三、问题根源

　　企业网络问题频出，很多并不在于网络设备的高级、低级，也不在于防火墙、杀毒等手段的实施，它的根源就在于以太网协议存在先天漏洞、不擅长管理这两大弊端。一旦这个弊端被黑客利用，内网的每一台PC都可能成为攻击源，从内网发起攻击。而PC被感染的途径太多，访问网页、收邮件、聊天下载、移动笔记本、插U盘等等，都可能中招，防不胜防。统计数据表明，网络问题80%是内网引起的，就是这个原因。

　　在认识到这些问题后，航利的秦工又详细的问了欣向武工解决方案，并最终选择了欣向免疫墙路由器NuR8555M做为核心接入设备，通过免疫墙路由器NUR8555M进行免疫网络的部署，堵住内网基础安全漏洞，并约了上门时间，通过实地的实施部署并进行了如下的策略设置：

　　1、 财务部：192.168.1.2-192.168.1.10，严格控制财务和内网间传输应答。实现保证财务电脑的安全性，安全策略较严格。启动过滤ARP欺骗、最大ARP探寻个数 2、最大ARP应答个数 3、启动过滤虚假MAC、启动过滤虚假IP、启动拦截IP分片包、内网SYN限制 100、公网SYN限制 50、超大ping包过滤 64。流量控制为，内网上传限速 1MB、内网下载限速 1MB、公网上传限速 30KB、公网下载限速 50KB。

　　2、 管理部：192.168.1.11-192.168.1.40，策略较宽松，不影响别人使用的情况下，满足高速使用。启动过滤ARP欺骗、最大ARP探寻个数 20、最大ARP应答个数 40、启动过滤虚假MAC、启动过滤虚假IP、启动拦截IP分片包、内网SYN限制 300、公网SYN限制 200、超大ping包过滤 128。流量控制为，内网上传限速 10MB、内网下载限速 10MB、公网上传限速 50KB、公网下载限速 200KB。

　　3、 服务器:192.168.1.41-192.168.1.43，供内部员工使用，只留常用端口，其余端口全部封闭，防止被利用端口进行漏洞攻击，内网流量不限制，满足提供服务的需要。启动过滤ARP欺骗、最大ARP探寻个数 100、最大ARP应答个数 200、启动过滤虚假MAC、启动过滤虚假IP、启动拦截IP分片包、内网SYN不限制、公网SYN限制 10000、超大ping包过滤 128。流量控制为，内网上传不限速、内网下载不限速、公网上传限速 100KB、公网下载限速 400KB。

　　4、 普通员工：192.168.1.44-192.168.1.100，依据员工办公对网络的要求进行限制，并进行不允许用BT，不允许上QQ游戏，通过URL过滤和IP过滤禁止访问特定网站(开心网、校内网等)的简单访问控制。启动过滤ARP欺骗、最大ARP探寻个数 5、最大ARP应答个数 10、启动过滤虚假MAC、启动过滤虚假IP、启动拦截IP分片包、内网SYN限制 200、公网SYN限制 100、超大ping包过滤 128。流量控制为，内网上传限速 10MB、内网下载限速 10MB、公网上传限速 30KB、公网下载限速 100KB

　　这样，全网终端都有了攻击拦截、安全控制、细化到内、外网流量的带宽限制、有效地填补了以太网的安全漏洞，使公司网络具备了主动防御和管理的能力，在原来的基础上大大提高了稳定性和可靠性，彻底改头换面，全网尽在掌握!

　　部署完成后，航利的秦工看着现在的效果，一个劲儿的说：“开始咨询你们的产品只是为了带宽叠加，没想到你们不仅把我的带宽叠加起来了，更是解决了我们公司多年的网络问题，真是无心插柳柳成荫啊，太巴适了!”