电信网络安全整体解决方案

　　点评：该电信数据中心为用户提供专业化和电信级的服务，网络流量大，稳定性和可靠性要求非常高。瑞星利用两台NetScreen-100防火墙的双机热备和分级管理、多重防护的网络病毒防护体系确保了这些需求的有效实现。

一、客户网络原状
目前某市各地县级电信局网络系统与某市电信局网络系统的数据交换，为多类型数据交换，且各地县数据局上行数据量较大，从该市往下传输的数据量少。在目前Internet普及的情况下，各地市之间与该市电信网络数据的交换很大。

在该市数据局内部网络系统中，基本上是通过电信主干直接上互连网，没有任何安全措施，且对内部员工的上网也没有任何限制。没有任何安全防范措施的通路，连在了充满威胁的互连网上。这不能不说是存在一个巨大的网络安全隐患，一旦其中任一点被攻破，就将有可能导致内部网络关键数据被破坏的严重后果，其造成的损失将是难以估量的。

另外，该市电信局大楼内部有50多服务器和450多个直接客户端，服务器分别为内联网www服务器，域名服务器，邮件服务器，公共www服务器，数据库服务器及若干台备份服务器、及接入服务等。由于计算机病毒的肆意泛滥，使该系统不可避免地感染了众多病毒，大大影响了电信的正常运行。网络在这种可能导致"外扰内乱"的情况下，提出一个切实可行的安全解决方案是迫在眉睫的。
网络现状如下图所示：

二、瑞星解决方案
瑞星公司根据电信局的具体情况，做了比较切实可行的网络安全解决方案，是在该电信局各个相连网段的路由器和中心交换机中间，安装二台100M带宽的硬件防火墙NetScreen 100A，两台防火墙做双机热备，这样确保了网络永远畅通无阻，即使一台出故障，另外一台在10秒之内就可以切换过来。这样做即防范了外部黑客的入侵攻击又可以对内部员工上Internet做很好限制，让该局域网中所有上互连网的PC机均通过该防火墙安全统一地接入Internet。在防病毒方面，根据该电信的网络结构和防病毒要求，在充分考虑可行性的基础上，在整个电信网络防病毒管理架构方面，瑞星采用分级管理、多重防护的管理架构，安装了瑞星网络版（企业版）杀毒软件，瑞星网络版很好的控制住了网络病毒的传播，使整个网络中病毒无处藏身，彻底杀灭。
1、 防火墙部署(如下图所示)：

NETSCREEN 100A防火墙在网络中的部署结构如图所示，我们在内部网络各网段与外网的接口处部署二台NETSCREEN 100A防火墙A和防火墙B，即在cisco 1924交换机的后方放置二台防火墙，这样所有内外网间的访问均无法绕过防火墙，防火墙A、B内网接口trust口连接192.168.10.0、10.10.232.0、等十一个网段，防火墙A、B的外网接口untrust口连接Cisco 2610路由器。为了提高整个网络安全性，我们在防火A、B之间做了双机热备，防火墙A的DMZ接口连接了防火墙B的DMZ接口，防火墙B通过DMZ口的边连线一直在检测防火墙A，一旦防火墙A崩溃掉，防火墙B在10秒之内马上自动切换过来，接替防火墙A的工作，不用任何人工干扰。这样可以根据内网的实际应用情况来设置对后台服务器及PC机的访问控制规则设置。