安全網(wǎng)關(guān)部署方案_第1頁(yè)
安全網(wǎng)關(guān)部署方案_第2頁(yè)
安全網(wǎng)關(guān)部署方案_第3頁(yè)
安全網(wǎng)關(guān)部署方案_第4頁(yè)
安全網(wǎng)關(guān)部署方案_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

隨著企業(yè)網(wǎng)絡(luò)的普及和網(wǎng)絡(luò)開(kāi)放性,共享性,互連程度的擴(kuò)大,網(wǎng)絡(luò)的信息安全問(wèn)題也越來(lái)越引起人們的重視。一個(gè)安全的計(jì)算機(jī)局域網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完整性、保密性和真實(shí)性等特點(diǎn)。計(jì)算機(jī)局域網(wǎng)絡(luò)不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全,還要保護(hù)數(shù)據(jù)安全。這樣,局域網(wǎng)絡(luò)信息安全問(wèn)題就成為危害網(wǎng)絡(luò)發(fā)展的核心問(wèn)題,與外界的因特網(wǎng)連接使信息受侵害的問(wèn)題尤其嚴(yán)重。目前局域網(wǎng)信息的不安全因素來(lái)自病毒、黑客、木馬、垃圾郵件等幾個(gè)方面。另外域網(wǎng)內(nèi)部的信息安全更是不容忽視的。網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間通過(guò)網(wǎng)絡(luò)共享網(wǎng)絡(luò)資源,就可能因無(wú)意中把重要的涉密信息或個(gè)人隱私信息存放在共享目錄下,因此造成信息泄漏;甚至存在內(nèi)部人員編寫(xiě)程序通過(guò)網(wǎng)絡(luò)進(jìn)行傳播,或者利用黑客程序入侵他人主機(jī)的現(xiàn)象。因此,網(wǎng)絡(luò)安全不僅要防范外部網(wǎng),同時(shí)更防范內(nèi)部網(wǎng)安全。因此,企業(yè)采取統(tǒng)一的安全網(wǎng)關(guān)策略來(lái)保證網(wǎng)絡(luò)的安全是十分需要的。一個(gè)完整的安全技術(shù)和產(chǎn)品包括:身份認(rèn)證、訪問(wèn)控制、流量監(jiān)測(cè)、網(wǎng)絡(luò)加密技術(shù)、防火墻、入侵檢測(cè)、防病毒、漏洞掃描等;而造成安全事件的原因則包括技術(shù)因素、管理因素以及安全架構(gòu)設(shè)計(jì)上的疏漏等問(wèn)題。安全網(wǎng)關(guān)是各種技術(shù)有機(jī)融合,具有重要且獨(dú)特的保護(hù)作用,其范圍從協(xié)議級(jí)過(guò)濾到十分復(fù)雜的應(yīng)用級(jí)過(guò)濾,對(duì)保護(hù)計(jì)算機(jī)局域網(wǎng)起著關(guān)鍵性的作用。安全網(wǎng)關(guān)部署拓?fù)鋱D:安全網(wǎng)關(guān)部署拓?fù)鋱D:安全網(wǎng)關(guān)部署方案-適合大部分中小企業(yè)服務(wù)器PC用戶(圖1)上圖為安全網(wǎng)關(guān)部署示意圖,包含了組建局域網(wǎng)網(wǎng)的基本要素。下面對(duì)其各個(gè)部分進(jìn)行講解。一、安全網(wǎng)關(guān)接入網(wǎng)絡(luò)。安全網(wǎng)關(guān)一般具有2個(gè)WAN口以及4個(gè)LAN口。如上圖所示,外網(wǎng)IP為221.2.197.149,連接網(wǎng)線到WAN口上。LAN的口IP地址是可以自由設(shè)置的,圖中設(shè)定的2個(gè)LAN口的IP為192.168.0.1(局域網(wǎng)用戶)以及10.0.0.1(服務(wù)器用網(wǎng)段)。另外安全網(wǎng)關(guān)具有了無(wú)線網(wǎng)絡(luò)功能,分配IP地址為192.168.10.1。下面對(duì)上述接入方式進(jìn)行詳細(xì)說(shuō)明。.路由NET部署圖一所示接入方式即為路由NET部署拓?fù)鋱D。安全網(wǎng)關(guān)設(shè)備部署在網(wǎng)絡(luò)的出口位置,實(shí)現(xiàn)路由、NAT轉(zhuǎn)發(fā)功能。同時(shí)可以開(kāi)啟Qos(流量)控制、URL過(guò)濾、IM限制等功能,這種部署模式是最為常見(jiàn)的部署模式,應(yīng)用客戶最多。.透明模式部署拓?fù)鋱D

安全網(wǎng)關(guān)部署方案--—透明模式部署192.168.1.1安全網(wǎng)關(guān)服務(wù)器PC用戶PC用戶192.168.1.2192.168.1.3192.168.1.4透明方式的部署模式應(yīng)用場(chǎng)景也比較廣泛,特別是在客戶有Qos(流量控制)URL過(guò)濾、IM控制等需求,而且用戶的網(wǎng)絡(luò)環(huán)境已經(jīng)比較完善(已有網(wǎng)絡(luò)出口設(shè)備)。此時(shí),可以用安全網(wǎng)關(guān)代替路由器(路由NAT部署)或者直接將安全網(wǎng)關(guān)透明部署到路由器之后。

