安全網(wǎng)關(guān)部署方案

隨著企業(yè)網(wǎng)絡(luò)的普及和網(wǎng)絡(luò)開放性，共享性，互連程度的擴大，網(wǎng)絡(luò)的信息安全問題也越來越引起人們的重視。一個安全的計算機局域網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機局域網(wǎng)絡(luò)不僅要保護計算機網(wǎng)絡(luò)設(shè)備安全和計算機網(wǎng)絡(luò)系統(tǒng)安全，還要保護數(shù)據(jù)安全。這樣，局域網(wǎng)絡(luò)信息安全問題就成為危害網(wǎng)絡(luò)發(fā)展的核心問題，與外界的因特網(wǎng)連接使信息受侵害的問題尤其嚴重。目前局域網(wǎng)信息的不安全因素來自病毒、黑客、木馬、垃圾郵件等幾個方面。另外域網(wǎng)內(nèi)部的信息安全更是不容忽視的。網(wǎng)絡(luò)內(nèi)部各節(jié)點之間通過網(wǎng)絡(luò)共享網(wǎng)絡(luò)資源，就可能因無意中把重要的涉密信息或個人隱私信息存放在共享目錄下，因此造成信息泄漏；甚至存在內(nèi)部人員編寫程序通過網(wǎng)絡(luò)進行傳播，或者利用黑客程序入侵他人主機的現(xiàn)象。因此，網(wǎng)絡(luò)安全不僅要防范外部網(wǎng)，同時更防范內(nèi)部網(wǎng)安全。因此，企業(yè)采取統(tǒng)一的安全網(wǎng)關(guān)策略來保證網(wǎng)絡(luò)的安全是十分需要的。一個完整的安全技術(shù)和產(chǎn)品包括：身份認證、訪問控制、流量監(jiān)測、網(wǎng)絡(luò)加密技術(shù)、防火墻、入侵檢測、防病毒、漏洞掃描等；而造成安全事件的原因則包括技術(shù)因素、管理因素以及安全架構(gòu)設(shè)計上的疏漏等問題。安全網(wǎng)關(guān)是各種技術(shù)有機融合，具有重要且獨特的保護作用，其范圍從協(xié)議級過濾到十分復(fù)雜的應(yīng)用級過濾，對保護計算機局域網(wǎng)起著關(guān)鍵性的作用。安全網(wǎng)關(guān)部署拓撲圖:安全網(wǎng)關(guān)部署拓撲圖:安全網(wǎng)關(guān)部署方案-適合大部分中小企業(yè)服務(wù)器PC用戶（圖1）上圖為安全網(wǎng)關(guān)部署示意圖，包含了組建局域網(wǎng)網(wǎng)的基本要素。下面對其各個部分進行講解。一、安全網(wǎng)關(guān)接入網(wǎng)絡(luò)。安全網(wǎng)關(guān)一般具有2個WAN口以及4個LAN口。如上圖所示，外網(wǎng)IP為221.2.197.149,連接網(wǎng)線到WAN口上。LAN的口IP地址是可以自由設(shè)置的，圖中設(shè)定的2個LAN口的IP為192.168.0.1（局域網(wǎng)用戶）以及10.0.0.1（服務(wù)器用網(wǎng)段）。另外安全網(wǎng)關(guān)具有了無線網(wǎng)絡(luò)功能，分配IP地址為192.168.10.1。下面對上述接入方式進行詳細說明。.路由NET部署圖一所示接入方式即為路由NET部署拓撲圖。安全網(wǎng)關(guān)設(shè)備部署在網(wǎng)絡(luò)的出口位置，實現(xiàn)路由、NAT轉(zhuǎn)發(fā)功能。同時可以開啟Qos（流量）控制、URL過濾、IM限制等功能，這種部署模式是最為常見的部署模式，應(yīng)用客戶最多。.透明模式部署拓撲圖

安全網(wǎng)關(guān)部署方案--—透明模式部署192.168.1.1安全網(wǎng)關(guān)服務(wù)器PC用戶PC用戶192.168.1.2192.168.1.3192.168.1.4透明方式的部署模式應(yīng)用場景也比較廣泛，特別是在客戶有Qos（流量控制）URL過濾、IM控制等需求，而且用戶的網(wǎng)絡(luò)環(huán)境已經(jīng)比較完善（已有網(wǎng)絡(luò)出口設(shè)備）。此時，可以用安全網(wǎng)關(guān)代替路由器（路由NAT部署）或者直接將安全網(wǎng)關(guān)透明部署到路由器之后。

