1. 前言

隨著網(wǎng)絡(luò)應(yīng)用的日益廣泛，各種大型企業(yè)或單位也將通過(guò)網(wǎng)絡(luò)與用戶及其他相關(guān)行業(yè)系統(tǒng)之間進(jìn)行交流,，提供各種網(wǎng)上的信息服務(wù),，但這些網(wǎng)絡(luò)用戶中，不乏競(jìng)爭(zhēng)對(duì)手和惡意破壞者,，這些人可能會(huì)不斷地尋找系統(tǒng)內(nèi)部網(wǎng)絡(luò)上的漏洞,，企圖潛入內(nèi)部網(wǎng)絡(luò)。一旦網(wǎng)絡(luò)被人攻破,，機(jī)密的數(shù)據(jù),、資料可能會(huì)被盜取、網(wǎng)絡(luò)可能會(huì)被破壞,，給系統(tǒng)帶來(lái)難以預(yù)測(cè)的損失,。因此，防火墻便成為網(wǎng)絡(luò)安全必不可少的產(chǎn)品,，天網(wǎng)防火墻在系統(tǒng)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)用戶之間建起了一道安全的屏障,，從而有效地抵御外來(lái)攻擊，防止不法分子的入侵,。

2. 產(chǎn)品特性說(shuō)明

軟硬件一體化的結(jié)構(gòu)
防火墻對(duì)于用戶來(lái)說(shuō),，只是一個(gè)類似路由器的硬件設(shè)備，整體系統(tǒng)采用黑盒設(shè)計(jì),，防火墻系統(tǒng)與硬件緊密結(jié)合,，發(fā)揮硬件最高效能，減少由于操作系統(tǒng)問(wèn)題而產(chǎn)生網(wǎng)絡(luò)漏洞的可能,，提高系統(tǒng)自身安全性,。

快速安裝功能
傳統(tǒng)的防火墻在安裝時(shí)極為麻煩，首先需要安裝操作系統(tǒng),，調(diào)整網(wǎng)絡(luò)參數(shù),，安裝防火墻軟件,，然后進(jìn)行網(wǎng)絡(luò)參數(shù)設(shè)置，系統(tǒng)管理員如果沒(méi)有經(jīng)過(guò)專門的培訓(xùn),，在短時(shí)間內(nèi)裝好防火墻幾乎是不可能的事情,。天網(wǎng)防火墻I具有快速安裝特性，可以實(shí)現(xiàn)從上架安裝,、連接網(wǎng)線,、上電、參數(shù)設(shè)置完畢整個(gè)過(guò)程不超過(guò)15分鐘,。

基于瀏覽器的Web管理界面
通常一個(gè)小型企業(yè)并沒(méi)有一個(gè)防火墻專家來(lái)專門負(fù)責(zé)防火墻方面的工作,，天網(wǎng)防火墻具有多語(yǔ)言支持簡(jiǎn)單易用的Web設(shè)置界面，令管理員熟練地掌握系統(tǒng)的時(shí)間大大減少,，操作簡(jiǎn)單,、管理方便，只要具有一定網(wǎng)絡(luò)相關(guān)知識(shí)的人即可勝任,。

完善的訪問(wèn)控制功能
天網(wǎng)防火墻靈活完善的網(wǎng)絡(luò)訪問(wèn)控制,，不僅包括現(xiàn)有的所有網(wǎng)絡(luò)服務(wù)，同時(shí)可以兼顧將來(lái)各種新的網(wǎng)絡(luò)服務(wù),，在有效地保障企業(yè)網(wǎng)絡(luò)安全的前提下又能保證各種網(wǎng)絡(luò)服務(wù)的暢通無(wú)阻,。

MAC地址綁定
天網(wǎng)防火墻所具有的MAC地址綁定功能可以很好地解決內(nèi)部網(wǎng)絡(luò)在地址資源的分配問(wèn)題。當(dāng)網(wǎng)絡(luò)用戶被分配或自行設(shè)定一個(gè)IP地址以后,，防火墻系統(tǒng)就能接收到相應(yīng)的地址廣播,，在防火墻系統(tǒng)上列出相應(yīng)的IP地址與MAC地址，并可以選擇是否把這個(gè)IP地址與相應(yīng)的MAC地址綁定,，這樣可限定IP地址只能在一臺(tái)指定的工作站上使用,，既可以防止IP地址冒用，又大大方便了日常網(wǎng)絡(luò)的IP地址管理,。

