中小企业适用防火墙方案.docVIP

下载本文档

361
0
约4.99千字
约 11页
2018-08-14 发布于福建
举报
版权申诉

中小企业适用防火墙方案.doc

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

中小企业适用防火墙方案

中小企业适用的防火墙方案　　摘要:中小企业是一个庞大的群体,许多业务或生产流程非常紧密地依赖于网络来实现,网络安全对它们来说是可能是一个攸关生存的问题。针对中小企业网络的具体特点,寻求一个技术合理,稳定可靠的防火墙方案,对解决网络安全问题非常重要。　　关键词:中小企业;防火墙;Forefront TMG 　　中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 10-0000-01 　　Firewall Solutions for SME 　　Wu Hong 　　(Shanxi Commercal School,Hanzhong 723000,China) 　　Abstract:Small and medium-sized enterprises are a huge population, many business or production process is very closely rely on network,the network security for them is a vital problem of existence.According to the characteristics of small and medium-sized enterprise network,seek a technology is reasonable and reliable to solve the firewall solutions, network security question is very important. 　　Keywords:Small and medium-sized enterprises;Firewall;Forefront TMG 　　对于中小企业网络来说,其规模一般不大,出口带宽要求不高,对网络的安全性和可靠性却有着较高要求。此外,对价格比较敏感,又要求简单易用。这就需要构建一个可靠的、性价比较高的安全体系。防火墙正是这个安全体系的重要组成部分。基于以上特点,可制定出一个适当的防火墙方案。　　一、方案的选择　　为获得较好的安全性,本方案采用具有被屏蔽子网的体系。前端为包过滤防火墙,在DMZ区域放置公共服务器,如Web服务器等。在DMZ和内网之间,通过Forefront Threat Management Gateway(TMG)2010服务器,作为后端防火墙提供准确和详细的控制。主要的安全控制功能由包过滤防火墙、TMG服务器实现。　　二、包过滤防火墙　　由具备包过滤功能的路由器来实现。采用包过滤路由器时,管理开销很少,对DMZ区域的性能不会产生较大的影响。包过滤路由器中,通过ACL进行访问控制及NAT是安全防范和保护的主要策略,以保证被保护的资源不被非法访问。　　(一)设定实例(该型路由器无需使用反掩码) 　　1.端口和网络地址转换(NAT)设定: 　　interface GigaEthernet0/0 　　 ip address 　　ip nat inside 　　interface GigaEthernet0/1 　　 ip address 61.150.*.186 48 　　ip access-group secure in 　　ip nat outside 　　出于安全和性能考虑,其NAT默认最大转换数较小,因此需要重新设定。将入口最大数设定到65000,(TMG服务器)允许到40000,其他主机350个。　　ip nat translation max-entries 65000 　　ip nat translation max-entries host any 350 　　ip nat translation max-entries host 40000 　　ip nat outside destination static tcp 61.150.*.188 80 1 80 　　ip nat inside source static tcp 1 80 61.150.*.188 80 　　ip nat inside source list natin interface GigaEthernet0/1 　　在端口G 0/1上还要应用访问控制列表secure。　　2.设置访问控制列表: 　　①设置标准访问控制列表natin: 　　 ip access-list standard natin 　　 permit 　　②设置扩展的访问控制表secure: 　　ip access-list extended secure 　　拒绝私有IP源地