透明部署的最大優(yōu)點是不需要改變用戶現(xiàn)有的網(wǎng)絡(luò)環(huán)境的同時，仍然能實現(xiàn)相應(yīng)的所需功能。3、雙鏈路部署拓撲圖安全網(wǎng)關(guān)部署方案——雙能路部署環(huán)境如上圖所示，雙出口網(wǎng)絡(luò)環(huán)境，2個WAN口分別連接外網(wǎng)221.2.197.149以及ADSL接入方式的網(wǎng)線。如果客戶要求通過不同的鏈路接入internet。則可以在安全網(wǎng)關(guān)上通過源路由來實現(xiàn)。4、無線網(wǎng)絡(luò)功能。如用戶具有無線上網(wǎng)條件，則可開啟無線上網(wǎng)功能。無線上網(wǎng)最大的特點就是方便。只要用戶設(shè)備上裝有無線網(wǎng)卡，在安全網(wǎng)關(guān)無線網(wǎng)絡(luò)覆蓋的范圍內(nèi)，即可無線上網(wǎng)。例如企業(yè)領(lǐng)導(dǎo)有無線上網(wǎng)筆記本的話，則可隨時隨地進行移動辦公。二、安全高效的VPN功能。交換機VPN接入方式有兩種，一種為遠程接入，代表為SSLVPN另一種為點對點接入，代表為IpSecVPN,具體接入方式如下圖所示：VPN的兩種接入方式遠程?上機分3公司1.點對點接入（代表為IpSecVPN隧道）上圖中藍線為點對點接入VPN模式，下面介紹下這個模式下最常見的IPSecVPN隧道。IPSec基于端對端的安全模式，在源IP和目標IP地址之間建立信任和安全性。通常，兩端都需要IPSec配置（稱為IPSec策略）來設(shè)置選項與安全設(shè)置，以允許兩個系統(tǒng)對如何保護它們之間的通訊達成協(xié)議。適用場景：公司有分支機構(gòu)，總部和分支機構(gòu)之間需要共享公司內(nèi)部資源，比如服務(wù)器在總部，分支需要跟總部服務(wù)器同步、存取數(shù)據(jù)。對于不經(jīng)常更改網(wǎng)絡(luò)結(jié)構(gòu)的用戶來說是非常好的選擇。特點：IpSecVPN引進了完整的安全機制，包括加密、認證和數(shù)據(jù)防篡改功能,比DNAT（發(fā)布服務(wù)器到公網(wǎng)）更安全、跟高效。比租用專線更便宜。2、遠程接入（代表為SSLVPN隧道）上圖綠線為遠程接入模式，下面介紹下這個模式下最常見的SLVPN隧道。SSLVPN即指采用SSL（SecuritySocketLayer）協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術(shù)。適用場景：由于SSLVPN不會受到安裝在客戶端與服務(wù)器之間的防火墻等NAT設(shè)備的影響，穿透能力強。因此對網(wǎng)絡(luò)復(fù)雜的環(huán)境或經(jīng)常變動網(wǎng)絡(luò)結(jié)構(gòu)的用戶或企業(yè)是一個很好的選擇。特點：與復(fù)雜的IPSecVPN相比，SSLVPN通過簡單易用的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSLVPN，這是因為SSL內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng)IPSecVPN一樣必須為每一臺客戶機安裝客戶端軟件。安全網(wǎng)管中心，為網(wǎng)絡(luò)提供全天候的監(jiān)控管理。卻由于SSL協(xié)議本身的局限性，使得性能低于使用IPSec協(xié)議的設(shè)備。三．局域網(wǎng)的保護傘，安全網(wǎng)關(guān)防火墻及應(yīng)用控制。安全網(wǎng)關(guān)的防護功能主要體現(xiàn)的2個功能模塊：安全網(wǎng)關(guān)防火墻模塊，以及應(yīng)用控制模塊。通過調(diào)節(jié)設(shè)置這2個功能模塊，可以對局域網(wǎng)安全進行防護。防火墻包含基本的安全防護、訪問控制、服務(wù)設(shè)置、時間段、虛擬IP、網(wǎng)站過濾。完成對用戶的訪問控制、對外服務(wù)提供、網(wǎng)頁內(nèi)容控制、等功能。一般安全網(wǎng)關(guān)防火墻會集成某一知名品牌的殺毒軟件作為防火墻，如卡巴斯基，金山等。并提供定時的殺毒軟件升級。應(yīng)用控制則是對一些應(yīng)用軟件進行控制。如msn、qq、pplive、迅雷等。通過對其設(shè)置，增加局域網(wǎng)的安全性，限制一些P2P等浪費寬帶資源的軟件四、安全網(wǎng)管中心，為網(wǎng)絡(luò)提供即時監(jiān)護與維修。安全網(wǎng)管中心作為一個遠程維護中心，主要作用