一��、應用背景
北京XX鎮(zhèn)人民政府網(wǎng)絡目前用戶數(shù)為xxx��,接入路由器為CISCO 7200,下面的兩臺CISCO 2950和H3C S5100以串聯(lián)方式連接CISCO 7200路由器��。HC3 S5100交換機上劃分了40個VLAN�����。IBM X3650服務器為OA服務器,OA服務器直接接在CISCO 2950下面����。
目前網(wǎng)絡存在的問題:
1.政府內(nèi)網(wǎng)安全問題。目前該網(wǎng)絡中沒有安全保護設備��,容易遭到黑客的入侵和攻擊�,造成機密文件和重要數(shù)據(jù)的丟失,還可能導致網(wǎng)絡癱瘓��。
2.內(nèi)網(wǎng)經(jīng)常遭受病毒和ARP攻擊��,導致內(nèi)網(wǎng)客戶機經(jīng)常無法正常辦公��、重要數(shù)據(jù)和文件丟失或被黑客竊取�。
3.內(nèi)網(wǎng)用戶上網(wǎng)行為無法有效管理。目前網(wǎng)絡中時常存在大量占用帶寬的行為�,如通過下載工具下載文件、觀看網(wǎng)絡電視或視頻�����,網(wǎng)絡帶寬不能合理的管理和分配��。其他網(wǎng)絡行為也無法有效管理控制�����,如上班時間登陸SNS網(wǎng)站游戲等等。
二����、需求分析
該網(wǎng)絡解決方案主要解決上面應用背景中提到的幾個問題����。
需求如下:
1.解決網(wǎng)絡安全問題,防御黑客的入侵和攻擊行為��,保證內(nèi)網(wǎng)網(wǎng)絡和數(shù)據(jù)的安全��。
2.解決內(nèi)網(wǎng)客戶機中毒和ARP攻擊問題�。
3.對局域網(wǎng)上網(wǎng)行為進行有效管理。
三����、解決方案
本方案在原有網(wǎng)絡結(jié)構(gòu)上,在CISCO 7200路由器和 CISCO 2950交換機之間加入天融信NGFW4000防火墻���,防火墻采用透明模式����,保持原有網(wǎng)絡結(jié)構(gòu)不變。通過防火墻的安全功能和上網(wǎng)行為管理功能保證政府內(nèi)網(wǎng)的安全和對內(nèi)網(wǎng)用戶上網(wǎng)行為進行有效管理�。通過在CISCO 2950交換機上綁定客戶機MAC地址和在客戶端安裝ARP防火墻實現(xiàn)對內(nèi)外ARP攻擊的有效防護。OA服務器從原來的內(nèi)網(wǎng)移動到防火墻的DMZ區(qū)域���。
拓撲圖
