一、应用背景
北京XX镇人民政府网络目前用户数为xxx,接入路由器为CISCO 7200,下面的两台CISCO 2950和H3C S5100以串联方式连接CISCO 7200路由器。HC3 S5100交换机上划分了40个VLAN。IBM X3650服务器为OA服务器,OA服务器直接接在CISCO 2950下面。
目前网络存在的问题:
1.政府内网安全问题。目前该网络中没有安全保护设备,容易遭到黑客的入侵和攻击,造成机密文件和重要数据的丢失,还可能导致网络瘫痪。
2.内网经常遭受病毒和ARP攻击,导致内网客户机经常无法正常办公、重要数据和文件丢失或被黑客窃取。
3.内网用户上网行为无法有效管理。目前网络中时常存在大量占用带宽的行为,如通过下载工具下载文件、观看网络电视或视频,网络带宽不能合理的管理和分配。其他网络行为也无法有效管理控制,如上班时间登陆SNS网站游戏等等。
二、需求分析
该网络解决方案主要解决上面应用背景中提到的几个问题。
需求如下:
1.解决网络安全问题,防御黑客的入侵和攻击行为,保证内网网络和数据的安全。
2.解决内网客户机中毒和ARP攻击问题。
3.对局域网上网行为进行有效管理。
三、解决方案
本方案在原有网络结构上,在CISCO 7200路由器和 CISCO 2950交换机之间加入天融信NGFW4000防火墙,防火墙采用透明模式,保持原有网络结构不变。通过防火墙的安全功能和上网行为管理功能保证政府内网的安全和对内网用户上网行为进行有效管理。通过在CISCO 2950交换机上绑定客户机MAC地址和在客户端安装ARP防火墙实现对内外ARP攻击的有效防护。OA服务器从原来的内网移动到防火墙的DMZ区域。
拓扑图
