成都航利科技集团有限责任公司于2004年6月正式组建成立,是成都航利(集团)实业有限公司为适应民品发展的需要,整合军工企业下属民品行业组建而成的全资大型高新科技、多元化投资的民品管理公司,总资产逾8亿元,是2005年全国用户满意单位。
集团网络出现了卡滞、掉线的问题,于是想到要增加带宽,网络部的秦工了解到欣向是唯一能做到带宽叠加的,于是电话打到了欣向成都办事处。通过沟通,欣向的武工对航利集团的网络情况有了初步的了解,带宽增加固然会提高网速,对网络使用会起到积极作用,但是其网络中的安全管理隐患更是急需解决的。
一、现有环境
终端用户:服务器3台,终端PC机100台
外网带宽:两条3M电信ADSL,马上再增加三条3M电信ADSL。
防火墙:SECCN VPN防火墙,有外部员工要通过VPN访问内部服务器
核心交换机:华为S3500,未做任何策略(当二层的使用)
二、存在问题
1、网络设备杂乱,没有统一的管理方法,出现问题挨个查看,很难确定问题原因;
2、网络流量管理不到位,带宽管理效果不好,网络带宽资源未充分利用,常出现带宽不足导致网络卡滞;依据IP的网络边缘设备带宽管理不准确,效率低,一次发现某个IP流量很大,结果发现这个IP并未开机,伪造真实身份的网络流量根本不能控制;
3、内网存在安全隐患,无有效的防御手段,会因为内网病毒(如DDOS、ARP)等引起网络卡滞、甚至掉线;
4、网络访问的不稳定也影响到VPN的使用,造成了无法保证外部员工通过VPN正常访问内部服务器。
三、问题根源
企业网络问题频出,很多并不在于网络设备的高级、低级,也不在于防火墙、杀毒等手段的实施,它的根源就在于以太网协议存在先天漏洞、不擅长管理这两大弊端。一旦这个弊端被黑客利用,内网的每一台PC都可能成为攻击源,从内网发起攻击。而PC被感染的途径太多,访问网页、收邮件、聊天下载、移动笔记本、插U盘等等,都可能中招,防不胜防。统计数据表明,网络问题80%是内网引起的,就是这个原因。
在认识到这些问题后,航利的秦工又详细的问了欣向武工解决方案,并最终选择了欣向免疫墙路由器NuR8555M做为核心接入设备,通过免疫墙路由器NUR8555M进行免疫网络的部署,堵住内网基础安全漏洞,并约了上门时间,通过实地的实施部署并进行了如下的策略设置:
1、 财务部:192.168.1.2-192.168.1.10,严格控制财务和内网间传输应答。实现保证财务电脑的安全性,安全策略较严格。启动过滤ARP欺骗、最大ARP探寻个数 2、最大ARP应答个数 3、启动过滤虚假MAC、启动过滤虚假IP、启动拦截IP分片包、内网SYN限制 100、公网SYN限制 50、超大ping包过滤 64。流量控制为,内网上传限速 1MB、内网下载限速 1MB、公网上传限速 30KB、公网下载限速 50KB。
2、 管理部:192.168.1.11-192.168.1.40,策略较宽松,不影响别人使用的情况下,满足高速使用。启动过滤ARP欺骗、最大ARP探寻个数 20、最大ARP应答个数 40、启动过滤虚假MAC、启动过滤虚假IP、启动拦截IP分片包、内网SYN限制 300、公网SYN限制 200、超大ping包过滤 128。流量控制为,内网上传限速 10MB、内网下载限速 10MB、公网上传限速 50KB、公网下载限速 200KB。
3、 服务器:192.168.1.41-192.168.1.43,供内部员工使用,只留常用端口,其余端口全部封闭,防止被利用端口进行漏洞攻击,内网流量不限制,满足提供服务的需要。启动过滤ARP欺骗、最大ARP探寻个数 100、最大ARP应答个数 200、启动过滤虚假MAC、启动过滤虚假IP、启动拦截IP分片包、内网SYN不限制、公网SYN限制 10000、超大ping包过滤 128。流量控制为,内网上传不限速、内网下载不限速、公网上传限速 100KB、公网下载限速 400KB。
4、 普通员工:192.168.1.44-192.168.1.100,依据员工办公对网络的要求进行限制,并进行不允许用BT,不允许上QQ游戏,通过URL过滤和IP过滤禁止访问特定网站(开心网、校内网等)的简单访问控制。启动过滤ARP欺骗、最大ARP探寻个数 5、最大ARP应答个数 10、启动过滤虚假MAC、启动过滤虚假IP、启动拦截IP分片包、内网SYN限制 200、公网SYN限制 100、超大ping包过滤 128。流量控制为,内网上传限速 10MB、内网下载限速 10MB、公网上传限速 30KB、公网下载限速 100KB
这样,全网终端都有了攻击拦截、安全控制、细化到内、外网流量的带宽限制、有效地填补了以太网的安全漏洞,使公司网络具备了主动防御和管理的能力,在原来的基础上大大提高了稳定性和可靠性,彻底改头换面,全网尽在掌握!
部署完成后,航利的秦工看着现在的效果,一个劲儿的说:“开始咨询你们的产品只是为了带宽叠加,没想到你们不仅把我的带宽叠加起来了,更是解决了我们公司多年的网络问题,真是无心插柳柳成荫啊,太巴适了!”