近年来,中国的网络发展非常迅速,同时,中国的网络安全也越来越引起人们的关注,国家权威部门曾对国内网站的安全系统进行测试,发现不少单位的计算机系统都存在安全漏洞,有些单位还非常严重,随时可能被黑客入侵。
近年来,中国的网络发展非常迅速,同时,中国的网络安全也越来越引起人们的关注,国家权威部门曾对国内网站的安全系统进行测试,发现不少单位的计算机系统都存在安全漏洞,有些单位还非常严重,随时可能被黑客入侵。任何网络都不是绝对安全的,值得一提的是,当前一些单位在急忙赶搭"网络快车"时,只管好用,不管安全,这种短视必然带来严重的恶果,因此,从思想上提高对计算机网络安全重要性的认识,是我们当前的首要任务。本套系统设计的目的就是改善当前薄弱的网络安全状况,让Internet的发展给政府机构、企事业单位带来了革命性的改革和开放,使得他们能够利用网络提高办事效率和市场反应能力,以便更具竞争力。
如下一个中小企业用户对不同的内网用户、服务器区、Internet区等相互之间细致的规划了访问权限以及相应的策略,借助于H3C防火墙的强大访问策略实现以及完善的网络功能,该公司的网络安全得到了较好的保障,这种方案值得我们借鉴。
二 某科技公司的防火墙需求
1 防火墙上要有四块100M网卡:内网口1、内网口2、外网口、DMZ口,通过物理隔断保障各关键部门的安全,管理员可根据权限通过该口对防火墙进行配置、管理和监控,也可进行远程管理。
2 防火墙基本访问规则:
①内网用户根据规则可以合法访问外网及DMZ区;
②外网各地分支机构允许根据认证访问内网1和DMZ区服务器开放的服务;
外网不允许访问内网2,未经认证的用户不允许访问内网和DMZ。
③DMZ服务器向外或向内提供指定端口的服务如:WEB服务,FTP、MAIL服务
3 用户所有要访问互联网的PC均要添加一个网关指向防火墙的内网网口IP;这样所有的PC对外或对DMZ的访问均通过防火墙,防火墙可进行有效的控制、监督和管理。
4 防火墙内网口1、内网2、DMZ和外网分别处不同网段。内网口应与内网IP同一个网段,如内网有多个网段可通过掩码或地址映射来设置。
三 选型背景
针对以上对不同的分区的多种访问策略要求,我们推荐使用H3CSecpathF100-S防火墙。组网图如下。
H3C防火墙具有状态过滤和内容过滤技术,具有高安全性、高效性、可扩展性,应用多技术成熟,H3C防火墙具备完善的网络功能:例如,支持身份认证功能IP与MAC地址的绑定、代理路由、基于IP基于用户的流量控制、审计系统、实时监控、VLANTrunk等,这些也是吸引用户的亮点。
四、应用优势
H3C防火墙是构建整个安全体系的核心,贯穿内部网络的整个防御过程:F100防火墙实行事前检测安全漏洞,可以做到事先防备多种网络攻击手段;F100防火墙能够检测到通过防火墙的各种入侵、攻击和异常事件,并以相应的方式通知相关人员,安全员依据这些警报信息及时修改相应的安全策略,重新制定访问控制规则;防火墙提供日志功能,由安全员分析日志信息,修正策略,制定新的过滤规则。需要四个以太网口满足要求。
京公网安备 11010802021500号