一����、應用背景
北京XX鎮人民政府網(wǎng)絡(luò )目前用戶(hù)數為xxx����,接入路由器為CISCO 7200�,下面的兩臺CISCO 2950和H3C S5100以串聯(lián)方式連接CISCO 7200路由器�。HC3 S5100交換機上劃分了40個(gè)VLAN�。IBM X3650服務(wù)器為OA服務(wù)器��,OA服務(wù)器直接接在CISCO 2950下面�。
目前網(wǎng)絡(luò )存在的問(wèn)題:
1.政府內網(wǎng)安全問(wèn)題�。目前該網(wǎng)絡(luò )中沒(méi)有安全保護設備�,容易遭到黑客的入侵和攻擊��,造成機密文件和重要數據的丟失��,還可能導致網(wǎng)絡(luò )癱瘓����。
2.內網(wǎng)經(jīng)常遭受病毒和ARP攻擊�,導致內網(wǎng)客戶(hù)機經(jīng)常無(wú)法正常辦公�、重要數據和文件丟失或被黑客竊取����。
3.內網(wǎng)用戶(hù)上網(wǎng)行為無(wú)法有效管理�。目前網(wǎng)絡(luò )中時(shí)常存在大量占用帶寬的行為����,如通過(guò)下載工具下載文件����、觀(guān)看網(wǎng)絡(luò )電視或視頻��,網(wǎng)絡(luò )帶寬不能合理的管理和分配�。其他網(wǎng)絡(luò )行為也無(wú)法有效管理控制��,如上班時(shí)間登陸SNS網(wǎng)站游戲等等��。
二��、需求分析
該網(wǎng)絡(luò )解決方案主要解決上面應用背景中提到的幾個(gè)問(wèn)題�。
需求如下:
1.解決網(wǎng)絡(luò )安全問(wèn)題����,防御黑客的入侵和攻擊行為����,保證內網(wǎng)網(wǎng)絡(luò )和數據的安全����。
2.解決內網(wǎng)客戶(hù)機中毒和ARP攻擊問(wèn)題����。
3.對局域網(wǎng)上網(wǎng)行為進(jìn)行有效管理�。
三�、解決方案
本方案在原有網(wǎng)絡(luò )結構上����,在CISCO 7200路由器和 CISCO 2950交換機之間加入天融信NGFW4000防火墻��,防火墻采用透明模式��,保持原有網(wǎng)絡(luò )結構不變����。通過(guò)防火墻的安全功能和上網(wǎng)行為管理功能保證政府內網(wǎng)的安全和對內網(wǎng)用戶(hù)上網(wǎng)行為進(jìn)行有效管理�。通過(guò)在CISCO 2950交換機上綁定客戶(hù)機MAC地址和在客戶(hù)端安裝ARP防火墻實(shí)現對內外ARP攻擊的有效防護�。OA服務(wù)器從原來(lái)的內網(wǎng)移動(dòng)到防火墻的DMZ區域��。
拓撲圖
