學習項目

1.5 項目1：防火墻產品部署

1.5.1 任務1：需求分析

網絡安全需求分析的前提，是了解現狀，了解現狀存在的安全風險，了解風險發生時可能帶來的損失，了解規劃，分析、引導需求。

某房企隨著公司的發展與壯大，公司本部網絡規模與信息應用均逐年增多，早先單機的物業管理系統、財務系統及辦公系統，均已經被網絡化，員工可以通過網絡隨時接入系統完成相應的工作，企業的日常運作已經無法離開網絡。

根據上述情況，該企業對目前的應用情況進行調研，并分析如下：

（1）公司核心應用均已經接入企業局域網，部分應用通過局域網接入互聯網；

（2）公司的核心數據均采用網絡方式傳輸，并存儲于主機硬盤上；

（3）公司對計算機、網絡的依賴性極大，一旦網絡或計算機發生故障，可能會嚴重影響公司的業務乃至今后的發展。該企業的基本網絡結構如圖1-9所示。

針對上述應用及網絡情況，特別是核心應用目前的安全使用情況分析如下：

（1）目前的核心服務器直接和局域網連接，并且所有計算機均在一個C類網段內，可能遭受局域網內部計算機或員工計算機間接攻擊和破壞；

（2）局域網接入互聯網邊界目前使用的路由器，不具備防火墻功能，無法抵御來自互聯網對局域網的攻擊；

（3）無法控制局域網用戶對互聯網及對服務器的訪問，網絡訪問均不在受控范圍內。

根據上述情況，該企業的網絡管理員找到了一家專業的網絡安全公司尋求幫助，并提出以下要求：

（1）設計一個針對本企業目前網絡及應用適用的網絡安全方案；

（2）方案可以實現對互聯網邊界的訪問控制與保護，可以抵御來自互聯網的攻擊；

（3）方案可以對內部服務器進行獨立的保護；

（4）根據需要應該可以進一步實現對內網用戶訪問互聯網的控制；

（5）配備的產品應具備高擴展能力，可以在適當時候增加其他需要的功能模塊，如VPN等；

（6）配備的產品應采用最新技術，產品應具有延續性，至少保證5年的產品升級延續。

根據上述情況，該專業公司（為方便說明問題，以下以第一人稱角度進行描述）計劃為此客戶設計一個切實可行并具備一定擴展能力的網絡安全方案。

1.5.2 任務2：方案設計

我們在接到客戶的需求并進行分析后，首先發現客戶網絡的安全區域（SSN）劃分不夠明確，為此，在方案中首先對客戶的網絡安全區域進行了設計。區域劃分是網絡安全規劃的首要任務，安全區域劃分除了可以實現對重點區域的重點保護外，還可以進一步對網絡及應用的安全邊界進行明確。

根據對網絡及應用的了解，我們在方案中將這個客戶的網絡劃分為3個邏輯區域，區域情況分別如下：

服務器區域：該規劃區域部署的是該單位重要的ERP、數據庫、OA等業務系統，對中心的日常辦公有著極其重要的意義，為此作為一個獨立的安全區域進行獨立的安全保護。

內網辦公區域：該區域為日常辦公計算機的一個區域，該區域下大約有100臺計算機，其中30臺計算機可以訪問互聯網，其他計算機不運行訪問互聯網，但可以訪問服務器區域的部分應用。該區域計算機均為接入終端，安全性要求較低，但該區域計算機因為數量大，分布不如服務器區域那么集中，維護和管理相對煩瑣，故該區域計算機出現故障、中病毒的概率較大，為避免影響到其他區域，所以也作為一個獨立的安全區域進行接入控制。

