中小型企业解决方案

       一、概述

       随着网络应用的日益广泛，各种中小型企业或单位也将通过网络与用户及其他相关行业系统之间进行交流，提供各种网上的信息服务，但这些网络用户中，不乏竞争 对手和恶意破坏者，这些人可能会不断地寻找系统内部网络上的漏洞，企图潜入内部网络。一旦网络被人攻破，机密的数据、资料可能会被盗取、网络可能会被破 坏，给系统带来难以预测的损失。因此，网络信息安全越来越被一些中小型企业或单位重视，网络安全的建设也将提上日程。

       二、中小型企业网络系统拓扑结构

       一般来说，中小型企业或单位都是通过 ADSL 或拨号上网的中小型局域网。结构如下图所示：

   方案说明

    采用工作组型防火墙，规格如下：

    License Type Description

    SNFW-NAT 连接数无限制

    SNFW-FT-BH 网络黑洞(选件)

    SNFW-FT-LOG 网络数据记录(选件)

    SNFW-FT-TP 透明代理服务(选件)

    SNFW-FT-TP-UB URL统计拦截 (选件)

    SNFW-FT-TP-CF 内容过滤 (选件)

    Features * 基于状态检测的包过滤

    * 具有包过滤功能的虚拟网桥

    * DoS防御网关能有效的防止各种类型的DoS攻击

    * TCP标志位检测

    * 双向网络地址转换(NAT)

    * 流量统计与流量限制

    * 网络端口可以绑定多个IP地址

    * IP地址与MAC地址绑定

    * 实时系统监控，能观察系统的运行状态及网络连接状况

    * 实时报警，通过拨打电话和Email的方式报警 (Syslog Daemon)

    * 系统操作记录，可以记录系统管理员的所有操作情况

    * 界面升级，操作方便

    * 网络黑洞，用于阻挡非法的网络探测

    * 网络数据记录, 用于记录通过防火墙的数据类型和流量

    * 透明代理服务, 为内部用户访问外部网络时提供透明代理服务

    * 内容过滤, 用于用户在浏览网页时进行网页内容的过滤

    * URL统计拦截, 对内部用户访问的 URL 的地址进行限制

      实现功能

     使用 NAT 把 DMZ 区的服务器和内部端口影射到 Firewall 的对外端口；

     允许 Internet 公网用户访问到 DMZ 区的应用服务： http 、 ftp 、 smtp 、 dns ；

     允许 DMZ 区内的工作站与应用服务器访问 Internet 公网；

     允许内部企业用户访问 DMZ 的应用服务： http 、 ftp 、 smtp 、 dns 、 pop3 、 https ；

     允许内部企业用户访问或通过代理访问 Internet 公网；

     禁止 Internet 公网非法用户入侵内部企业网络和 DMZ 区应用服务器；

     禁止 Internet 公网用户对内部网络 http 、 ftp 、 telnet 、 traceroute 、 rlogin 等端口访问；

     禁止ＤＭＺ区的公开服务器访问内部网络；

     透明代理内含用户口令认证，并设置其访问权限；

     设置防黑客或入侵监测的范围，实行实时入侵监测。