支持第三區(qū)域網(wǎng)絡(luò)
在只擁有一套傳統(tǒng)防火墻的情況下,，通常無(wú)法實(shí)現(xiàn)對(duì)多個(gè)網(wǎng)絡(luò)的同時(shí)保護(hù)，天網(wǎng)防火墻附加的第三個(gè)網(wǎng)絡(luò)接口的靈活的規(guī)則可輕松地處理好3個(gè)物理網(wǎng)絡(luò)間的關(guān)系,，不但節(jié)省了企業(yè)的投資,，還同時(shí)保護(hù)了多個(gè)網(wǎng)絡(luò)的安全，,，而且可以避免因?yàn)閮?nèi)部網(wǎng)絡(luò)的不當(dāng)操作而影響服務(wù)器的正常運(yùn)作,。

NAT方式節(jié)省網(wǎng)絡(luò)地址資源
對(duì)于一個(gè)小型網(wǎng)絡(luò)來(lái)說(shuō)，申請(qǐng)的IP地址不會(huì)太多,，如果網(wǎng)絡(luò)中的每一臺(tái)設(shè)備都需要一個(gè)IP地址,，會(huì)造成IP地址的嚴(yán)重不足。 天網(wǎng)防火墻提供的網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation）功能不僅可以隱藏內(nèi)部網(wǎng)路地址信息,，使外界無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)設(shè)備,，同時(shí),，它還幫助網(wǎng)絡(luò)可以超越地址的限制，合理地安排網(wǎng)絡(luò)中的公有Internet 地址和私有IP地址的使用,。通過(guò)NAT功能，天網(wǎng)防火墻系統(tǒng)可以幫助采用私有地址的內(nèi)部網(wǎng)用戶順利的訪問(wèn)Internet的信息資源,，不但不會(huì)造成任何網(wǎng)絡(luò)應(yīng)用的阻礙,，同時(shí)還大量節(jié)省了網(wǎng)絡(luò)地址資源。

3. 天網(wǎng)網(wǎng)絡(luò)安全解決方案

3.1 用戶需求分析
按照服務(wù)性質(zhì)和管理區(qū)域劃分,，用戶網(wǎng)絡(luò)主要分為三個(gè)部分： 1,、內(nèi)部網(wǎng)絡(luò)。提供內(nèi)部用戶日常辦公操作環(huán)境,。 2,、DMZ網(wǎng)絡(luò)。提供各種信息服務(wù),。 3,、外部網(wǎng)絡(luò)。提供到Internet連接,。
主要應(yīng)用類型包括： 1,、大型企業(yè)內(nèi)部信息發(fā)布 2、Internet應(yīng)用
安全策略為先關(guān)閉全部服務(wù)和端口,，再開放部分服務(wù)和端口,。

3.2 網(wǎng)絡(luò)結(jié)構(gòu)
根據(jù)企業(yè)的網(wǎng)絡(luò)狀況，我們建議使用基于天網(wǎng)防火墻企業(yè)－II型防火墻的安全解決方案,。下圖為本建議方案的網(wǎng)絡(luò)拓?fù)?font color=red>示意圖,。

 

方案將現(xiàn)有網(wǎng)絡(luò)劃分為物理上相互獨(dú)立的三個(gè)網(wǎng)段： 1、公共網(wǎng)段（Public_Nework） 2,、?；饏^(qū)網(wǎng)段（DMZ_Network）3、 私有網(wǎng)段（Private_Network）
其中,，公共網(wǎng)段提供面向Internet的廣域網(wǎng)連接和其他各行訪問(wèn)的支持,；停火區(qū)網(wǎng)段安放各種數(shù)據(jù)庫(kù),、FTP/Web服務(wù)器和企業(yè)內(nèi)部業(yè)務(wù)信息服務(wù)器,，提供多種面向Internet的應(yīng)用服務(wù)；內(nèi)部私有網(wǎng)段保障本地用戶安全地訪問(wèn)外部網(wǎng)絡(luò)資源,，以及對(duì)?；饏^(qū)內(nèi)各服務(wù)提供設(shè)備進(jìn)行更新和維護(hù)。

