正在阅读：免疫网络 详尽的网络安全策略加固企业网免疫网络 详尽的网络安全策略加固企业网

　　成都航利科技集团有限责任公司于2004年6月正式组建成立，是成都航利（集团）实业有限公司为适应民品发展的需要，整合军工企业下属民品行业组建而成的全资大型高新科技、多元化投资的民品管理公司，总资产逾8亿元，是2005年全国用户满意单位。

　　集团网络出现了卡滞、掉线的问题，于是想到要增加带宽，网络部的秦工了解到欣向是唯一能做到带宽叠加的，于是电话打到了欣向成都办事处。通过沟通，欣向的武工对航利集团的网络情况有了初步的了解，带宽增加固然会提高网速，对网络使用会起到积极作用，但是其网络中的安全管理隐患更是急需解决的。

　　一、现有环境

　　终端用户：服务器3台，终端PC机100台

　　外网带宽：两条3M电信ADSL，马上再增加三条3M电信ADSL。

　　防火墙：SECCN VPN防火墙，有外部员工要通过VPN访问内部服务器

　　核心交换机：华为S3500，未做任何策略（当二层的使用）

　　二、存在问题

　　1、网络设备杂乱，没有统一的管理方法，出现问题挨个查看，很难确定问题原因；

　　2、网络流量管理不到位，带宽管理效果不好，网络带宽资源未充分利用，常出现带宽不足导致网络卡滞；依据IP的网络边缘设备带宽管理不准确，效率低，一次发现某个IP流量很大，结果发现这个IP并未开机，伪造真实身份的网络流量根本不能控制；

　　3、内网存在安全隐患，无有效的防御手段，会因为内网病毒（如DDOS、ARP）等引起网络卡滞、甚至掉线；

　　4、网络访问的不稳定也影响到VPN的使用，造成了无法保证外部员工通过VPN正常访问内部服务器。

　　三、问题根源

　　企业网络问题频出，很多并不在于网络设备的高级、低级，也不在于防火墙、杀毒等手段的实施，它的根源就在于以太网协议存在先天漏洞、不擅长管理这两大弊端。一旦这个弊端被黑客利用，内网的每一台PC都可能成为攻击源，从内网发起攻击。而PC被感染的途径太多，访问网页、收邮件、聊天下载、移动笔记本、插U盘等等，都可能中招，防不胜防。统计数据表明，网络问题80%是内网引起的，就是这个原因。

　　在认识到这些问题后，航利的秦工又详细的问了欣向武工解决方案，并最终选择了欣向免疫墙路由器NuR8555M做为核心接入设备，通过免疫墙路由器NUR8555M进行免疫网络的部署，堵住内网基础安全漏洞，并约了上门时间，通过实地的实施部署并进行了如下的策略设置：

　　财务部：192.168.1.2-192.168.1.10，严格控制财务和内网间传输应答。实现保证财务电脑的安全性，安全策略较严格。启动过滤ARP欺骗、最大ARP探寻个数 2、最大ARP应答个数 3、启动过滤虚假MAC、启动过滤虚假IP、启动拦截IP分片包、内网SYN限制  100、公网SYN限制  50、超大ping包过滤 64。流量控制为，内网上传限速 1MB、内网下载限速 1MB、公网上传限速 30KB、公网下载限速 50KB。

　　管理部：192.168.1.11-192.168.1.40，策略较宽松，不影响别人使用的情况下，满足高速使用。启动过滤ARP欺骗、最大ARP探寻个数 20、最大ARP应答个数 40、启动过滤虚假MAC、启动过滤虚假IP、启动拦截IP分片包、内网SYN限制  300、公网SYN限制  200、超大ping包过滤 128。流量控制为，内网上传限速 10MB、内网下载限速 10MB、公网上传限速 50KB、公网下载限速 200KB。

　　服务器:192.168.1.41-192.168.1.43，供内部员工使用，只留常用端口，其余端口全部封闭，防止被利用端口进行漏洞攻击，内网流量不限制，满足提供服务的需要。启动过滤ARP欺骗、最大ARP探寻个数 100、最大ARP应答个数 200、启动过滤虚假MAC、启动过滤虚假IP、启动拦截IP分片包、内网SYN不限制、公网SYN限制  10000、超大ping包过滤 128。流量控制为，内网上传不限速 、内网下载不限速、公网上传限速 100KB、公网下载限速 400KB。

　　普通员工：192.168.1.44-192.168.1.100，依据员工办公对网络的要求进行限制，并进行不允许用BT，不允许上QQ游戏，通过URL过滤和IP过滤禁止访问特定网站（开心网、校内网等）的简单访问控制。启动过滤ARP欺骗、最大ARP探寻个数 5、最大ARP应答个数 10、启动过滤虚假MAC、启动过滤虚假IP、启动拦截IP分片包、内网SYN限制  200、公网SYN限制  100、超大ping包过滤 128。流量控制为，内网上传限速 10MB、内网下载限速 10MB、公网上传限速 30KB、公网下载限速 100KB

　　这样，全网终端都有了攻击拦截、安全控制、细化到内、外网流量的带宽限制、有效地填补了以太网的安全漏洞，使公司网络具备了主动防御和管理的能力，在原来的基础上大大提高了稳定性和可靠性，彻底改头换面，全网尽在掌握！

　　部署完成后，航利的秦工看着现在的效果，一个劲儿的说：“开始咨询你们的产品只是为了带宽叠加，没想到你们不仅把我的带宽叠加起来了，更是解决了我们公司多年的网络问题，真是无心插柳柳成荫啊，太巴适了！”