• 公司主站
  • 关键字:
公司资讯
新闻中心
产品中心
解决方案
技术支持
渠道加盟
选购导航
 首页 >> 解决方案
行业解决方案
企业解决方案
应用解决方案
中小企业网络安全解决方案

1 、网络概况
某中小企业总部在北京,下属3-5个分支机构,各分支机构通过公网与总部连接,有些敏感数据需要传输,目前没有任何网络安全措施,网络示意图如下图所示:

2 、风险分析
对于这种中小企业来说,可能面临下列风险:
•  网络容易受到破坏攻击,导致网络局部或全部瘫痪,丧失业务支撑和服务能力;
• 网络信息传输过程中缺乏必要的安全措施,可能造成信息失真或信息内容遭到破坏;
•  不同安全域未能实现安全交换,可能造成未经授权的泄露,导致严重的经济后果;
•  权限管理和信任体系存在漏洞,假冒合法用户可能获取不正当利益;
•  其它同类机构可能从网络系统上的相关资源获取竞争对手、用户等的商业机密信息;
3 、解决方案
从风险分析我们可以看出,中小企业主要存在严重的外部风险和传输风险,如边界风险、敏感数据传输风险,为了减少这种风险攻击,解决中小企业的网络安全问题,我们提出了以防火墙和VPN系统为主的安全解决方案,下面将分别设计这两个系统的建设。
3.1 防火墙系统建设
防火墙系统的建设主要是建立网络边界防护系统,确保所有网络边界流入、流出数据进行有效的控制和监督。在中小企业总部和各分支机构网络边界处分别部署一台硬件防火墙,对安全业务服务区进行高强度的访问控制和安全接入。
我们建议采用同时支持正反向代理技术的中华卫士防火墙作为内网与互联网实现逻辑隔离的技术手段,防火墙可以实现以下基本功能:
 网络层访问控制:从互联网进入的访问请求只能访问防火墙开放的端口和服务。防火墙做为内部对外访问的代理,可以保护内部网络的IP地址不暴露在互联网上;
 应用层访问控制:通过对应用层协议的分析,实现应用层的访问控制;
 防止IP地址欺骗:通过对防火墙的端口进行限制,可以有效防止黑客利用IP地址欺骗的方法访问中小企业网络;
 日志安全审计:防火墙能对进出网络的访问行为做记录,为网络行为分析和事故审查提供依据;
防火墙系统的部署如下图所示:

建议防火墙采用如下安全配置策略:
 • 默认关闭所有服务端口,根据需要开放有限的服务端口;
 • 确认防火墙默认规则为阻断所有网络访问;
 • 阻塞主流网络蠕虫病毒传播使用的端口
 • 严格界定可通过防火墙的IP用户和用户组,非授权用户采用阻断方式进行隔绝,对源地址和目的地址、源端口和目的端口 均进行严格控制;
 • 禁止通过互联网远程登录防火墙系统,所有对防火墙规则的修改都在本地完成;
 • 采用路由模式,确保防火墙系统所保护的信任域在网络中的隐蔽性;
 • 对流入/流出防火墙的用户IP地址,目的地址,时间等关键信息记入日志,以备今后查询;
 • 如果不需要使用ICMP来检测网络连通性,关闭ICMP服务;
 • 开启中华卫士防火墙自带的网络层入侵检测功能,可以在很大程度上防御蠕虫病毒传播和发作。
3.2 VPN系统建设
为了解决中小企业总部和分支机构之间敏感数据传输的安全问题,我们使用VPN技术进行解决,VPN技术可以与防火墙一起,构建一个安全的保障体系,能够使保障业务网络传输线路的安全。实现VPN目前主要有两种方式,一种是IPSEC VPN,一种是SSL VPN,因为对于中小企业来说主要解决端到端的安全传输,因此选用IPSEC VPN技术解决。中华卫士防火墙自带IPSEC VPN功能,因此我们可以直接使用中华卫士防火墙的VPN功能实现中小企业总部和分支机构之间数据传输的安全。
开启中华卫士防火墙中的VPN功能,实现分支机构与中心的VPN连接。如下图所示:


部署之后每个分支机构的所有内网用户都可以通过VPN与中心实现加密连接,而且分支与分支之间也可以进行安全的数据传输。远程移动用户可以通过PPTP协议与中心防火墙进行VPN连接,通过身份认证后根据指定的安全策略对中心服务器的指定资源进行访问。远程用户不需要安装任何软硬件产品,只需要客户端为Win2000以上的操作系统即可。这种模式在很大程度上节约了中小企业的投资,快速实现了中小企业网络安全的需求。
4、 本方案达到的效果
本方案中使用了防火墙加软VPN的方式解决网络安全的问题。防火墙主要的作用是实现严格的访问控制,VPN主要的作用是在无法保证电路安全、信道安全、网络安全、应用安全的情况下,或者也不相信其他安全措施的情况下,对传输的数据进行加密和认证。因此VPN的重点在于建立安全的数据通道,构造这条安全通道之后可以达到以下效果:
• 保证数据的真实性,通信主机保证是经过授权的,具有抵抗地址冒认(IP Spoofing)的能力。
• 保证数据的完整性,接收到的数据保证与发送时的一致,具有抵抗不法分子篡改数据的能力。
• 保证通道的机密性,提供强有力的加密手段,使偷听者不能破解拦截到的通道数据。
• 提供动态密钥交换功能,提供密钥中心管理服务器,具备防止数据重播(Replay)的功能,保证通道不能被重演。
• 提供安全防护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。

 ·产品信息
·中华卫士SSL VP..
·中华卫士防火墙D20..
·中华卫士防火墙N21..
·中华卫士防火墙 A2..
 ·解决方案
·酒店网络安全解决方案..
·政府行业解决方案(政..
·银行网络安全解决方案..
·证券行业网络安全解决..
 ·资料下载
·IPSEC VPN_..
·中华卫士SSL VP..
·中华卫士防火墙宣传彩..
·内容安全与网络安全的..
  版权隐私 | 网站地图 | 联系我们      Copyright © 2008 成都卫士通信息产业股份有限公司 All Rights Reserved 版权所有