互聯網區域：該區域是公眾區域，基本上大部分的安全威脅均是來自這個區域。同時，以后可能涉及的移動辦公及可能需要的和集團的互連，均需要通過互聯網區域。

在進行上述區域劃分后，我們為客戶提供了進一步的網絡規劃建議如下：

雖然目前客戶內部計算機數量只有百臺左右，但若網絡規劃不合理，即使內部網絡采用千兆網絡，也可能出現網速慢，以及病毒極易傳播的問題，為此我們建議如下：

（1）在核心交換機上進行VLAN劃分，將服務器單獨作為一個VLAN；

（2）將接入計算機按照重要性或部門分為多個VLAN；

（3）各個VLAN間的路由及基本的ACL由核心交換機完成，如果核心交換機功能有限，可以使用部署在邊界的防火墻實現VLAN間的路由和訪問控制，但這樣需要選擇性能相對較高的防火墻設備。

網絡IP地址規劃，不建議使用公網地址，建議根據今后一段時間的擴展需要，最好將VLAN內地址分在一個C類私有網段，并且建議均使用固定IP，對于網絡維護及故障查找較DHCP方式方便。

結合區域劃分與網絡規劃，在目前的客戶投入及需求的情況下，采用防火墻設計，是一個不錯的也是性價比最好的方案，防火墻部署拓撲如圖1-10所示。

如圖1-10所示，在服務器區域、內網區域、互聯網區域邊界部署1臺防火墻設備。

（1）該設備具備4個以上的網絡接口，將其中3個網絡接口分別劃分為3個獨立的安全區域，分別連接服務器區域、內部辦公區域和互聯網區域，首先實現各區域間的邏輯隔離；

（2）根據訪問需要，在防火墻上配置相應的地址轉換規則，除了內部訪問互聯網的NAT外，建議可以考慮從內部辦公網到服務器的訪問也進行NAT轉換，這樣即使今后涉及各種地址變化，都不會影響到服務器的地址；

（3）配置防火墻的訪問控制規則，建議對于服務器的訪問，僅對內網或互聯網開放需要使用的端口，關閉其他所有的不需要的端口，并且對服務器打開獨立的入侵檢測功能；

（4）對于內部辦公網計算機訪問互聯網的控制，天融信防火墻同時支持IP、MAC、IP/MAC及用戶認證等多種控制方式，具體使用的控制方式在中心網絡建設好后根據實際情況選擇即可。

（5）建議為所部署的防火墻配備防病毒模塊，這樣在內部用戶訪問互聯網時，可以最大限度地降低被帶病毒的網頁及郵件病毒感染的概率。

上述規劃，已經將防火墻的功能、擴展等方面均考慮進入了，根據這個方案設計，我們同時為客戶分析了如果完全依照上述方案來完成客戶的網絡改造，可以實現的基本效果如下：

① 網絡速度方面：合理的VLAN及IP地址規劃，可以極大地提升網絡尋址速度，從而為公司應用高效和穩定提供了條件；

② 網絡安全方案：邊界防火墻的部署及合理安全區域的劃分，對中心應用系統的網絡安全保護提供了條件，同時該設備具備的網絡訪問控制功能，可以對內部辦公網訪問互聯網及服務器的訪問行為提供控制能力，同時支持對BT下載等應用控制，為應用系統的網絡帶寬占用提供了可控手段。

③ 可維護性方面：網絡及網絡安全的合理規劃，對今后的網絡穩定運行及維護的便利性提供了良好基礎，同時所部署的網絡防火墻，采用了全中文配置界面，提供了友好的配置界面，等等。上述內容均為今后的中心業務系統在網絡上穩定、可靠、安全運行提供了條件。

④ 擴展性方面：本次網絡部署的某品牌防火墻，在網絡接口上支持最少4個接口，最多到26個網絡接口的擴展能力；標配具有防火墻功能，可擴展增加VPN、IPS、防病毒等功能模塊，為今后應用的擴展及安全性的提升提供全面支持和保障。

說明

方案設計完成后，一般會附有推薦使用的產品及產品功能介紹。事實上很少有單獨的防火墻產品設計，一般為解決整體網絡安全問題，會部署多款網絡安全產品。