DADT 上海安达通安全解决方案案例 全网关,其负荷比较重,但是安达通安全网关经过严格的性能测试,能经受得住 大流量、长时间的运行。在试点阶段,使用一台安全网关足够能保证网络的正常 运行,当一期系统大规模实施的时候,可以通过增加安全网关、统一规划来分担 每台安全网关的负荷,具体方案将在下文具体阐述。 透明代理模式 安全网关支持使用透明代理模式,在这种模式下,原来的网络拓扑和服务器 IP地址都不需要改变,只需要在网络的边界上把内部网络和外部网络做到物理 上的隔离,安全网关使用ARP代理的技术对每个进出网络的IP数据包进行检查 和状态检测,把不合法的数据包阻挡在外。在透明代理模式安全网关同样支持 VPN,可以和远程的分公司和卖场建立安全隧道。但是在这种情况下,因为网关 本身使用公有固定IP,总部局域网内只有公有IP的主机或服务器才能和远端进 行直接安全通信,当然其他私有IP的主机可以通过代理服务器和远端进行安全 通信。 在此透明代理模式下,DMZ口将不能使用(任何防火墙都如此),服务器和 总部局域网主机处于同一局域网,并没有做到物理隔离,一旦代理服务器或其他 服务器被攻破,内网的主机将直接面临危险 安全网关支持使用透明代理模式,在这种模式下,原来的网络拓扑和服务 器IP地址都不需要改变,只需要在网络的边界上把内部网络和外部网络做到物 理上的隔离,安全网关使用ARP代理的技术对每个进出网络的IP数据包进行 检査和状态检测,把不合法的数据包阻挡在外。在透明代理模式安全网关同样 支持ⅤPN,可以和远程的分公司和卖场建立安全隧道。但在这种情况下,因为 网关本身使用公有固定IP,总部局域网内只有公有IP的主机或服务器才能和远 端进行直接安全通信,当然其他私有IP的主机可以通过代理服务器和远端进行 安全通信 在此透明代理模式下,DMZ口将不能使用(任何防火墙都如此),服务器 和总部局域网主机处于同一局域网,并没有做到物理隔离,一旦代理服务器或 其他服务器被攻破,内网的主机将直接面临危险 透明代理模式下的网络拓扑如下 yw. adtsec com Te021-64325693:64325694上海安达通安全解决方案案例 www.adtsec.com 27 Tel：021-64325693；64325694 全网关，其负荷比较重，但是安达通安全网关经过严格的性能测试，能经受得住 大流量、长时间的运行。在试点阶段，使用一台安全网关足够能保证网络的正常 运行，当一期系统大规模实施的时候，可以通过增加安全网关、统一规划来分担 每台安全网关的负荷，具体方案将在下文具体阐述。 透明代理模式 安全网关支持使用透明代理模式，在这种模式下，原来的网络拓扑和服务器 IP 地址都不需要改变，只需要在网络的边界上把内部网络和外部网络做到物理 上的隔离，安全网关使用 ARP 代理的技术对每个进出网络的 IP 数据包进行检查 和状态检测，把不合法的数据包阻挡在外。在透明代理模式安全网关同样支持 VPN，可以和远程的分公司和卖场建立安全隧道。但是在这种情况下，因为网关 本身使用公有固定 IP，总部局域网内只有公有 IP 的主机或服务器才能和远端进 行直接安全通信，当然其他私有 IP 的主机可以通过代理服务器和远端进行安全 通信。 在此透明代理模式下，DMZ 口将不能使用（任何防火墙都如此），服务器和 总部局域网主机处于同一局域网，并没有做到物理隔离，一旦代理服务器或其他 服务器被攻破，内网的主机将直接面临危险。 安全网关支持使用透明代理模式，在这种模式下，原来的网络拓扑和服务 器 IP 地址都不需要改变，只需要在网络的边界上把内部网络和外部网络做到物 理上的隔离，安全网关使用 ARP 代理的技术对每个进出网络的 IP 数据包进行 检查和状态检测，把不合法的数据包阻挡在外。在透明代理模式安全网关同样 支持 VPN，可以和远程的分公司和卖场建立安全隧道。但在这种情况下，因为 网关本身使用公有固定 IP，总部局域网内只有公有 IP 的主机或服务器才能和远 端进行直接安全通信，当然其他私有 IP 的主机可以通过代理服务器和远端进行 安全通信。 在此透明代理模式下，DMZ 口将不能使用（任何防火墙都如此），服务器 和总部局域网主机处于同一局域网，并没有做到物理隔离，一旦代理服务器或 其他服务器被攻破，内网的主机将直接面临危险。 透明代理模式下的网络拓扑如下：