|
XX 公司安全解决方案
XX 公司是一家专门从事进出口贸易的小型公司,。
由于公司业务主要通过网络的电子邮件处理各种业务,并且公司还需要经常到 INTERNET 上查询各种最新产品信息及货运信息,以保证公司在产品上、时间上领先同行,给客户提供更周到的服务。另外,公司的一些大客户还需要临时地访问公司内部的一些重要数据,这也带来了很大的问题。
公司现有 PC 二十多台,所有 PC 都通过一个二十四口的交换机连在一台代理服务器上,代理服务器通过 ADSL 拨号的方式接入 INTERNET 。通过代理服务器的设置,内部所有 PC 都可以通过代理服务器访问 INTERNET 。
拓朴结构如下:
|
|
因为代理服务器拨号成功后具有公网 IP 地址,所以经常会面临来自 INTERNET 的各种危险。在代理服务器上经常会发生一些莫名其妙的问题,而且从各种日志上会看到来自 INTERNET 的各种攻击企图,而且有时代理服务器会变得经常慢。有一次还发现被黑客安装了一个木马程序,幸好及时发现,否则会给企业带来巨大的损失。
另外,代理服务器还开了很多的公开服务,如 WEB 、 FTP 、 TELNET 等,如果有人通过公开服务的一些漏洞突破了代理服务器,这样就存在相当大的安全问题。另外,临时性地给大客户开放的一些数据必须得放到代理服务器上,但如果大客户心怀不轨的话,那后果也相当严重。
内部所有的客户端都通过代理服务器共享连接,而一旦代理服务器出现问题,将导致所有客户端都不能处理业务和上网查询的情况,这种方式具有脆弱性。
安全解决方案:
我们选用 NETSCREEN 的 5XT 系列,在此首先把结构图展示如下:
|
|
方案说明:
①访问控制:
为了更好地保护内部资源,可以利用防火墙的过滤功能(可以基于源 IP 地址、目的 IP 地址、源端口、目的地址、时间等方面)进行灵活地控制。
② NAT功能:
原来的结构中是采用的代理的方式上网,而代理服务器一旦出现问题,将导致所有用户都不能上网。我们在此采用防火墙的 NAT功能(网络地址翻译),将来自 内部的使用私有 IP 地址的访问转换成防火墙上公网 IP 地址的访问,既能保证所有客户端访问公网,又比采用代理服务的方式访问速度更快,安全性更高,同时省掉的代理服务器可以做其他工作。
③完全支持 ADSL拨号:
防火墙完全支持 ADSL 拨号的功能,通过防火墙完成拨号后将完全会替代原来代理服务器的功能,同时安全性更高。
④临时性的公开服务:
针对大客户的需求,在防火墙上临时地做一个映射规则就可以。这样,来自大客户的对特定服务的访问就通过防火墙转发到内部网去了 。至于权限的控制,完全可以根据需求灵活地进行控制。采用这种方式,既增强了安全性,又保证了最大的灵活性。
⑤ DHCP功能:
如果不想手动给内部客户机分配 IP 配置参数,可以启用防火墙的 DHCP 功能,让内部客户端自动获得网络配置参数,节省相应的管理成本。
|
