的网段通过天网防火墙进行互连。
No.
安全区域
安全级别
访问级别
1
外部网段










低级
无。提供网络连接。
2
公共网段
中级
外部可访问符合安全策略的网络资源；内部可以更新和维护。 3
内部网段
高级
可自由访问外部网络资源；对外不可见。
现有需要进行审核和过滤的应用和服务类型包括：
服务类型
端口范围/协议类型
说明
DNS
53, tcp/udp
域名服务
WWW










80, tcp
WWW服务
SMTP/POP3
25/110, tcp
电子邮件
FTP
21/20, tcp
文件传输服务
Etc
自定义
用户自定义
4. 防火墙配置方案
根据网络安全解决方案中的用户需求、网络拓扑以及制定的安全策略，置方案：
类别
项目
IP地址/掩码










说明
Networks 防火墙采取以下配
Pubic_Network Internal_Network 外部网络
内部网络