1、安全需求
下面以园区典型组网为例,主要介绍园区出口安全的部署。具体业务安全要求如下表:
| 编号 | 安全需求内容 |
|---|---|
| 1 | 内网用户可以正常访问Internet资源,但只能访问教育/科学类、搜索/门户类网站。 |
| 2 | 为了防止公司机密文件的泄露,禁止员工上传常见文档文件、开发文件(C、CPP、JAVA)以及压缩文件到Internet。 |
| 3 | 为了降低病毒进入公司内部的风险,禁止员工从Internet下载可执行文件。 |
| 4 | 为了保证员工的工作效率,禁止员工从Internet下载视频类文件。 |
| 5 | 为了防止公司机密信息的泄露以及违规信息的传播,对内网用户上传到Internet的文件、发送到Internet的邮件、发布的帖子和微博、浏览网页和搜索的内容进行过滤。 |
| 6 | 外网用户可以访问内网中的HTTP服务器资源。为了保障服务器的正常运行,对SYN Flood、UDP Flood和HTTP Flood攻击进行防范。 |
| 7 | 为了防止邮件引入病毒,需要对HTTP和POP3协议进行反病毒检测。 |
| 8 | 为了防止蠕虫、木马和僵尸网络等攻击,需要对这些攻击进行防范。 |
| 9 | 为了不影响正常业务,在任何时间内限制P2P、在线视频等最大带宽不超过30Mbps。为了更好的控制P2P、在线视频流量,可以通过限制连接数的方式,限制最大连接数不超过10000。为了让Email、ERP等应用不受到影响,此类流量可获得的最小带宽不少于60Mbps。 |
| 10 | 记录员工的上网行为,从而采取更加精确的安全策略控制。 |
园区出口安全组网图如下:
![图片[1]-大型园区网络出口安全配置案例(附配置脚本下载)-不念博客](https://img.mryunwei.com/uploads/2024/03/20240319160349813.jpg "大型园区网络出口安全配置案例(附配置脚本下载)")
2、部署思路
![图片[2]-大型园区网络出口安全配置案例(附配置脚本下载)-不念博客](https://img.mryunwei.com/uploads/2024/03/20240320000350211.jpg "大型园区网络出口安全配置案例(附配置脚本下载)")
3、数据规划
![图片[3]-大型园区网络出口安全配置案例(附配置脚本下载)-不念博客](https://img.mryunwei.com/uploads/2024/03/20240320000352397.jpg "大型园区网络出口安全配置案例(附配置脚本下载)")
4、配置过程
(见PDF文件)
PDF.zip下载zip文件
