对集团企业拓展防火墙功能的研究.pdfVIP

…～蓥眵攀鞘戳缄黼剐黼甏囊曙l 对集团企业拓展防火墙功能的研究 王敏1，徐林2 (1，安徽5-业大学，安徽-5鞍山2430512，安徽省能源集团有限公司，安徽合肥243000) 摘要：防火墙在企业安全中是很重要的设备．其功能也越来越强，而日常使用中，常常只限制其作为网关和 安全隔离使用，仅仅应用了NAT转换、访问控制等一些基本功能。如何扩展应用防火墙，最大限度地提高其 实际使用效率，值得人们注意。作者以阿莫瑞特防火墙为例，结合某集团公司建设的具体案例，面对企业实 际发展需要，给出了解决方案，较为详细地说明了操作步骤．并对维护工作谈了一些建议。 关键字：规则；VPN；网段；防火墙 1现状概述 团和各下属企业的连接(见图1)。 网络初建时，只考虑和总部之间的联系，应用 现在很多企业都直接接人到INTERNET，并使 用防火墙作为主要的网关安全设备，实现内外网的 少，有些企业内网应用也少，只规划了一个网段，所 以，各下属企业只考虑了一个网段和集团连接。主 安全隔离。安徽某能源集团使用的全部是阿姆瑞 特防火墙系列。总部是F一300，各下属企业是F—要业务是WEB浏览、视频会议和少量的生产数据 传送。 lOOP，由于没有专线，是通过带宽10M的INTER— 圈1皖能集团VPN网络拓扑圈 ——497—— 爹獭戮黼黼黼黼受域 中选择对应的密钥；4)在“路由设置、主路由”中，建 2问题描述 立VPN路由；5)在过滤规则中添加到其他电厂的规 则，必须是成对的增加，即进、出各一条规则。设置 随着集团的发展，信息交流的增多，网络上的 完成，签出上传即可立即应用。 应用也不断增加，原来的结构和功能已不能满足需 要，先后出现了一些问题或新的需求。 如果版本低于8．50，则必须在第4、5步之间添 (1)网络结构改变，需增加与集团通信的网段。 加ACCESS允许(虚拟端口接收)。 原来只有一个网段和集团连接，现在已远远不够， (3)使用内置的PPl田功能，实际上就是移动客 需要增加网段。有些厂的信息应用快速发展，增加 户和防火墙之间的VPN接人问题。移动客户端的 了多个网段，也需要和集团通信。 接人，就用WINXP自带的网络连接功能，新建连接， 选择到工作场所，配置防火墙的公网地址，然后设 (2)新OA系统上马，需要各下属企业互通，增 加路由连接。随着集团办公自动化(OA)项目的实置密码即可。防火墙端则要配置“PfⅢ，／12TP服务 施，最早是和集团之间连接，随着应用的增多，需要 器”方式：1)在“局部对象、主机和网络”中新建用户 各厂之间互发邮件和信息传递。最初的方案是全 范围(地址池)，分配连人后可使用的IP地址范围， 部通过集团，由服务器中转，但开发难度大，也加重 如设置在能访问其他厂的网段中，客户端就可以访 了集团总部网络的负担。这时需要各厂之间直接 问整个网络；2)在“局部对象、主机和网络＼用户数 互通。 据库”中建立用户和口令，移动客户端的用户和密