23 页
3. 天网网络安全解决方案
用户需求分析
按照服务性质和管理区域划分,用户网络主要分为三个部分: 1、内部网络。提供内部用户日常办公操作环境。 2、DMZ网络。提供各种信息服务。 3、外部网络。提供到Internet连接。
主要应用类型包括: 1、大型企业内部信息发布 2、Internet应用
安全策略为先关闭全部服务和端口,再开放部分服务和端口。
网络结构
根据企业的网络状况,我们建议使用基于天网防火墙企业-II型防火墙的安全解决方案。下图为本建议方案的网络拓扑示意图。
方案将现有网络划分为物理上相互独立的三个网段: 1、公共网段(Public_Nework) 2、停火区网段(DMZ_Network)3、 私有网段(Private_Network)
其中,公共网段提供面向Internet的广域网连接和其他各行访问的支持;停火区网段安放各种数据库、FTP/Web服务器和企业内部业务信息服务器,提供多种面向Internet的应用服务;内部私有网段保障本地用户安全地访问外部网络资源,以及对停火区内各服务提供设备进行更新和维护。
安全策略
目的:1、 划分安全区域。2、制订安全策略,包括用户访问控制,定义访问级别,确定服务类型。3、 审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。
根据对用户需求的分析,企业内部网络可以划分为以下几个安全区域:1、 内部网段 2、公共网段 3、外部网段。分属三个安全区域的网段通过天网防火墙进行互连。
No.
安全区域
安全级别
访问级别
1
外部网段
低级
无。提供网络连接。
2
公共网段
中级
外部可访问符合安全策略的网络资源;内部可以更新和维护。 3
内部网段
高级
可自由访问外部网络资源;对外不可见。
现有需要进行审核和过滤的应用和服务类型包括:
服务类型
端口范围/协议类型
说明
DNS
53, tcp/udp
域名服务
WWW
80, tcp
WWW服务
SMTP/POP3
25/110, tcp
电子邮件
FTP
21/20, tcp
文件传输服务
Etc
自定义
用户自定义
4. 防火墙配置方案
根据网络安全解决方案中的用户需求、网络拓扑以及制定的安全策略,置方案:
类别
项目
IP地址/掩码
说明
Networks 防火墙采取以下配
Pubic_Network Internal_Network 外部网络
内部网络
2022大型企业网络安全探索与研究 来自淘豆网www.taodocs.com转载请标明出处.