某企业网络规划设计方案v

某企业网络规划设计方案v内容摘要：

访问，防止非法使用数据和策略执行等功能。 这样在外部网络接入时，全部通信都受到防火墙的监控，通过防护墙的策略可 以设置成相应的保护级别，以保证系统的安全。  过滤网络中不必要传输的垃圾数据。 防火墙是一种网关型的设备，各个区域之间的通信，可以通过防火墙的添加，保障如果在其上添加一些策略，就可以过滤掉部分无用的信息，只要网络中传输必要的应用数据。 如：在网络中，拒绝对 的 FTP 访问，可以在防火墙中直接加载限制策略，使对 的 FTP 访问数据无法通过防火墙，达到过滤网络中不必要传输垃圾数据的目的。  通过防火墙的流量控制，调整链路的带宽利用。 同样由于防火墙是一种网关型的设备，而且防火墙具有流量控制的特性， 可以依据应用来限制流量，来调整链路的带宽利用如：在网络中，有 FTP 的访问、 Web 访问等等，可以在防火墙中直接加载控制策略，使 FTP 访问、 Web 访问按照预定的带宽进行数据交换。 实现流量控制，调整链路带宽利用的功能。  通过防火墙的保护，提高系统的安全性。 使得各个服务器区不受到黑客的攻击，黑客无法通过防火墙进行扫描、攻击等非法动作。 防火墙可防止黑客通过外部网对重要服务器的 TCP/UDP 的端口非法扫描，消除系统安全的隐患。 可防止黑客通过外部网对重要服务器的源路由攻击、 IP 碎片包攻击、DNS / RIP / ICMP 攻击、 SYN 攻击、拒绝服务攻击等多种攻击。 天融信防火墙提供入侵检测的功能，当发现重要服务器被攻击时，防火墙将自动报警并根据策略进行响应。  如果加装日志、审计服务器，可以进一步加强网络的可控性。 对于防火墙自身来说，日志的导出、计费服务器的安装，可以使得每台防火墙来往的数据访问的目的加以统计，为优化网络提供必要的数据，计费服务器可以完成，每个不同的源访问的流量的统计，可以了解到每个源的流量是否在正常范围内，等等。 这样的数据对于网络安全是十分重要的。 10  提供病毒防火的网络安全基础设施。 防火墙既然可以通过联动实现攻击 的阻断，同样可以通过联动实现病毒传输的阻断，而且病毒联动已经成为现实。 在骨干网与下属单位连接连路上添加防火墙，等于在该链路上安装了一个病毒联动的控制机构（网关）。 所以，安装防火墙的同时，也提供病毒防火的网络安全基础设施。  高性能的应用层控制。 防火墙提供应用级透明代理，可以对高层应用（ HTTP、 FTP、 SMTP、 POP NNTP）做了更详细控制，如 HTTP 命令（ GET， POST， HEAD）及 URL， FTP 命令（ GEI， PUT）及文件控制。 防火墙功能  平台支持：采用专用硬件平台与专用的安全操作系 统  基于会话检测的防火墙实现机制：采用基于操作系统内核的会话检测技术  硬件上支持对接口的灵活扩展，可以通过灵活的扩展来适应业务发展的需要，从而保护投资。  应用代理：具有透明应用代理功能，支持 FTP、 HTTP、 TELNET、 PING、 SSH、 FTP— DATA、 SMTP、 WINS、TACACS、 DNS、 TFTP、 POP RTELNET、 SQLSERV、 NNTP、 IMAP、 SNMP、 NETBIOS、 DNS、 IPSEC— ISAKMP、RLOGIN、 DHCP、 RTSP、 MSSQL（ S、 M、 R）、 RADIUS164 PPTP、 SQLNET— 152 SQLNET— 152 MSN、 CVSSERVER、 MSTHEATER、 MYSQL、 、 SECURID（ TCP、 UDP） PCANYWHERE、 IGMP、 GRE、PPPOE、 IPV6 等协议命令级的控制，实现对文件级的过滤。  支持众多网络通信协议和应用协议：如 DHCP 、 VLAN 、 ADSL 、 ISL 、 、 Spanning tree 、NETBEUI 、 IPSEC 、 、 MMS 等，保证用户的网络应用，方便用户扩展 IP 宽带 接入及 IP 电话、视频会议、 VOD 点播等多媒体应用。  