本帖最后由 只是一个神话 于 2010-11-17 08:46 编辑
某企业ISA2006防火墙布署方案
一、部署前网络拓扑:
这是培训环境的网络
这是生产环境的网络
这是办公环境的电脑
二、网络现状分析:
三个网络都是物理隔离开的,培训环境和生产环境都不能上网且全部安装冰点还原系统,全部禁用USB。只有办公环境可以上网。
三、需求分析:
现在考虑让员工在休息时间可以去培训教室上网,在无业务时可以在生产室里的新闻主机上看看新闻,听听音乐,提高员工空闲时的娱乐生活,所以要让培训室可以上网(时间为周六,周日,平时中午12点-13点),生产教室中的一台机器做为新闻主机,可以让完成任务后的员工看看新闻图片。实施的前提是生产环境和培训环境的安全为第一位,所以考虑使用MICROSOFT ISA2006企业版防火墙。在保证安全性的前提下给员工提供更丰富的业余生活,提高公司的企业文化。
四、解决方案:
在测试主机上安装三网卡,并且安装ISA2006企业版防火墙,配置相关信息:
u
外网卡连上网路由器,配置IP地址:172.16.1.222/24,网关172.16.1.1。
u
培训网卡连培训教室交换机,配置IP地址:172.16.0.222/24。
u
培训客户端,配置网关:172.16.0.222。
u
生产环境网卡连接生产环境,配置IP地址:172.16.8.222/24。
u
生产新闻机直连ISA主机,配置IP地址:172.16.8.56/24,网关172.16.8.222。
生产新闻机直连ISA主机,不通过生产交换机,确保生产环境与INTERNET物理隔离。
五、部署完后网络拓扑图:
六、总结:
ISA2006具有极高的安全性、可配置性和扩展性,以后如果需要把办公环境接到防火墙后面,在防火墙主机上增加一块网卡即可。
附配置列表和详细说明:
内部:培训环境
Admin:网管主机
kugoo:kugoo服务器
Datainput-in\out:生产系统
test:测试主机
company:公司WEB服务器
SOHU:SOHU的URL集
deny sohu:禁止的URL集
1、
allow visit kugoo1这条规则规定新闻主机可以访问KUGOO播放器中的网页
2、
allow visit kugoo这条规则规定新闻主机可以在线听KUGOO播放器中的音乐
3、
deny visit sohu这条规则规定新闻主机不可以访问SOHU中的某些网页(已禁止:games.sohu.com)后期按实际情况可以添加
4、
allow visit sohu这条规则规定新闻主机可以访问除第3条中禁止的网页外的所有SOHU的网页,但是不能下载指定扩展名的文件
5、
allow visit company 这条规则规定培训教室可以访问公司网站
6、
allow visit internet这条规则规定培训教室可以访问外网(录入员休息时的上网区),时间设为每天中午的12点-13点,周六、周日全天,但是不能下载指定扩展名的文件
7、
allow local to test这条规则规定培训服务器可以和办公室测试机之间开放所有的通信
8、
allow visit datainput这条规则规定培训教室可以使用培训环境的录入系统,
9、
remote admin这条规则规定网管主机可以远程连接ISA服务器。 | 
发表于 2010-11-16 16:53:03
发表于 2010-11-18 09:08:38