CADT 上海安达通安全解决方案案例 总部的服务器直接暴露在公网中,很容易遭受黑客的攻击,轻则影响到 业务的正常运作,重则使整个系统瘫痪、数据遭受破坏; 在网络中传输的原始重要数据容易被截获,通过分析,可以获取公司内 部的重要商业机密数据,存在泄露给竞争对手的风险 如果没有对网络出口作限制,公司内部可能存在的少数不良员工可通过 网络将公司机密数据发送到外部 公司内网访问外部未作限制,一些游戏、聊天程序可以正常运行,导致 工作效率低下。 基于以上几点,迫切需要解决系统的安全防护工作。要求在网络的边界及各 个分支机构的链路等环节进行综合考虑,建设和贯彻统一的安全保障体系 为了实现上述目的,我们采用了如下图所示的解决方案: 科技公司 光电公司 圣象公司 早号是 在外地出差的员工 服务器群 在上海总部和外网的边界部署一台三口高性能的SGW2C安全网关,LAN 口接内部网络的交换机,WAN口接外部网络( Internet)接口,DMZ口接业务系 统的关键服务器,服务器和内部主机都使用私有IP地址,利用安全网关的静态 NAPT功能向外(那些尚未接入VPN的分公司)提供服务,利用地址池NAT功 能使内网主机访问 Internet 利用安全网关中基于“六元组”控制的安全策略,可以对内部员工访问外部 网络做到很细粒度的控制,比如对于大部分员工允许在上班时间访问WEB页面 yw. adtsec com Tek021-64325693;64325694上海安达通安全解决方案案例 www.adtsec.com 37 Tel：021-64325693；64325694 ÿ 总部的服务器直接暴露在公网中，很容易遭受黑客的攻击，轻则影响到 业务的正常运作，重则使整个系统瘫痪、数据遭受破坏； ÿ 在网络中传输的原始重要数据容易被截获，通过分析，可以获取公司内 部的重要商业机密数据，存在泄露给竞争对手的风险； ÿ 如果没有对网络出口作限制，公司内部可能存在的少数不良员工可通过 网络将公司机密数据发送到外部； ÿ 公司内网访问外部未作限制，一些游戏、聊天程序可以正常运行，导致 工作效率低下。 基于以上几点，迫切需要解决系统的安全防护工作。要求在网络的边界及各 个分支机构的链路等环节进行综合考虑，建设和贯彻统一的安全保障体系。 为了实现上述目的，我们采用了如下图所示的解决方案： 在上海总部和外网的边界部署一台三口高性能的 SGW25C 安全网关，LAN 口接内部网络的交换机，WAN 口接外部网络（Internet）接口，DMZ 口接业务系 统的关键服务器，服务器和内部主机都使用私有 IP 地址，利用安全网关的静态 NAPT 功能向外（那些尚未接入 VPN 的分公司）提供服务，利用地址池 NAT 功 能使内网主机访问 Internet。 利用安全网关中基于“六元组”控制的安全策略，可以对内部员工访问外部 网络做到很细粒度的控制，比如对于大部分员工允许在上班时间访问 WEB 页面