透明部署的最大優(yōu)點(diǎn)是不需要改變用戶現(xiàn)有的網(wǎng)絡(luò)環(huán)境的同時(shí),仍然能實(shí)現(xiàn)相應(yīng)的所需功能。3、雙鏈路部署拓?fù)鋱D安全網(wǎng)關(guān)部署方案——雙能路部署環(huán)境如上圖所示,雙出口網(wǎng)絡(luò)環(huán)境,2個(gè)WAN口分別連接外網(wǎng)221.2.197.149以及ADSL接入方式的網(wǎng)線。如果客戶要求通過(guò)不同的鏈路接入internet。則可以在安全網(wǎng)關(guān)上通過(guò)源路由來(lái)實(shí)現(xiàn)。4、無(wú)線網(wǎng)絡(luò)功能。如用戶具有無(wú)線上網(wǎng)條件,則可開(kāi)啟無(wú)線上網(wǎng)功能。無(wú)線上網(wǎng)最大的特點(diǎn)就是方便。只要用戶設(shè)備上裝有無(wú)線網(wǎng)卡,在安全網(wǎng)關(guān)無(wú)線網(wǎng)絡(luò)覆蓋的范圍內(nèi),即可無(wú)線上網(wǎng)。例如企業(yè)領(lǐng)導(dǎo)有無(wú)線上網(wǎng)筆記本的話,則可隨時(shí)隨地進(jìn)行移動(dòng)辦公。二、安全高效的VPN功能。交換機(jī)VPN接入方式有兩種,一種為遠(yuǎn)程接入,代表為SSLVPN另一種為點(diǎn)對(duì)點(diǎn)接入,代表為IpSecVPN,具體接入方式如下圖所示:VPN的兩種接入方式遠(yuǎn)程?上機(jī)分3公司1.點(diǎn)對(duì)點(diǎn)接入(代表為IpSecVPN隧道)上圖中藍(lán)線為點(diǎn)對(duì)點(diǎn)接入VPN模式,下面介紹下這個(gè)模式下最常見(jiàn)的IPSecVPN隧道。IPSec基于端對(duì)端的安全模式,在源IP和目標(biāo)IP地址之間建立信任和安全性。通常,兩端都需要IPSec配置(稱(chēng)為IPSec策略)來(lái)設(shè)置選項(xiàng)與安全設(shè)置,以允許兩個(gè)系統(tǒng)對(duì)如何保護(hù)它們之間的通訊達(dá)成協(xié)議。適用場(chǎng)景:公司有分支機(jī)構(gòu),總部和分支機(jī)構(gòu)之間需要共享公司內(nèi)部資源,比如服務(wù)器在總部,分支需要跟總部服務(wù)器同步、存取數(shù)據(jù)。對(duì)于不經(jīng)常更改網(wǎng)絡(luò)結(jié)構(gòu)的用戶來(lái)說(shuō)是非常好的選擇。特點(diǎn):IpSecVPN引進(jìn)了完整的安全機(jī)制,包括加密、認(rèn)證和數(shù)據(jù)防篡改功能,比DNAT(發(fā)布服務(wù)器到公網(wǎng))更安全、跟高效。比租用專(zhuān)線更便宜。2、遠(yuǎn)程接入(代表為SSLVPN隧道)上圖綠線為遠(yuǎn)程接入模式,下面介紹下這個(gè)模式下最常見(jiàn)的SLVPN隧道。SSLVPN即指采用SSL(SecuritySocketLayer)協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。適用場(chǎng)景:由于SSLVPN不會(huì)受到安裝在客戶端與服務(wù)器之間的防火墻等NAT設(shè)備的影響,穿透能力強(qiáng)。因此對(duì)網(wǎng)絡(luò)復(fù)雜的環(huán)境或經(jīng)常變動(dòng)網(wǎng)絡(luò)結(jié)構(gòu)的用戶或企業(yè)是一個(gè)很好的選擇。特點(diǎn):與復(fù)雜的IPSecVPN相比,SSLVPN通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSLVPN,這是因?yàn)镾SL內(nèi)嵌在瀏覽器中,它不需要象傳統(tǒng)IPSecVPN一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件。安全網(wǎng)管中心,為網(wǎng)絡(luò)提供全天候的監(jiān)控管理。卻由于SSL協(xié)議本身的局限性,使得性能低于使用IPSec協(xié)議的設(shè)備。三.局域網(wǎng)的保護(hù)傘,安全網(wǎng)關(guān)防火墻及應(yīng)用控制。安全網(wǎng)關(guān)的防護(hù)功能主要體現(xiàn)的2個(gè)功能模塊:安全網(wǎng)關(guān)防火墻模塊,以及應(yīng)用控制模塊。通過(guò)調(diào)節(jié)設(shè)置這2個(gè)功能模塊,可以對(duì)局域網(wǎng)安全進(jìn)行防護(hù)。防火墻包含基本的安全防護(hù)、訪問(wèn)控制、服務(wù)設(shè)置、時(shí)間段、虛擬IP、網(wǎng)站過(guò)濾。完成對(duì)用戶的訪問(wèn)控制、對(duì)外服務(wù)提供、網(wǎng)頁(yè)內(nèi)容控制、等功能。一般安全網(wǎng)關(guān)防火墻會(huì)集成某一知名品牌的殺毒軟件作為防火墻,如卡巴斯基,金山等。并提供定時(shí)的殺毒軟件升級(jí)。應(yīng)用控制則是對(duì)一些應(yīng)用軟件進(jìn)行控制。如msn、qq、pplive、迅雷等。通過(guò)對(duì)其設(shè)置,增加局域網(wǎng)的安全性,限制一些P2P等浪費(fèi)寬帶資源的軟件四、安全網(wǎng)管中心,為網(wǎng)絡(luò)提供即時(shí)監(jiān)護(hù)與維修。安全網(wǎng)管中心作為一個(gè)遠(yuǎn)程維護(hù)中心,主要作用

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論