重庆事业单位防火墙网络安全改造方案

内外兼修-打造合规和谐的安全网络

网络安全改造简略方案

神州数码网络有限公司

2010.03

第一章 需求分析

1.1 建设目的

一、现状分析

随着国内计算机和网络技术的迅猛发展和广泛普及，企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但是，Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。一旦网络系统安全受到严重威胁，甚至处于瘫痪状态，将会给企业、社会、乃至整个国家带来巨大的经济损失。如何使信息网络系统免受黑客和病毒的入侵，已成为信息事业健康发展所要考虑的重要事情之一。 

大型企业不断发展的同时其网络规模也在不断的扩大，由于其自身业务的需要，在不同的地区建有分公司或分支机构，本地庞大的Intranet和分布在全国各地的Intranet之间互相连接形成一个更加庞大的网络。这样一个网网相连的企业网为企业提高了效率、增加企业竞争力，同样，这样复杂的网络面临更多的安全问题。首先本地网络的安全需要保证，同时总部与分支机构、分支机构之间的机密信息传输问题，以及集团的设备管理问题，这样的网络使用环境一般存在下列安全隐患和需求： 

1、Internet的安全性

目前互联网应用越来越广泛，黑客与病毒无孔不入，这极大地影响了Internet的可靠性和安全性，保护Internet、加强网络安全建设已经迫在眉捷。

2、大型企业内网的安全性

企业内部的网络安全同样需要重视，存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。 

1.2 现场情况分

   企业先有2000左右用户。

   企业原有网络通讯网建设完备，但没有必要的安全设计。具体存在以下安全隐患：

∙计算机病毒在企业内部网络传播 

∙内部网络可能被外部黑客攻击 

∙对外的服务器（如：www、ftp、邮件服务器等）没有安全防护，容易被黑客攻击 

∙内部某些重要的服务器或网络被非法访问，造成信息泄密 

∙内部网络用户上网行为没有有效监控管理，影响日常工作效率，容易形成内部网络的安全隐患 

∙分支机构网络安全问题 

∙大量的垃圾邮件占用网络和系统资源，影响正常的工作 

∙分支机构网络和总部网络连接安全和之间数据交换的安全问题 

∙远程、移动用户对公司内部网络的安全访问

1.3 重点要求

●不改变原用网络构架

●安全的网络边缘防护

●内部网络行为监控和规范

●灵活的控制台和Web管理方式

●强大的日志分析和统计报表能力

●模块化的安全组合

第二章 方案设计

2.1 拓扑图

2.2 设计介绍

采用神州数码高端多核防火墙DCFW-1800S-V2，做为出口网关，三大安全板块打造一个安全合规和谐的网络环境。

1、边界安全模块

使用神州数码高端多核防火墙解决边界3大难题：

解决难题1：边界安全

    边界出口是公司内部网络与互联网连接的门户，担负着与进行信息交互的重任。同时，也成为了面临外部安全威胁的第一道门槛。

   此次改造使用神州数码高端多核架构防火墙保护内网安全，把来至的威胁拒之门外。不但可以保护内部资源不受外部网络的侵犯，同时可以阻止内部用户对外部不良资源的滥用。

解决难题2：多出口链路聚合

   神州数码多核防火墙具备超强的链路负载均衡功能，最多支持40条出口链路的复用。可根据权值划分多出口流量比例，也可根据用户所访问的目的地址选择最快最合适的链路。使企业原有的2条出口链路得到更充分合理的应用。

解决难题3：安全的VPN用户接入

   公司外出活移动办公地员工，可通过神州数码多核防火墙提供的安全VPN拨号接入功能随时随地安全的接入到公司内网中进行办公操作；同时防火墙还提供对于分支机构建立永久的IPSEC VPN连接，使给分支机构的员工在不需要任何配置的情况下和总部顺畅的进行信息交流。

2、流量整形模块

流量整形网关

使用神州数码多高端核防火墙解决带宽分配的2大难题

解决难题1：网络流量的可见可控

首先：应用多，企业的生命线系统：除了ERP、OA，还有其他重要应用，如视频会议、邮件等等；其次：随着互联网内容的丰富，特别是P2P的兴起，大量与企业工作无关的应用充斥内部网络；然而，现有网络中，根本就没有一种工具来分析、控制各种应用占用的带宽资源，企业的互联网出口被大量无关应用拥塞，导致关键业务得不到带宽保障。

以前常用的路由器、交换机阻断应用的方式，越来越难抵抗新兴技术，特别是P2P技术。一个很直接也很简单的方法：扩充互联网出口线路带宽，事实证明，这也无济于事，因为P2P、多线程下载等应用的“贪婪性”特点，会尽可能用尽带宽

解决难题2：基于用户的流量整形

    传统的流量整形设备只能粗犷的限定带宽或者根据IP地址来分配用户带宽，但是针对使用DHCP的动态IP用户无法做到精确到人的带宽策略，对于非法更改自己IP地址的用户更无计可施。

    神州数码高端防火墙，带宽策略可针对到用户段实施，完美解决了传统无法精确到人的带宽策略。

3、上网行为记录模块

通过布置神州数码多核防火墙，可以在规定的时间内，详细的记录用户的上网流量及上网应用行为；同时可以记录外部人员对公司内网的访问行为，同时根据安全级别提示告警，防止公司机密信息泄露，及对非法或不道德言论追踪到人，打造和谐合规的网络。

第三章 产品选型及介绍