NetEye防火墙的企业应用

发布时间：2014-08-13 15:58:23作者：知识屋

客户简介

　　我们公司是中国工艺品进出口总公司的直属企业，已与世界40多个国家和地区的数百家客户建立了贸易关系与合作关系。为了适应时代发展的要求，公司建立自己的局域网，开发内部应用软件，发展到今天，我们已经购买了多台服务器，达到几乎每人一台计算机，公司大多数业务都是通过计算机来处理。公司的服务器及计算机上存储了大量的信息，对我们来说，计算机的安全至关重要。我们采取了多种手段来保证内部数据的安全，接入INTERNET后，在前期，我们主要是利用PROXY SERVER作为我们的防火墙。作用在于：隔离内部系统与外部的连接;通过禁止某些HTTP方法的使用，限制HTTP协议软件可能带来的危险;可以使客户机和服务器访问预先设定的机器，对数据保重的信息进行检查，滤掉危险的和可疑的数据。

　　关键挑战

　　在使用PROXY SERVER过程中有一个致命的缺陷，它不仅仅对内部的IP地址起代理作用，将内部的IP地址转换成外部的IP地址，很多外部的IP地址，可以利用一些程序，盗用该IP地址，而将自己的IP地址隐藏起来，这样，不仅大大增加了我们的数据流量，影响网络速度，而且某些人盗用该IP地址的活动带来了很坏的影响。为此，我们就想删除PROXY SERVER，但是，如果不加防火墙的话，我们的内部应用系统就完全暴露在INTERNET上，这可能会造成内部系统造成破坏。于是设想用硬件防火墙来代替PROXY SERVER，以保证公司网络的安全。在进行网络改造的时候，通过对多家网络防火墙产品进行调研与分析，最终选定东软的Neteye 4016做为公司的卫士，并按如下拓扑图进行了改造。

　　解决方案

　　我们首先在IP包过滤规则中，建立了如下几个规则：

　　所有的真实IP地址，从外到内，所有的端口，都可以访问我们的WEB SERVER及 MAIL SERVER，但只能访问几个特定的端口，如80/tcp(http)，25/tcp(smtp)，110/tcp(pop3)，53/tcp，53/udp等。

　　拒绝所有的外部IP地址，从外到内，所有的端口，可以访问我们的WEB SERVER及 MAIL SERVER以外的其他机器或其他Ip地址。允许内部的IP地址，不受限制的访问外部。这样，首先可以保证我们的对外业务可以不受影响的进行，同时可以保证我们的内部的安全。随后根据"基于所有IP地址的统计结果"，对网络的访问情况进行了汇总、分析，了解了公司内部人员的上网情况，并根据公司的有关规定，采取了一些措施，尽可能的减少内部人员在工作时间从事与工作无关的事情如炒股票、聊天等。对部分来访者的IP地址进行了跟踪，了解来访者的情况，发现了部分潜在的客户，对于与我们不可能发生业务的来访者，结合系统中的"查看事件"，进行了处理，如果这些IP地址对我们进行了攻击，我们就在"IP包过滤规则"中，拒绝其访问，否则，就暂时不对其采取任何行动。

　　实施效果

　　由于停止了PROXY SERVER的运行，使用东软的NetEye 防火墙后，网络速度有了很大改观。从安装此防火墙以后，还未发现通过INTERNET对我们内部网络的攻击，因此，它在很大程度上保证了我们内部系统的安全。

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）