xxx网络改造方案范例.doc

xxx卫浴网络安全改造在网络出口处H3C F1000的防火。入侵防御设备以及网关。多个的分支点包括创意园，珠海厂区，美鑫与总部之间有vpn网络服务器（DMZ）部署安全设备，没做到七层应用的保护。 安全需求 出口处防火墙。用，通过开通入侵防御，防病毒模块来抵挡外部的入侵以及病毒，间谍软件的。 在区前边部署下一防，通过开通入侵，防病毒模块来保护服务器的安全。做好访问服务器的访问策略以及核心应用的带宽 3、通过防火墙的链路负责均衡，保障链路的可用性。具体如下： -主模式——多WAN口负载均衡模式；负载均衡算法可以 选择轮询，按比例使用，或者主线路负载到一定程度时启用第二线路。 主-被模式——多WAN口的冗余备份模式，当主线路故障时，启用备用线路。 4、通过防火墙解决测试生产环境之间的安全问题。IP地址不变，测试部门可以通过DHCP的方式，获得其他的地址范围，从而避免和生产部门在同一子网。防火墙可以作为DHCP服务器来发放IP地址的。测试部门的电脑改为DHCP获取IP地址。重启后就可以用新地址。 5、通过下一代防火墙的可视化。实时了解的网络情况，了解应用的访问情况，当网络出现异常可以快速的定位到。例如某个应用的流量出现波动，可以快速定位到哪个ip，哪个用户暂用了多少带宽多少连接数。改造规划。下一步的安全改造要求分支机构的防火墙要升级为下一代，保障分支的内外要足够安全，才能保障与直接的数据交换更安全。 由于企业内部没有部署专业的防病毒软件，此次的网络安全改造，防病毒间谍软件的拦截变得尤为重要。ell SoncWALL安全解决方案介绍 2.1防火墙访问控制 SonicWALL防火墙内部集成了丰富的访问控制策略，可通过策略有效控制到什么人在什么时候通过何种方式访问何种网络资源。 具体说来，SonicWALL 防火墙能够控制的“人”的对象包含，IP地址，用户名，MAC地址，这些都是一个访问的角色的唯一代表 在什么时候，即，可以指定此用户角色可以在什么时间段内可以依照此策略做出相应的网络访问动作。 通过何种方式，即，用户角色通过某种服务协议，如HTTP、FTP等方式来访问网络资源。 访问目的资源，即，防火墙策略控制用户角色可访问的目标对象，包含IP地址、网络域名。 通过这种控制策略，可以授权所有区域间的访问控制，包含外网到内部区域的某个特定服务器上的特定服务的访问以及内部区域间不同用户访问。 2.2流量管理 SonicWALL内置丰富的流量管理策略集，可以和防火墙访问控制规则一同部署实施，可以针对所有的用户角色，如IP、用户名以及访问的服务协议来分配其所能够合理使用的网络带宽，可以细化到该用户角色所能够获得的保证带宽，最大带宽，通过给予该用户角色一个流量优先级。SonicWALL内置8种流量优先级，从0-7依次优先级降低，即，当网络带宽不足时，优先级别高的将优先获得保障带宽，余下的优先级别低的来分享剩余的网络带宽。不同的流量优先级提供不同的带宽保障措施；或者当流量足够时，优先级别高的用户角色将在获得保障带宽的同时，也优先获得管理员事先设定的最大带宽，剩余的带宽将有其他用户角色依照流量优先级别依次获得。 2.3 SonicWALL UTM功能以及应用层防火墙功能 众所周知，internet在带给大家便利的同时也带来了安全隐患，internet在设计之初就没有考虑到安全问题，网络越发达，网络间的交流越多，安全问题就越多，网络受所的威胁越大。当前的最大威胁来自于网络病毒以及恶意程序，如果有效的防范一直是管理员头痛的问题，虽然有网络防病毒的部署，但是社会工程学以及认为因素的原因（比如用户错误的运行了某个恶意程序或者卸载/终止了客户端的杀毒引擎），病毒依旧会传入内网，管理员压力和责任依旧重大。 SonicWALL全系列防火墙均支持UTM功能，UTM是IDC的一项工业标准，是在网关设备上起用一体化威胁管理的标准，即网关防病毒、入侵防护、反间谍软件功能。SonicWALL网关防病毒支持多达25000种新型病毒特征，支持多达50多种网络协议，并且采用了自有专利技术深度包检测技术（DPI），这种技术的部署使得防火墙不需要缓存文件，对于用户并发数以及传输的文件大小没有任何限制，可以大大提高防火墙的处理效率，减少网络延迟。SonicWALL 的入侵防护以及反间谍软件功能均采用此技术。 调查数据显示，网络病毒、间谍软件以及攻击，不仅仅全部来自互联网，更多的时候是来自内部，但是传统的防火墙很难防范来自内部的攻击，由于纳入了区域管理，内外网络以及内部部门网络间的交流的数据都要通过防火墙，因此，在策略化起用了UTM功能之后，SonicWALL 防火墙可以有效防范各网络间的病毒、攻击行为以及间谍软件传播的发生。 合理的利用网络带宽、优先保障业务流量以及规范