构建安全的企业网络：三板斧（CP+TCM+NOD）

liuxingyuan

企业网络的应用
单机计算
企业信息化刚刚起步的时候，一般是企业购置几台计算机，把文字编辑，制图，财务管理等放到计算机上去做。计算机一般放置到专用的机房中，物理距离近，计算机操作人员相对集中。在各计算机之间使用U盘或软盘共享数据和人员交流比较方便。
计算机网络
随着计算机的价格降低，和需求的增加，企业的计算机数量越来越多，使用的位置也越来越分散。而传统靠软盘和U盘来回复制数据的方式越来越不满足企业的要求。需要把各台计算机连接起来，解决数据共享和信息通讯的问题。也就诞生了计算机网络。
企业网络的安全威胁
病毒
当企业仅仅有一台计算机时，需要避免的是对计算机的误操作，可以加强使用计算机的人员培训，按照规定的方法使用计算机。而计算机病毒的出现，和移动介质的使用，仅靠合理的操作规程是满足不了要求。这就需要在计算机上安装反病毒软件，在病毒进入计算机以前将其消灭。
网络攻击
计算机网络时代，每台计算机都物理的连接在一起。为计算机病毒和恶意软件的传播提供了更加便捷的通道。同时也为不怀好意之徒（以后成为攻击者）窃取，破坏，篡改计算机的信息提供了途径。攻击者可能位于企业网络的外部，也有可能位于企业网络的内部。攻击者利用系统地漏洞可以直接攻击您的企业内部网络；也可以通过诱骗内部用户访问一些感兴趣的网站，而在网站上植入木马等恶意软件，在您浏览这些网页的时候，将木马自动下载到本地的计算机。这样攻击者可以以内部主机为跳板来实施对企业网络的攻击。
数据安全
企业的重要数据，并非所有人都可以访问，只有经过授权的人才可以访问。攻击者可以假冒有权限的人来操作这些数据。攻击者也可以滥用权限，发起无数的访问请求使服务器无法响应，拒绝提供正常的数据服务。如何保证授权的人在任何时候都能及时获取正确完整的数据是安全管理人员重点考虑的问题。
带宽消耗
互联网应用程序非常丰富，尤其P2P的广泛应用耗费了大量宝贵的带宽资源。企业的接入互联网带宽费用昂贵。网络中充斥的非业务流量严重消耗了企业的资源，影响了关键业务的运行。非业务流量对关键业务的冲击也是企业网络面临的又一严峻安全问题。
企业网络的安全设计
管理一个企业网络的安全，是企业管理的一部分。对于一般的管理而言，分类管理是很重要的一个方面。
首先对计算机网络进行分类，根据功能和需要的防护级别进行区分。而分类后的各个区域就是安全区。从大的角度而言，企业网络可以划分：外部区域；业务服务器区域；公众服务器区域；部门区域；远程访问区域；分支区域。外部区域指企业外部的资源，一般是国际互联网。业务服务器区域指运行企业内部ERP系统，OA系统的服务器群及存储设备。公众服务器区域主要提供外部web访问DNS解析等。部门区域为各部门的计算机终端。远程访问区域为出差用户通过互联网访问到内部网络。分支区域指通过虚拟专用网（VPN）接入的分支机构和合作伙伴。
在对计算机网络进行合理划分之后，制定各个区域之间的访问规则。规定它们之间访问的条件和限制。然后再各个区域之间部署防火墙，在防火墙上落实企业的安全策略。选择一款好的防火墙产品显得尤为重要，我们建议选择世界财富100强都在使用的Check Point防火墙来保证您企业的安全。
对于计算机病毒，实现全网的统一管理。部署反病毒服务器，客户端安装统一的反病毒软件，对每台计算机统一管理，强制升级和强制扫描。世界上最轻，最快，最准的杀毒软件NOD32是保护企业网络计算机免遭计算机病毒之苦的优先选择。
对于流量管理和控制，在网关背后安装一台流量控制设备，识别应用程序的流量，执行企业的流量控制策略，保证企业关键业务的带宽使用。推荐您选用专业性最强，识别率最准，执行效率最高的TCM流量控制设备。

[ 本帖最后由 liuxingyuan 于 2009-8-13 13:48 编辑 ]

zlhhig

认真详细的看了版主做的完美的企业安全解决方案非常值得我去学习，这对今后销售的工作起了一定推动的作用。争取用这把三板斧把XX集团砍下了。

[ 本帖最后由 zlhhig 于 2009-8-13 13:50 编辑 ]

yspzjw520

好帖子学习中。。。。。。

network

network(8801812) 13:38:09
这是公司几代人的为此奋斗。今天终成理论了
network(8801812) 13:38:15
这就是三个代表
network(8801812) 13:38:37
科学发展观之后又一个指导性刚领
network(8801812) 13:38:57
他为我们说明了。我们要走什么路。举什么旗帜的问题

dracula

好贴，写的很深刻，此乃公司指导性纲领~！

YLN

把几个产品的连在一起讲述又阐明了因果，给了我们一思路，销售方向更明确了，思路更清晰！多谢！

cuitaiqi

鉴于此贴确实好帖，主要的体现在与CP防火墙这环，此墙是国际网络领导厂商的产品。性能好，维护量低。确实是客户理想之首选，但是我们应该追求高层次。

lizhihui

主导思想！集中咱们精华与一起，三板斧结合的完美！！高！......

xujie

一看这个图就是一个关于分流的拓扑，在三层上做了分流。上网的走上网_CP。走VPN的走vpn_CP.。

因为公网上面建立隧道，走的是内网的私网地址，所以要做一条私有地址的路由到那个VPN_CP上面,再做默认路由从另一个CP走(上网_CP)。
我觉得为了在三层上做分流应用精确路由+默认路由来做。

network

要多感想一下。如何让成功灌输给用户。让用户彻底接受这个解决方案