文档介绍:网络安全等业务的详细设计(防火墙方面)
根据业务和管理的安全性需求,科讯企业的网络安全要求是非常高的!由于 公司是做软件开发,所以安全需求如下:
•内部员工可以访问DMZ区域的FTP服务器进行资料下载,且可以访问外 网。
DMZ区域服网络安全等业务的详细设计(防火墙方面)
根据业务和管理的安全性需求,科讯企业的网络安全要求是非常高的!由于 公司是做软件开发,所以安全需求如下:
•内部员工可以访问DMZ区域的FTP服务器进行资料下载,且可以访问外 网。
DMZ区域服务器资料尤为重要,且需对外提供服务,虽做有一定安全措 施,但为做到万无一失,所以在内网部分须有一服务器对DMZ区域的所 有资源进行备份。
外网可以正常访问DMZ区域服务器。
•外网不能直接访问内网。
•除了 DMZ区域所提供的服务之外,所有的其他一切无关端口均需关闭。
这些策略主要在防火墙设置。做这一步之前,先将内网的拓扑全部架设完成, 再将防火墙置于与外网相接的位置,完成内网与外网的互联。另外在本企业网设 计中为了更简洁方便使用,没有过多安装软件,所以没有只能完成基本的防火墙 设置。
防火墙是必不可少的安全设备,由于cisco路由器提供强大的ios系统,可以 在cisco的路由器上实施基于包过滤的防火墙,防火墙主要是为了防止外部不法 用户对内部网络实施攻击,它对可疑的流量直接进行删除或丢包,以保证企业内 部环境的安全可靠。包过滤的防火墙是基于访问列表的,然后在对应的接口应用。
以下为防火墙的配置清单及模拟拓扑图(show run结果):
:Saved
PIX Version 8. 0 (2)
!
hostname pixfirewall
enable password 8Ry2Yjlyt7RRXU24 encrypted
names
!
interface EthernetO //配置inside接口
nameif inside
security-level 100
〃配置dmz接口
ip address 192. 168. 2. 1 255. 255. 255. 0
interface Ethernet 1
nameif dmz
security-level 50
ip address 192. 168. 4. 1 255. 255. 255. 0
interface Ethernet2 〃配置outside接口
nameif outside
security-level 0
ip address 58. 242. 1. 1 255. 255. 255. 0
!
interface Ethernets
shutdown
no nameif
no security-level
no imp address
!
interface Ethernet4
shutdown
no nameif
no security-level
no imp address
!
passwd 2KFQnbNIdI. 2KY0U encrypted
ftp mode passive
access-list 100 extended permit icmp any any 〃放行任何icmp
access-list 20