一、客户背景
某一上市集团公司骨干线路采用光纤通讯并通过三层交换机以及路由器连接到各个客户端。其信息节点总数在800左右,与INTERNET相连的有200个节点。整个网络拥有自己的FTP服务器、HTTP服务器以及E-Mail服务器。其主要存在的问题:整个网络安全管理差,几乎处于失控状态,一些保密数据,无法得到安全控制,整个网络不但运行效率很低,而且很不安全。
为此,该公司审时度势决定寻求一个针对该企业网络的信息安全方案。力求最大限度地充分利用现有客户资源,实现系统整体性能的提高和功能上的完善。重点要求:
1、重要数据安全控制。
2、对上网用户进行控制管理,限时限量。
3、内外网均可以通过公司的mail服务器收发邮件,自由访问web服务器。
二、安全性分析
对该集团公司的网络信息系统,应解决以下的安全问题:
其一、局域网内部安全问题;其二、连接Internet时网络层的安全;其三、防止黑客入侵;其四、广域网信息传输的保密性;其五、远程访问的安全性;其六、评估网络的整体安全性。
基于以上安全问题,网络信息系统应包括:访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息等安全机制。 一般来说,网络出现不安全因素,主要是由网络的开放性和自由性造成的。只有把被保护的网络从开放的网络中独立出来,成为可管理、可控制的内部网络才能实现网络安全。目前最基本的分隔手段就是采用防火墙。即中软Huatech-2000防火墙设置在内部被保护的安全网络与外部不安全的Internet网络之间,是两个网络之间信息的唯一出入口,不仅可以根据安全策略控制出入网络的信息流,而且防火墙本身具有较强的抗攻击能力,是网络信息安全的基础设施。
三、方案设计
在安全方案设计中,根据中软HuaTech-2000型防火墙具有非常好的包过滤功能、代理功能、地址转换功能、地址绑定功能、时间段控制访问功能、防止IP地址欺骗功能、DMZ功能、VPN功能等,以及高速稳定、安全可靠、兼容性好等特点,完全可以满足网络系统的需求,实现网络系统统一的安全策略,确保网络系统安全有效地运行。
针对网络系统当前的现状,可以把网络的安全需求分为两级, 首先是内部网包括主域控制器、备份域控制器、所有工作站的安全应当放在第一位的,然后是E-Mail、WWW、FTP等对外网提供服务的服务器的安全。根据这个思路,设计的网络安全解决方案及其结构示意图(见图1)。
四、Internet接入服务网络系统
1、如图1:所示,内部网络Internet接入服务系统由网络连接部分、路由器(两台路由器分别通过专线ADSL和拨号ISDN接入Internet,其中拨号ISDN接入为备份)部分、用户流量管理控制软件模块组成。其中:
* 网络连接中防火墙部分可适应路由器选择十兆或百兆接口。防火墙可选择非透明和透明两种接入方式。
* 防火墙的流量管理控制模块针对内网客户机配置流量访问控制功能,达到对客户机访问Internet管理和某些异常流量变化情况的监控。如:可以分别对IP地址配置访问流量,达到限定流量后将禁止此IP地址对Internet的访问;可以对设定的IP地址进行流量日志统计,达到监控的目的。
2、IP地址的分配 为了实现内部所有工作站访问Internet,解决可能存在的IP地址不足问题,内部网络区和DMZ区使用Internet为企业私有网保留的A类地址。
3、对外服务器接入方案 把所有对外提供服务的服务器,包括E-Mail、WWW、FTP等服务器接在防火墙的DMZ管理区,进行集中管理,对每台服务器作相应的控制访问策略。如只允许访问HTTP服务器的WWW服务,其余访问被禁止;允许FTP访问通过防火墙,其余服务禁止等。
4、网客户机接入方案 内部用户在访问Internet时,通过防火墙的地址转换技术,将内部网络地址转换成有效的外网地址,达到访问Internet的目的;对Internet某些授权的用户访问内部网络,可通过防火墙的地址映射技术,将外部Internet用户对防火墙的访问映射到内部网络的固定客户机上。这样就可以实现内、外网用户分别发起的访问。
五、安全效果
在整个系统的安装过程中进展非常顺利。防火墙经初始化之后,立即接入网络中,网络断开时间很短,基本上对用户的使用没有造成影响。用户通过使用我们的GUI图形管理器,很快就学会了对防火墙进行配置、管理等工作。系统安装很成功,安全性能充分满足了用户的需求,效果非常好,至今已正常运转多时,得到用户的好评。
