C114门户论坛百科APPEN| 举报 切换到宽版

亚星游戏官网

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

亚星游戏官网-yaxin222  上尉

注册:2005-4-14
发表于 2005-4-21 09:40:00 |显示全部楼层
我企业基于Lotus Notes的办公自动化系统得到全面应用,基本实现了无纸化办公。OA系统运行在两台IBM Netfinity服务器上,其中一台作为主服务器,另外一台作为备份和邮件服务器。由于外出的员工需要访问OA系统来查询资料、汇报工作、收发邮件等,必须保证其随时能够通过互联网安全地访问OA服务器。
企业申请了一根ADSL专线接入互联网,用于移动办公和员工的上网。电信部门给大家的接入网段分配了一段10.x.x.x的私有地址。为了保护内部网络不受来自互联网的攻击,大家选用了东软的Neteye防火墙2.0。最近大家又将Neteye防火墙从2.0升级到3.0,并安装了入侵检测系统Neteye IDS。Neteye防火墙具备完善的身份鉴别、访问控制和审计能力,支撑双机热备份,图形管理界面灵活方便,性能价格比高。
防火墙的外网、DMZ、内网的IP地址分别设置为10.x.x.101、192.168.2.0、130.20.30.5(本文的IP地址均为假设,与实际环境不同)。邮件服务器、主OA服务器地址分别为192.168.2.7和130.20.30.8。申请的邮件服务器的公有地址为202.x.x.21。以下对防火墙的具体使用进行说明。
为了保证内部办公网络的安全,定义了防火墙访问规则严格限制数据流向:
1、将邮件服务器连接在防火墙的DMZ区,由它作为中继服务器接受移动用户的访问请求包,并转发到防火墙内网上的主OA服务器。其他由DMZ区访问内网的IP包防火墙一律予以拒绝并丢弃;
2、对于来自互联网的访问,仅允许目的地址为202.x.x.21、访问特定端口的IP包进入防火墙的停火区(DMZ)访问邮件服务器。
防火墙的网络地址转换(NAT)功能能够屏蔽内部网络细节,可以极大地提高网络的安全性。大家定义了三条NAT规则:
  1、外网到DMZ的规则将邮件服务器的外网IP地址10.x.x.10转换为其实际地址192.168.2.7。移动用户通过邮件服务器公有地址202.x.x.21访问邮件服务器,由电信网络将其转换为10.x.x.10;
  2、DMZ到内网的规则将主OA服务器的地址由192.168.2.8转换为其内网地址130.20.30.8;
  3、内网到DMZ的规则,将邮件服务器的地址由130.20.30.7转换为其实际地址192.168.2.7,实现内网用户对邮件服务器的访问。
在以上的使用环境下,移动用户的认证和传输加密由OA系统实行。因此,移动用户必须正确进行客户端App的安全性设置以保证传输安全。虽然Notes提供了完善的安全机制,但由于Notes的加密强度不够,在安全方面存在弱点。随着VPN产品的成熟,近期大家进一步采用了基于标准IPSEC协议实现的Neteye VPN2.0系统。使用VPN系统后,可以提高数据的保密性、完整性,有效加强抗DoS攻击的能力,并且能够对针对不同的移动用户应用不同的规则,实现更精细的访问控制。使用VPN系统后,还能够支撑向移动用户开放除OA系统以外的更多服务。
采用VPN系统后,防火墙通过VPN网关接入互联网,同时在移动用户端安装VPN客户端App。移动用户拨入互联网后,首先启动客户端App与VPN网关协商建立加密安全通道,并从VPN网关下载访问控制规则,然后启动OA客户端App即可正常访问OA系统。
由于NAT会改变IP包头导致IP包无法通过认证,而Neteye VPN系统目前在移动客户端和VPN网关之间尚未采用TCP/UDP封装技术来支撑二者之间的NAT,所以VPN网关必须使用公有地址,同时需要在IP地址分配上相应地进行改变。大家向电信部门新申请了一段公有地址,将邮件服务器的公有地址由202.x.x.21改为61.x.x.51,VPN网关的外网地址设为61.x.x.50,内网地址设为10.x.x.100。防火墙的地址分配不作改变,将外网的缺省路由改为VPN网关的内网地址10.x.x.100。
为保证平滑过渡,大家同时在VPN网关上定义一条外网到内网的NAT规则,将61.x.x.51转换为10.x.x.10,未安装VPN移动客户端的用户可以通过地址61.x.x..51访问邮件服务器。安装了客户端App的移动用户在建立与VPN网关的安全通道后,直接通过地址10.x.x.10访问邮件服务器。  
通过采用防火墙和VPN设备,实现了移动办公用户的认证和传输数据的认证、加密,确保了系统和数据的安全
亚星游戏官网-yaxin222亚星游戏官网-yaxin222

举报本楼

本帖有 1 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图  

GMT+8, 2024-11-14 15:18 , Processed in 0.155028 second(s), 16 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部
XML 地图 | Sitemap 地图