DCN终结者防火墙典型应用案例_之_中小企业篇.ppt

《DCN终结者防火墙典型应用案例_之_中小企业篇.ppt》由会员分享，可在线阅读，更多相关《DCN终结者防火墙典型应用案例_之_中小企业篇.ppt（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、DCN终结者防火墙典型应用案例之中小企业篇蒋忠平2008年年11月月中小企业网络面临的问题v内网ARP 病毒泛滥v内网不同属性用户间互访不可控v内网用户上网行为不可控v内网用户私自篡改IP地址获取上网权限v无法控制内网用户的上网带宽v无法保证内部重要服务器对带宽占用的优先级v多线路接入时无法做到有效负载均衡利用v远程用户无法实时接入内网获取办公资源典型案例某视讯公司改造前的网络4M专线1M ADSL线路测试部Server财务部对外资源下载Server群组业务部工程部Web Server改造前用户网络面临的问题ARP病毒泛滥导致上网时断时续，用户苦不堪言。内网用户上班时间访问Internet不可

2、控，随意网上冲浪打发时间。内网各部门及测试部Server上班时间使用P2P等下载占用大量带宽，极大的影响了公司正常业务数据的流转。由于内网用户对带宽的挤占，导致外网用户从“对外资源下载Server群组”中下载数据时经常感到极慢。内网各部门成员间PC互访完全不受限。内网用户经常私自更改IP以获取对相关资源的访问权限，并可能导致与其他用户IP冲突。各种对外服务器直接暴露在公网上，频繁感染病毒并随时面临着被入侵的威胁。终结者防火墙的治网之道v解决内网ARP病毒泛滥v灵活的安全策略v用户上网行为控制v深入细致的QoS(Quality of Service)管理v丰富的应用层检测功能v完善的二层特性（透

3、明模式，VLAN）v多链路负载均衡vVPN使用终结者防火墙对网络改造后1M ADSL线路4M专线测试部Server财务部对外资源下载Server群组业务部工程部Web ServerEth0/0Eth0/1Eth0/2Eth0/3终结者防火墙部署终结者防火墙后达成的效果-1v解决了内网ARP病毒泛滥的问题神州数码终结者防火墙针对中小型网络部署开发了独到有效的ARP防护解决方案，开启ARP防护功能后，内网用户第一次经过防火墙访问外网时，防火墙将向内网用户推送一个ARP客户端软件（DigitalChinaSecurityDefender).在安装了DCSD后，内网PC与防火墙之间的ARP报文将采用加

4、密方式传输，所有伪造网关IP的ARP欺骗报文将被DCSD拒之门外，所以可以有效的解决网关ARP欺骗问题。此外，DCSD也将监控PC本身的可疑二层行为，如果PC感染了ARP病毒并企图伪造ARP报文向外传播时，DCSD将会予以拦截。这样就从源头上切断了 ARP欺骗行为向网络中的传播。ARP防护1M ADSL线路4M专线测试部Server财务部对外资源下载Server群组业务部工程部Web ServerEth0/0Eth0/1Eth0/2Eth0/3DCSDDCSDDCSDDCSD第一次访问外网全部部署DCSD后内网ARP防护坚若磐石达成的效果-2v内网用户根据不同需要对可上网时段做出限制几个特权用

5、户及服务器上网不做限制部分业务部人员上班时间可以访问Inernet，但BT、电驴、迅雷等P2P应用以及QQ、MSN等即时通信应用都被禁止。其他人员上班时间（9:00-12:00 13:00-18:00)任何上网动作都被禁止达成的效果-3v使用QoS功能对流量进行优化对于专线接入线路（eth0/2)限制“测试部Server”下载带宽不超过512k因为“对外资源下载Server群组”要对外网用户提供下载业务，所以设备来自这些IP的上传数据优先级最高。即：在上行带宽拥挤的情况下，防火墙将优先保证来自这个群组的数据优先上传。将其他可上网用户总的下载带宽限制不超过2M。使用QoS对流量进行优化1M AD

6、SL线路4M专线测试部Server财务部对外资源下载Server群组业务部工程部Web ServerEth0/0Eth0/1Eth0/2Eth0/3终结者防火墙下行512k使用QoS对其限流出口拥挤时QoS策略提升Server群组的上行数据转发优先级使来自该群组的数据能得到优先转发达成的效果-4v限制财务部、工程部、业务部之间的互访为每个部门开辟一个单独的网段，并在交换机上划分VLAN，每个网段使用一个防火墙接口作为外出访问的网关。不同部门间用户的互访需要在防火墙上开放安全策略来实现。达成的效果-5v对网络中的所有用户在防火墙上启用IP-MAC绑定用户私自修改IP后将无法访问外网。防火墙上启用

7、“ARP欺骗报警”，用户私自修改IP后将能迅速定位并做到有据可查达成的效果-6v对各服务器进行严密的保护对内网Web Server仅映射TCP80端口，并仅开放外网用户对其HTTP的访问。其他配置合法IP的服务器部署在DMZ区域进行专门保护，仅对外网开放少数几个必要的端口。有效阻止了外网病毒的感染及并降低了被入侵的风险。针对外网接口开启攻击防护后，也使得服务器极大降低了遭受包括各种DoS在内的众多攻击的威胁。围绕防火墙进行拓扑修改而取得的成效v为了尽可能的不改变用户原先的Server区配置，改造后将服务器移至防火墙DMZ区并与与外网口配置为透明模式，由防火墙为各服务器提供安全保护。v将ADSL

8、线路、专线均与防火墙连接，并在两条链路间启用负载均衡，以使所有的WAN链路资源都能得到充分的利用。混合模式&负载均衡1M ADSL线路4M专线测试部Server财务部对外资源下载Server群组业务部工程部Web ServerEth0/0Eth0/1Eth0/2Eth0/3终结者防火墙为了不改变用户服务器区的原始网络配置，将DMZ区与专线链路接口间配置为透明模式运行将原先网络中只提供一部分人上网使用的ADSL线路与专线同时接入到防火墙，并在防火墙上启用对两条链路的负载均衡，以提高WAN链路的利用率。远程用户接入内网1M ADSL线路4M专线测试部Server财务部对外资源下载Server群组业务部工程部Web ServerEth0/0Eth0/1Eth0/2Eth0/3终结者防火墙SSL VPN加密隧道出差员工及远程Office有接入内网访问敏感数据的需求。对此我们在防火墙上启用SSL VPN接入功能轻松满足用户需求。The End