关于局域网网络安全解决方案
一、网络现状
企业目前从电信申请两根光纤接入,其中一根通过网络管理服务器专门提供给单位领
导使用;另外一根光纤接入防火墙—>下联交换机,各个分支机关再通过光纤接入到交换机。
网络管理服务器上设置 PPPoE Sevrer,内网采用 PPPoE 认证拨号上网,网络比较稳定。分
支机关采用固定 IP 接入到防火墙上网。
二、存在的问题
由于防火墙年代已久,功能的局限,根本无法对用户的应用进行限制。ARP 病毒、P2P
造成带宽滥用和内网 DOS 攻击严重影响办公正常业务使用。防火墙下联交换机为普通型交
换机,不具备管理能力,内网广播风暴容易导致网络拥堵。
三、改造方案
一方案之一,拓扑图如下:
方案一拓扑图
该方案采用单网关控制各个机关上网。具体实施步骤如下:
1. 网关:采用具备 PPPoE 服务器功能的高性能 64 位处理器的防火墙网关作为机关接
入互联网的接入控制。开启 PPPoE 服务器,机关电脑 PPPoE 拨入到网关,可以彻底解决内
网 ARP 欺骗。带宽管理、P2P 限速有效合理分配带宽资源。防火墙默认开启防止 DOS/DDOS
攻击防止常见病毒攻击。
PPPoE 服务器
防止内网攻击
2.核心交换机:采用管理型交换机,具备广播风暴抑制、VLAN 隔离功能。广播风暴抑
制、VLAN 隔离降低内网安全风险,同时减少大量广播包对 PPPoE 拨号的影响。
二方案之二,拓扑图如下:
方案二拓扑图
该方案采用多网关控制各个机关上网。具体实施步骤如下:
采用具备 PPPoE 服务器功能的防火墙网关作为机关接入互联网的接入控制。开启
PPPoE 服务器,机关电脑 PPPoE 拨入到网关,可以彻底解决内网 ARP 欺骗。带宽管理、P2P
限速有效合理分配带宽资源。防火墙默认开启防止 DOS/DDOS 攻击,防止常见病毒攻击。
不同机关接入到不同网关,各个机关相对独立。每个网关需要一个公网 IP。
评论0
最新资源