3.3 安全策略
目的：1,、 劃分安全區(qū)域,。2,、制訂安全策略，包括用戶訪問(wèn)控制,，定義訪問(wèn)級(jí)別,，確定服務(wù)類型。3,、 審核和過(guò)濾,，僅符合安全策略的訪問(wèn)和響應(yīng)過(guò)程可以通過(guò)，拒絕其他訪問(wèn)請(qǐng)求,。
根據(jù)對(duì)用戶需求的分析,，企業(yè)內(nèi)部網(wǎng)絡(luò)可以劃分為以下幾個(gè)安全區(qū)域：1、 內(nèi)部網(wǎng)段 2,、公共網(wǎng)段 3,、外部網(wǎng)段。分屬三個(gè)安全區(qū)域的網(wǎng)段通過(guò)天網(wǎng)防火墻進(jìn)行互連,。
No.
安全區(qū)域
安全級(jí)別
訪問(wèn)級(jí)別
1
外部網(wǎng)段
低級(jí)
無(wú),。提供網(wǎng)絡(luò)連接。
2
公共網(wǎng)段
中級(jí)
外部可訪問(wèn)符合安全策略的網(wǎng)絡(luò)資源,；內(nèi)部可以更新和維護(hù),。
3
內(nèi)部網(wǎng)段
高級(jí)
可自由訪問(wèn)外部網(wǎng)絡(luò)資源；對(duì)外不可見(jiàn),。

現(xiàn)有需要進(jìn)行審核和過(guò)濾的應(yīng)用和服務(wù)類型包括：
服務(wù)類型
端口范圍/協(xié)議類型
說(shuō)明
DNS
53, tcp/udp
域名服務(wù)
WWW
80, tcp
WWW服務(wù)
SMTP/POP3
25/110, tcp
電子郵件
FTP
21/20, tcp
文件傳輸服務(wù)
Etc
自定義
用戶自定義

4. 防火墻配置方案

根據(jù)網(wǎng)絡(luò)安全解決方案中的用戶需求,、網(wǎng)絡(luò)拓?fù)湟约爸贫ǖ陌踩呗裕?防火墻采取以下配置方案：
類別
項(xiàng)目
IP地址/掩碼
說(shuō)明
Networks
Pubic_Network
Internal_Network
202.96.151.206/30
10.232.0.0/20
10.43.10.0/24
外部網(wǎng)絡(luò)
內(nèi)部網(wǎng)絡(luò)
Interfaces
Serial 0
Ethernet 0
fxp2
fxp1
fxp0
unnumbered Ethernet 0
202.96.151.207/30
202.103.64.58/30
192.168.0.0/24
10.0.0.0/24
2511路由器廣域網(wǎng)接口
2511路由器局域網(wǎng)接口
連接到外部網(wǎng)絡(luò)
連接到公共網(wǎng)絡(luò)
連接到內(nèi)部網(wǎng)絡(luò)
公共服務(wù)器
Web
DNS
Mail
Ftp
192.168.0.2/24
192.168.0.3/24
192.168.0.4/24
192.168.0.5/24

內(nèi)部工作站
CONSOLE
10.0.0.1/24
網(wǎng)管工作站
4.2系統(tǒng)設(shè)置
路由設(shè)置
目的網(wǎng)絡(luò)/掩碼
網(wǎng)關(guān)地址

0.0.0.0/0.0.0.0
202.96.151.206
DNS設(shè)置
202.96.128.68

系統(tǒng)紀(jì)綠輸出地址
CONSOLE

5. 技術(shù)服務(wù)

網(wǎng)絡(luò)安全特性檢測(cè)
網(wǎng)絡(luò)安全檢測(cè)（包括對(duì)網(wǎng)絡(luò)設(shè)備、防火墻,、服務(wù)器,、主機(jī)、操作系統(tǒng)等的安全檢測(cè)）是指使用網(wǎng)絡(luò)安全檢測(cè)工具,，用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng),，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，建議補(bǔ)求措施和安全策略,，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的,。 原則上，在一些關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng),，應(yīng)該具備功能較強(qiáng)的網(wǎng)絡(luò)安全檢測(cè)或分析軟件,，通過(guò)定期對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的掃描分析，即時(shí)對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行評(píng)估,，并根據(jù)分析結(jié)果,，來(lái)合理制定或調(diào)整網(wǎng)絡(luò)安全策略。
培訓(xùn) 包括面向用戶的現(xiàn)場(chǎng)培訓(xùn),、定期舉辦的培訓(xùn)班和不同專題的網(wǎng)絡(luò)安全研討會(huì),。
售后技術(shù)支持 提供8 x 7的熱線電話支持和24小時(shí)（本地）或48小時(shí)（外地）的現(xiàn)場(chǎng)服務(wù),。