互联网改造完成后,RG防火墙与Juniper防火墙组成背对背防火墙部署模式。RG防火墙部署为透明模式,允许内网访问穿透防火墙,拒绝一切来自外网的访问,保护内部网络的安全。由于网络内部存着应用服务器,在部署时我们针对源地址进行过滤,允许DMZ(Demilitarized,隔离区)ISA代理服务器访问内部应用服务器。将地址分为ISA代理服务器地址、SER内网地址组和桌面PC机USER组,具体地址分配见表1。

表1 各组对应地址范围

在安全策略上对ISA访问内部应用服务器进行访问控制,分别定义了3条安全策略。

1.允许桌面USER(12.0.0.0/8)访问ISA服务器,进行DNS解析和代理上网。

2.允许ISA代理服务器访问SER(11.0.0.251~11.0.0.253/24)。

3.拒绝外网对桌面USER(12.0.0.0/8)的访问。

互联网改造

将公司Web、Mail、DNS服务器调整到DMZ区,并部署代理缓存服务器和邮件安全网关设备。分区域、分用户对上网行为和访问内容进行控制管理,对访问内容和传输信息进行审计,对访问流量进行合理限制,从而建立一个安全、高效、统一的互联网接入平台,为公司相关业务的开展和内部员工日常办公提供对外访问互联网的服务。

防病毒系统

在全公司部署统一的网络防病毒软件,与互联网入口部署的IPS和邮件安全网关相互补充。通过桌面管理系统的强制遵从策略和升级策略,对用户桌面计算机和Windows服务器实施客户端防病毒软件管理和统一的病毒库升级,建立全公司统一的防病毒系统,防范内网之间和外网对内网的病毒传播。

用户桌面计算机管理系统

对公司所有用户计算机部署桌面安全管理系统,对桌面用户强制执行企业安全策略。通过对用户计算机实施强制认证、应用软件安装控制、外接设备控制、非管理计算机接入控制和操作系统补丁升级管理等功能模块和安全策略,加强对桌面电脑的软件使用、安全策略的执行、安全软件的部署和系统漏洞的管理、监控和审计。加强对移动办公和移动存储设备的安全管理,采用技术手段对违反安全策略的电脑拒绝网络接入。及时分发操作系统补丁,提高Windows系统客户端的病毒防范和防攻击水平,提高对桌面计算机的安全管理能力,保证公司信息资产的安全和合理使用。

此次网络安全管理系统的建设,有针对性地对我公司目前网络中存在的薄弱环节进行了必要的安全加固。通过在互联网接入边界部署IPS、邮件安全网关和代理服务器等安全设备,在全网部署网络防病毒软件和用户桌面管理软件,实现了对全网计算机实施有效的病毒防护、应用管理和互联网访问控制。

特别是通过强化对用户上网行为和计算机使用行为的管理,以及安全设备的部署和安全管理工具的实施,我们建立起一个能够对内部用户实施认证管理、对外网入口实施有效控制、对病毒实施积极防范、对用户使用的软件和访问外网进行有效管理和审计的安全管理体系,有力地保障了公司信息资产的安全。

  1. 加固网络边界确保企业网络安全
  2. 内网安全浅谈交换机的安全特性


共2页: 上一页12下一页

相关内容