一. 企业网络现状

某大型企业总部设在北京，内部共有员工用机近1000台，并拥有自己的WWW SERVER，MAIL SERVER, FTP SERVER和DNS SERVER。 内部分为包括管理、研发、财务、行政在内等多个子网，全部设为私有IP, 通过Proxy服务器访问Internet,各子网之间通过在CISCO的5500三层交换机上划分VLAN来控制相互访问，通过NT提供的用户认证功能实现访问控制，企业的WWW等服务器设有公网IP直接放在边界路由器后，向外提供服务。公司通过专线上网与internet相连，并通过Internet与上海、广州、成都等各分公司相连实现资源共享。总部的网络拓扑如下：

二. 弱点分析

1.        企业的WWW, DNS,Mail等服务器直接放在边界路由器后，没有任何保护，极易受到攻击

2.        各服务器(包括Proxy server)接同一个hub, 当某台服务器被攻破后，内部各子网（包括管理子网、财务子网）通过proxy访问的所有流量将有可能被窃听

3.        内部各子网使用私有IP地址，通过proxy服务器出internet访问。这样的结构虽能起到隐藏内部主机和网络拓扑的作用有效的保护proxy内部的主机不能直接被攻击，但这样的proxy结构对于内部用户不透明，使用起来很麻烦，容易由于配置上的错误导致用户无法上网。

4.        各子网之间通过交换机划分VLAN和NT的用户认证功能来实现访问控制，控制不灵活，且安全级别较低

5.        北京总部与各分公司之间通过internet相连互访资源，各分公司之间通过internet传输的数据（包括邮件等）的机密性得不到保证

6.        无法检测黑客对企业网的攻击行为，无法进行反黑客响应

三. 解决方案

从企业总公司内部网络和总公司与各分公司之间互联两方面考虑

a) 企业总公司内部网络解决方案（各分公司网络可参照本方案）

经过改建后的网络拓扑如下：

1.        在总公司出口处，边界路由器内架设1台LinkTrust CyberWall-100PRO防火墙

2.        把WWW,DNS,MAIL,FTP服务器连同原来所接的集线器一同放到防火墙的DMZ区，服务器使用私有IP,隐藏DMZ 区网络结构，网关指向防火墙的DMZ网口地址，通过在防火墙上设置静态或端口NAT使DMZ服务器能够向外提供服务。在防火墙上设置规则只允许访问DMZ服务器的指定服务，最大程度的保证了服务器安全。对于Mail server，可在防火墙上对pop3和smtp设置代理规则，在防火墙上实现收发邮件的过滤

3.        把Cisco 5500交换机和所有员工用机、DHCP服务器放到防火墙的Intranet区，把防火墙Intranet网口的地址设为原来Proxy server的内部网卡的地址，用交换机上原先接Proxy的端口接防火墙的Intranet网口，这样原来交换机上的所有设置和交换机上所接所有设备(包括所有子网的员工用机)都不用改变

4.        防火墙的外网口地址设成原先Proxy server的外侧网卡的地址，通过在防火墙上做动态NAT并设置默认网关为边界路由器内侧的地址使内部主机能够上internet访问，通过在防火墙上设置到各个子网的静态路由，使回包能够传送正确。防火墙的安全规则可以通过源、目的、协议、访问时间等灵活限制内部主机对外的访问。 由于内部主机使用私有IP,并通过动态NAT出外网访问，对外部来说，内部的结构是完全不透明的，黑客无法对防火墙内部发起攻击。

5.        针对管理子网和财务子网这两个具有特殊安全需求的网段，在他们之前分别架设1台LinkTrust CyberWall-100SE型号的防火墙，设置安全规则，只允许特定的用户访问特定的资源。这两台防火墙工作在透明模式，可以直接架设到子网与交换机的链路之间，原有设置不用改变。

6.        在防火墙上的IDS端口接网络入侵检测设备(LinkTrust IDS),防火墙把指定流量实时镜像到IDS端口供LinkTrust IDS检查，发现入侵或可疑行为后，IDS立即报告防火墙动态调整安全策略，切断当前的入侵连接并实时封堵攻击源，实现对企业网的动态智能防护

b) 总公司与各分公司之间互联解决方案

企业内部各分公司之间通过internet互联，传输数据的机密性得不到保证，往来邮件犹如“明信片”，在途径的任意一个结点都有可能被窃听并破译，由于TCP/IP协议固有的开放性和互联性，这种安全隐患是肯定存在的。使用专用线路互联是最直接的解决办法，但它不符合信息数字化建设和资源共享的潮流，而且投入费用非常昂贵，不是长远之计。因此，在开放的网络环境中实现信息通信的安全，必须采用先进的技术手段来保障。虚拟专网VPN技术是实现廉价构建网络数据安全传输通道的首选。

通过LinkTrust CyberWall提供的VPN功能，可以使企业在低成本的公用通信网络（internet）中安全地进行数据交换，以低成本安全的连接其分工司、流动工作人员及业务合作伙伴，显著节省使用专用网络的长途费用，降低公司建设自己的广域网（WAN）的成本，而且同时实现信息资源的充分利用。

以下是应用LinkTrust CyberWall构建企业虚拟专网的拓扑图：

在各分公司或合作伙伴的网关处分别架设1台LinkTrust CyberWall防火墙，与总公司的防火墙组成网关到网关类型的VPN，出差漫游的用户可通过拨号方式建立客户端到网关型的VPN。

LinkTrust CyberWall通过采用隧道技术，将企业网的数据封装在隧道中进行传输。通信中双方首先要明确地确认对方的真实身份，进而在公用通信设施中建立一条私有的专用通信隧道(图中的绿色通道)，利用双方协商得到的通信密钥处理信息，从而实现在低成本非安全的公用网络（internet）上安全的交换信息。

上图为星型连接方案，如有分公司之间的安全互联需求，可以使用以下的网状连接方案