学习项目

1.5 项目1：防火墙产品部署

1.5.1 任务1：需求分析

网络安全需求分析的前提，是了解现状，了解现状存在的安全风险，了解风险发生时可能带来的损失，了解规划，分析、引导需求。

某房企随着公司的发展与壮大，公司本部网络规模与信息应用均逐年增多，早先单机的物业管理系统、财务系统及办公系统，均已经被网络化，员工可以通过网络随时接入系统完成相应的工作，企业的日常运作已经无法离开网络。

根据上述情况，该企业对目前的应用情况进行调研，并分析如下：

（1）公司核心应用均已经接入企业局域网，部分应用通过局域网接入互联网；

（2）公司的核心数据均采用网络方式传输，并存储于主机硬盘上；

（3）公司对计算机、网络的依赖性极大，一旦网络或计算机发生故障，可能会严重影响公司的业务乃至今后的发展。该企业的基本网络结构如图1-9所示。

针对上述应用及网络情况，特别是核心应用目前的安全使用情况分析如下：

（1）目前的核心服务器直接和局域网连接，并且所有计算机均在一个C类网段内，可能遭受局域网内部计算机或员工计算机间接攻击和破坏；

（2）局域网接入互联网边界目前使用的路由器，不具备防火墙功能，无法抵御来自互联网对局域网的攻击；

（3）无法控制局域网用户对互联网及对服务器的访问，网络访问均不在受控范围内。

根据上述情况，该企业的网络管理员找到了一家专业的网络安全公司寻求帮助，并提出以下要求：

（1）设计一个针对本企业目前网络及应用适用的网络安全方案；

（2）方案可以实现对互联网边界的访问控制与保护，可以抵御来自互联网的攻击；

（3）方案可以对内部服务器进行独立的保护；

（4）根据需要应该可以进一步实现对内网用户访问互联网的控制；

（5）配备的产品应具备高扩展能力，可以在适当时候增加其他需要的功能模块，如VPN等；

（6）配备的产品应采用最新技术，产品应具有延续性，至少保证5年的产品升级延续。

根据上述情况，该专业公司（为方便说明问题，以下以第一人称角度进行描述）计划为此客户设计一个切实可行并具备一定扩展能力的网络安全方案。

1.5.2 任务2：方案设计

我们在接到客户的需求并进行分析后，首先发现客户网络的安全区域（SSN）划分不够明确，为此，在方案中首先对客户的网络安全区域进行了设计。区域划分是网络安全规划的首要任务，安全区域划分除了可以实现对重点区域的重点保护外，还可以进一步对网络及应用的安全边界进行明确。

根据对网络及应用的了解，我们在方案中将这个客户的网络划分为3个逻辑区域，区域情况分别如下：

服务器区域：该规划区域部署的是该单位重要的ERP、数据库、OA等业务系统，对中心的日常办公有着极其重要的意义，为此作为一个独立的安全区域进行独立的安全保护。

内网办公区域：该区域为日常办公计算机的一个区域，该区域下大约有100台计算机，其中30台计算机可以访问互联网，其他计算机不运行访问互联网，但可以访问服务器区域的部分应用。该区域计算机均为接入终端，安全性要求较低，但该区域计算机因为数量大，分布不如服务器区域那么集中，维护和管理相对烦琐，故该区域计算机出现故障、中病毒的概率较大，为避免影响到其他区域，所以也作为一个独立的安全区域进行接入控制。

互联网区域：该区域是公众区域，基本上大部分的安全威胁均是来自这个区域。同时，以后可能涉及的移动办公及可能需要的和集团的互连，均需要通过互联网区域。

在进行上述区域划分后，我们为客户提供了进一步的网络规划建议如下：

虽然目前客户内部计算机数量只有百台左右，但若网络规划不合理，即使内部网络采用千兆网络，也可能出现网速慢，以及病毒极易传播的问题，为此我们建议如下：

（1）在核心交换机上进行VLAN划分，将服务器单独作为一个VLAN；

（2）将接入计算机按照重要性或部门分为多个VLAN；

（3）各个VLAN间的路由及基本的ACL由核心交换机完成，如果核心交换机功能有限，可以使用部署在边界的防火墙实现VLAN间的路由和访问控制，但这样需要选择性能相对较高的防火墙设备。

网络IP地址规划，不建议使用公网地址，建议根据今后一段时间的扩展需要，最好将VLAN内地址分在一个C类私有网段，并且建议均使用固定IP，对于网络维护及故障查找较DHCP方式方便。

结合区域划分与网络规划，在目前的客户投入及需求的情况下，采用防火墙设计，是一个不错的也是性价比最好的方案，防火墙部署拓扑如图1-10所示。

如图1-10所示，在服务器区域、内网区域、互联网区域边界部署1台防火墙设备。

（1）该设备具备4个以上的网络接口，将其中3个网络接口分别划分为3个独立的安全区域，分别连接服务器区域、内部办公区域和互联网区域，首先实现各区域间的逻辑隔离；

（2）根据访问需要，在防火墙上配置相应的地址转换规则，除了内部访问互联网的NAT外，建议可以考虑从内部办公网到服务器的访问也进行NAT转换，这样即使今后涉及各种地址变化，都不会影响到服务器的地址；

（3）配置防火墙的访问控制规则，建议对于服务器的访问，仅对内网或互联网开放需要使用的端口，关闭其他所有的不需要的端口，并且对服务器打开独立的入侵检测功能；

（4）对于内部办公网计算机访问互联网的控制，天融信防火墙同时支持IP、MAC、IP/MAC及用户认证等多种控制方式，具体使用的控制方式在中心网络建设好后根据实际情况选择即可。

（5）建议为所部署的防火墙配备防病毒模块，这样在内部用户访问互联网时，可以最大限度地降低被带病毒的网页及邮件病毒感染的概率。

上述规划，已经将防火墙的功能、扩展等方面均考虑进入了，根据这个方案设计，我们同时为客户分析了如果完全依照上述方案来完成客户的网络改造，可以实现的基本效果如下：

① 网络速度方面：合理的VLAN及IP地址规划，可以极大地提升网络寻址速度，从而为公司应用高效和稳定提供了条件；

② 网络安全方案：边界防火墙的部署及合理安全区域的划分，对中心应用系统的网络安全保护提供了条件，同时该设备具备的网络访问控制功能，可以对内部办公网访问互联网及服务器的访问行为提供控制能力，同时支持对BT下载等应用控制，为应用系统的网络带宽占用提供了可控手段。

③ 可维护性方面：网络及网络安全的合理规划，对今后的网络稳定运行及维护的便利性提供了良好基础，同时所部署的网络防火墙，采用了全中文配置界面，提供了友好的配置界面，等等。上述内容均为今后的中心业务系统在网络上稳定、可靠、安全运行提供了条件。

④ 扩展性方面：本次网络部署的某品牌防火墙，在网络接口上支持最少4个接口，最多到26个网络接口的扩展能力；标配具有防火墙功能，可扩展增加VPN、IPS、防病毒等功能模块，为今后应用的扩展及安全性的提升提供全面支持和保障。

说明

方案设计完成后，一般会附有推荐使用的产品及产品功能介绍。事实上很少有单独的防火墙产品设计，一般为解决整体网络安全问题，会部署多款网络安全产品。