一����、應(yīng)用背景
北京XX鎮(zhèn)人民政府網(wǎng)絡(luò)目前用戶數(shù)為xxx�����,接入路由器為CISCO 7200,下面的兩臺CISCO 2950和H3C S5100以串聯(lián)方式連接CISCO 7200路由器�����。HC3 S5100交換機上劃分了40個VLAN����。IBM X3650服務(wù)器為OA服務(wù)器,OA服務(wù)器直接接在CISCO 2950下面����。
目前網(wǎng)絡(luò)存在的問題:
1.政府內(nèi)網(wǎng)安全問題。目前該網(wǎng)絡(luò)中沒有安全保護設(shè)備����,容易遭到黑客的入侵和攻擊����,造成機密文件和重要數(shù)據(jù)的丟失����,還可能導(dǎo)致網(wǎng)絡(luò)癱瘓����。
2.內(nèi)網(wǎng)經(jīng)常遭受病毒和ARP攻擊,導(dǎo)致內(nèi)網(wǎng)客戶機經(jīng)常無法正常辦公�����、重要數(shù)據(jù)和文件丟失或被黑客竊取�����。
3.內(nèi)網(wǎng)用戶上網(wǎng)行為無法有效管理�����。目前網(wǎng)絡(luò)中時常存在大量占用帶寬的行為����,如通過下載工具下載文件、觀看網(wǎng)絡(luò)電視或視頻�����,網(wǎng)絡(luò)帶寬不能合理的管理和分配。其他網(wǎng)絡(luò)行為也無法有效管理控制����,如上班時間登陸SNS網(wǎng)站游戲等等。
二����、需求分析
該網(wǎng)絡(luò)解決方案主要解決上面應(yīng)用背景中提到的幾個問題。
需求如下:
1.解決網(wǎng)絡(luò)安全問題�����,防御黑客的入侵和攻擊行為�����,保證內(nèi)網(wǎng)網(wǎng)絡(luò)和數(shù)據(jù)的安全����。
2.解決內(nèi)網(wǎng)客戶機中毒和ARP攻擊問題。
3.對局域網(wǎng)上網(wǎng)行為進行有效管理����。
三�����、解決方案
本方案在原有網(wǎng)絡(luò)結(jié)構(gòu)上,在CISCO 7200路由器和 CISCO 2950交換機之間加入天融信NGFW4000防火墻����,防火墻采用透明模式,保持原有網(wǎng)絡(luò)結(jié)構(gòu)不變�����。通過防火墻的安全功能和上網(wǎng)行為管理功能保證政府內(nèi)網(wǎng)的安全和對內(nèi)網(wǎng)用戶上網(wǎng)行為進行有效管理����。通過在CISCO 2950交換機上綁定客戶機MAC地址和在客戶端安裝ARP防火墻實現(xiàn)對內(nèi)外ARP攻擊的有效防護。OA服務(wù)器從原來的內(nèi)網(wǎng)移動到防火墻的DMZ區(qū)域�����。
拓撲圖
