一、客户背景
某一上市集团公司骨干线路采用光纤通讯并通过三层交换机以及路由器连接到各个客户端。其信息节点总数在800左右,与INTERNET相连的有200个节点。整个网络拥有自己的FTP服务器、HTTP服务器以及E-Mail服务器。其主要存在的问题:整个网络安全管理差,几乎处于失控状态,一些保密数据,无法得到安全控制,整个网络不但运行效率很低,而且很不安全。
为此,该公司审时度势决定寻求一个针对该企业网络的信息安全方案。力求最大限度地充分利用现有客户资源,实现系统整体性能的提高和功能上的完善。重点要求:
1、重要数据安全控制。
2、对上网用户进行控制管理,限时限量。
3、内外网均可以通过公司的mail服务器收发邮件,自由访问web服务器。
二、安全性分析
对该集团公司的网络信息系统,应解决以下的安全问题:
其一、局域网内部安全问题;其二、连接Internet时网络层的安全;其三、防止黑客入侵;其四、广域网信息传输的保密性;其五、远程访问的安全性;其六、评估网络的整体安全性。
基于以上安全问题,网络信息系统应包括:访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息等安全机制。 一般来说,网络出现不安全因素,主要是由网络的开放性和自由性造成的。只有把被保护的网络从开放的网络中独立出来,成为可管理、可控制的内部网络才能实现网络安全。目前最基本的分隔手段就是采用防火墙。即中软Huatech-2000防火墙设置在内部被保护的安全网络与外部不安全的Internet网络之间,是两个网络之间信息的唯一出入口,不仅可以根据安全策略控制出入网络的信息流,而且防火墙本身具有较强的抗攻击能力,是网络信息安全的基础设施。
三、方案设计
在安全方案设计中,根据中软HuaTech-2000型防火墙具有非常好的包过滤功能、代理功能、地址转换功能、地址绑定功能、时间段控制访问功能、防止IP地址欺骗功能、DMZ功能、VPN功能等,以及高速稳定、安全可靠、兼容性好等特点,完全可以满足网络系统的需求,实现网络系统统一的安全策略,确保网络系统安全有效地运行。
针对网络系统当前的现状,可以把网络的安全需求分为两级, 首先是内部网包括主域控制器、备份域控制器、所有工作站的安全应当放在第一位的,然后是E-Mail、WWW、FTP等对外网提供服务的服务器的安全。根据这个思路,设计的网络安全解决方案及其结构示意图(见图1)。