支持交换机主干链路：防火墙的物理接口实现了 D0t1q 封装格式，能够同交换机的 Trunk 接口对接，实现了 Vlan 间路由的功能，保证了防火墙对于各种网络环境的易接入性。  地址转换：采用双向网络地址转换（双向 NAT）技术，支持静态 NAT 及动态 NAT（ IP POOL），并能够实现一对一、一对多的地址映射； 11  支持多种身份认证：如 OTP 、 RADIUS 、 S/KEY 、 SECUREID 、 TACACS/TACACS+、口令方式、数字证书（ CA ），更好更广泛的实现了 用户鉴别和访问控制。  地址绑定：实现 IP 地址与 MAC 地址捆绑，防止 IP 地址非法盗用；  安全服务器（ SSN）保护：具有对公开服务器保护功能，一旦服务器内容被非法篡改，可以进行快速恢复  源、目地址路由功能：根据通讯的源地址和目标地址来做出路由选择，适应有多个网络出口的环境。  多层次分布式带宽管理（ QoS）：可以实现带宽分层、带宽分级、带宽分配、带宽优化等管理，优化网络资源的应用，提高网络资源应用效率。  防御功能：可防 TCP、 UDP 等端口扫描；防源路由攻击、 IP 碎片包攻击、 DNS/RIP/ICMP 攻击、 SYN 攻击 ； 抗 DOS、 DDOS 攻击；可阻止 ActiveX、 Java、 Javascript 入侵。  防火墙支持 TopsecManager 与 SAS：支持 TopsecManager 综合管理系统，支持 TopSEC 安全审计系统；  实时监控：实时察看防火墙主机的当前负载情况，包括内存的使用情况和连接状况等。  防火墙支持多种工作模式：支持路由模式、透明（桥接）模式（防火墙可不配地址）、混合模式（路由与透明两种模式同时工作）  管理功能：面向基于对象的管理配置方式；支持 GUI 集中管理及命令行管理方式；支持本地管理、远程管理和集中管理；支持基于 SSH 的远程登陆管理和基于 SSL 的 GUI 方式管理；支持 SNMP 集中管理与监控，并与当前通用的网络管理平台兼容，如 HP Openview ，方便管理和维护。  深层日志及灵活、强大审计分析功能：审计日志包括如下几个部分：日志会话、日志命令。 日志会话也就是传统的防火墙日志，负责记录通讯时间、源地址、目的地址、源端口、目的端口、字节数、是否允许通过。 日志会话信息用来进行流量分析已经足够，但是用来进行安全性分析还远远不够；应用层日志命令在日 志会话的基础之上记录下各个应用层命令及其参数，比如 HTTP 请求及其要取的网页名；访问日志则是在应用层命令日志的基础之上记录下用户对网络资源的访问，它和应用层日 12 志命令的区别是：应用层日志命令可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。 例如针对 FTP 协议，日志会话只记录下读、写文件的动作；日志命令则是在访问日志的基础之上，记录如用户发送的邮件，用户取下的网页等。 支持日志的自动导出与自动分析。 支持防火墙配置文件的导入与导出（防火墙配置文件信息的备份与恢复）；  非协议支持：支持对非 IP 协议 IPX/NetBEUI 的传输与控制。 内网 VPN系统 VPN作用 虚拟专用网是企业网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接。 虚拟专用网通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的企业网连接起来，构成一个扩展的公司企业网。 在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个独立的专有网络之中。 公共网络仿佛是只由本网络在独占使用，而事实上并非如此，所以称之虚拟专用。 之所以采用虚拟专用网是因为 VPN有以下几方面 优点：  降低成本  容易扩展  完全控制主动权  全方位的安全保护  高的性价比  使用和管理方便  投资保护 虚拟专用网 VPN 采用了一种称之为隧道的技术。 隧道技术的基本过程是在源内部网与公用网。