安全网关部署方案

安全网关部署方案
随着企业网络的普及和网络开放性，共享性，互连程度的扩大，网络的信息安全问题也越来越引起人们的重视。

一个安全的计算机局域网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。

计算机局域网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全。

这样，局域网络信息安全问题就成为危害网络发展的核心问题，与外界的因特网连接使信息受侵害的问题尤其严重。

目前局域网信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。

另外域网内部的信息安全更是不容忽视的。

网络内部各节点之间通过网络共享网络资源，就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下，因此造成信息泄漏；甚至存在内部人员编写程序通过网络进行传播，或者利用黑客程序入侵他人主机的现象。

因此，网络安全不仅要防范外部网，同时更防范内部网安全。

因此，企业采取统一的安全网关策略来保证网络的安全是十分需要的。

一个完整的安全技术和产品包括：身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等；而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。

安全网关是各种技术有机融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤，对保护计算机局域网起着关键性的作用。

安全网关部署拓扑图：（图1）
上图为安全网关部署示意图，包含了组建局域网网的基本要素。

下面对其各个部分进行讲解。

一、安全网关接入网络。

安全网关一般具有2个W AN口以及4个LAN口。

如上图所示，外网IP为221.2.197.149，连接网线到W AN口上。

LAN的口IP地址是可以自由设置的，图中设定的2个LAN口的IP为192.168.0.1（局域网用户）以及10.0.0.1（服务器用网段）。

另外安全网关具有了无线网络功能，分配IP地址为192.168.10.1。

下面对上述接入方式进行详细说明。

1.路由NET部署
图一所示接入方式即为路由NET部署拓扑图。

安全网关设备部署在网络的出口位置，实现路由、NAT转发功能。

同时可以开启Qos （流量）控制、URL过滤、IM限制等功能，这种部署模式是最为常见的部署模式，应用客户最多。

2. 透明模式部署拓扑图
透明方式的部署模式应用场景也比较广泛，特别是在客户有Qos（流量控制）URL过滤、IM控制等需求，而且用户的网络环境已经比较完善（已有网络出口设备）。

此时，可以用安全网关代替路由器（路由NAT部署）或者直接将安全网关透明部署到路由器之后。

透明部署的最大优点是不需要改变用户现有的网络环境的同时，仍然能实现相应的所需功能。

3、双链路部署拓扑图
如上图所示，双出口网络环境，2个WAN口分别连接外网221.2.197.149以及ADSL接入方式的网线。

如果客户要求通过不同的链路接入internet。

则可以在安全网关上通过源路由来实现。

4、无线网络功能。

如用户具有无线上网条件，则可开启无线上网功能。

无线上网最大的特点就是方便。

只要用户设备上装有无线网卡，在安全网关无线网络覆盖的范围内，即可无线上网。

例如企业领导有无线上网笔记本的话，则可随时随地进行移动办公。

二、安全高效的VPN功能。

交换机VPN接入方式有两种，一种为远程接入，代表为SSL VPN 另一种为点对点接入，代表为IpSec VPN,具体接入方式如下图所示：
1．点对点接入（代表为IpSec VPN隧道）
上图中蓝线为点对点接入VPN模式，下面介绍下这个模式下最常见的IPSec VPN隧道。

IPSec 基于端对端的安全模式，在源IP 和目标IP地址之间建立信任和安全性。

通常，两端都需要IPSec 配置（称为IPSec 策略）来设置选项与安全设置，以允许两个系统对如何保护它们之间的通讯达成协议。

适用场景：公司有分支机构，总部和分支机构之间需要共享公司内部资源，比如服务器在总部，分支需要跟总部服务器同步、存取数据。

对于不经常更改网络结构的用户来说是非常好的选择。

特点：IpSec VPN引进了完整的安全机制，包括加密、认证和数据防篡改功能,比DNAT（发布服务器到公网）更安全、跟高效。

比租用专线更便宜。

2、远程接入（代表为SSL VPN隧道）
上图绿线为远程接入模式，下面介绍下这个模式下最常见的SSL VPN隧道。

SSL VPN即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。

适用场景：由于SSL VPN不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响，穿透能力强。

因此对网络复杂的
环境或经常变动网络结构的用户或企业是一个很好的选择。

特点：与复杂的IPSec VPN相比，SSL VPN通过简单易用的方法实现信息远程连通。

任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。

安全网管中心，为网络提供全天候的监控管理。

却由于SSL协议本身的局限性，使得性能低于使用IPSec协议的设备。

三．局域网的保护伞，安全网关防火墙及应用控制。

安全网关的防护功能主要体现的2个功能模块：安全网关防火墙模块，以及应用控制模块。

通过调节设置这2个功能模块，可以对局域网安全进行防护。

防火墙包含基本的安全防护、访问控制、服务设置、时间段、虚拟IP、网站过滤。

完成对用户的访问控制、对外服务提供、网页内容控制、等功能。

一般安全网关防火墙会集成某一知名品牌的杀毒软件作为防火墙，如卡巴斯基，金山等。

并提供定时的杀毒软件升级。

应用控制则是对一些应用软件进行控制。

如msn、qq、pplive、迅雷等。

通过对其设置，增加局域网的安全性，限制一些P2P等浪费宽带资源的软件
四、安全网管中心，为网络提供即时监护与维修。

安全网管中心作为一个远程维护中心，主要作用是确保局域网的正常运转使用。

在初期组建局域网期间提供安全有效安全网关策略来保证网络的安全，并于以后局域网出现问题或局域网结构发生变化的用户，通过远程登录在该用户的安全网关进行检查修改配置，帮助用户解决问题。

另外提供安全网关软件的定时更新与维护。

保证局域网的安全性。