中煤化工集團(tuán)某省公司是集煤炭、化工、煤制油、頁巖油、城市燃?xì)馍a(chǎn)、銷售、輸送于一體的國有大型煤炭化工企業(yè)，是中國中煤能源集團(tuán)公司發(fā)展煤炭化工產(chǎn)業(yè)的基地和平臺。
據(jù)了解，該公司本部基礎(chǔ)網(wǎng)絡(luò)及信息機(jī)房建設(shè)于2007年，迄今為止，信息機(jī)房先后增加了財(cái)務(wù)、人力、銷售系統(tǒng)等的相關(guān)設(shè)備，與下屬單位建立專線連接，已構(gòu)成公司整體廣域網(wǎng)。但公司現(xiàn)有網(wǎng)絡(luò)存在很大的安全隱患，僅通過一臺防火墻訪問外網(wǎng)，現(xiàn)有設(shè)備無法滿足網(wǎng)絡(luò)安全需要。
   本次升級網(wǎng)絡(luò)安全體系的目標(biāo)是實(shí)現(xiàn)電子數(shù)據(jù)報(bào)送的安全、高效快速化，以期達(dá)到數(shù)據(jù)中心借助網(wǎng)絡(luò)進(jìn)行高效辦事、降低企業(yè)成本的目的，同時(shí)提升整體系統(tǒng)在應(yīng)用方面的綜合性，達(dá)到能夠靈活、快速、高效地完成下屬企業(yè)的報(bào)送信息，并對報(bào)送信息進(jìn)行綜合性分析，提供輔助決策功能，有效提高系統(tǒng)處理能力和業(yè)務(wù)效率。
安全需求
在網(wǎng)絡(luò)安全建設(shè)時(shí)，需要滿足以下幾點(diǎn)需求：
 安全性：業(yè)務(wù)數(shù)據(jù)的安全性要有足夠的保證。
 可靠性：由于整個(gè)業(yè)務(wù)系統(tǒng)均運(yùn)行在此專網(wǎng)上，因此要有較高的可靠性。
 先進(jìn)性：采用先進(jìn)、成熟的技術(shù)和主流、領(lǐng)導(dǎo)性產(chǎn)品，使網(wǎng)絡(luò)建設(shè)能適應(yīng)未來3-5年的需求。
 實(shí)用性：系統(tǒng)設(shè)計(jì)以實(shí)用性為原則，同時(shí)應(yīng)考慮到系統(tǒng)的開放性、可升級性、技術(shù)支持服務(wù)等能力。
 統(tǒng)一性：所有網(wǎng)絡(luò)安全產(chǎn)品需要確保系統(tǒng)兼容性。
經(jīng)過對該公司網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)分析，主要的風(fēng)險(xiǎn)集中在互聯(lián)網(wǎng)出口、分公司接入及核心業(yè)務(wù)系統(tǒng)安全防控方面。依照風(fēng)險(xiǎn)分析的結(jié)果，可以將該公司網(wǎng)絡(luò)劃分成上聯(lián)區(qū)、外聯(lián)網(wǎng)區(qū)、服務(wù)器區(qū)、辦公區(qū)。各區(qū)域之間通過核心交換機(jī)進(jìn)行數(shù)據(jù)交換。上聯(lián)區(qū)還保持原樣，不進(jìn)行改造。
 
企業(yè)網(wǎng)絡(luò)區(qū)域劃分
解決方案
整體解決方案采用的是業(yè)內(nèi)著名網(wǎng)絡(luò)安全廠商啟明星辰的安全產(chǎn)品，如圖所示。

   在外聯(lián)網(wǎng)區(qū)與核心交換機(jī)的邊界部署一臺千兆天清漢馬一體化安全網(wǎng)關(guān)，分別將互聯(lián)網(wǎng)出口和分公司專線接入連接到安全網(wǎng)關(guān)上，這樣可以使一體化安全網(wǎng)關(guān)作為邊界保護(hù)手段，同時(shí)起到防火墻、入侵防御、防病毒的作用，從而將絕大部分的異常行為阻擋在整個(gè)網(wǎng)絡(luò)外部，同時(shí)確保內(nèi)部辦公網(wǎng)絡(luò)和服務(wù)器區(qū)的正常運(yùn)行。
   在服務(wù)器區(qū)內(nèi)，首先部署一臺千兆天清入侵防御系統(tǒng)作為邊界保護(hù)手段，能夠降低異常行為對整個(gè)核心業(yè)務(wù)網(wǎng)絡(luò)的整體資源消耗，確保核心業(yè)務(wù)系統(tǒng)的正常運(yùn)行，同時(shí)對整個(gè)網(wǎng)絡(luò)內(nèi)的訪問行為進(jìn)行收集分析，監(jiān)控用戶對網(wǎng)絡(luò)的訪問情況；然后將互聯(lián)網(wǎng)出口替換下的防火墻部署在入侵防御系統(tǒng)的后面，通過配置訪問控制規(guī)則過濾訪問，減小對OA、郵件、財(cái)務(wù)、人力、銷售等系統(tǒng)的訪問范圍。
   在辦公區(qū)和服務(wù)器區(qū)的服務(wù)器及終端上，部署企業(yè)版防病毒系統(tǒng)，防護(hù)當(dāng)前所有類型的網(wǎng)絡(luò)攻擊（包括病毒、間諜軟件、黑客攻擊和垃圾郵件等等）。
在核心交換機(jī)上部署一臺千兆天玥業(yè)務(wù)審計(jì)系統(tǒng)，時(shí)刻監(jiān)視著對重要資源的訪問，當(dāng)出現(xiàn)安全事件后，能找出導(dǎo)致安全事件、性能波動的真正原因，幫助公司加強(qiáng)內(nèi)部網(wǎng)絡(luò)行為監(jiān)管，滿足企業(yè)內(nèi)部控制或者外部政策等合規(guī)性要求。
實(shí)踐心得
   在本案例中，通過在外聯(lián)區(qū)與核心交換區(qū)之間設(shè)置一體化安全網(wǎng)關(guān)，實(shí)現(xiàn)了對網(wǎng)絡(luò)層到應(yīng)用層的多重防護(hù)。該網(wǎng)關(guān)不僅具有防火墻的全部功能，同時(shí)可以檢測出封裝在有效數(shù)據(jù)內(nèi)的惡意威脅與攻擊，有效控制對企業(yè)網(wǎng)絡(luò)資源進(jìn)行濫用的IM、P2P軟件，充分保護(hù)網(wǎng)絡(luò)資源，一體化的設(shè)計(jì)及高性能更為客戶節(jié)約了大量的設(shè)備投資。
   在核心業(yè)務(wù)系統(tǒng)部署天玥業(yè)務(wù)審計(jì)系統(tǒng)，對原本沒有保護(hù)的核心業(yè)務(wù)系統(tǒng)進(jìn)行權(quán)責(zé)分配、分級管理，實(shí)現(xiàn)對內(nèi)部人員操作的合規(guī)性管理，避免由于內(nèi)部誤操作或違規(guī)行為引起的事故。
  通過針對全網(wǎng)風(fēng)險(xiǎn)點(diǎn)采用不同產(chǎn)品的組合應(yīng)用，形成了從網(wǎng)絡(luò)接入到業(yè)務(wù)監(jiān)管的全面安全防護(hù)，從內(nèi)到外大大提升了企業(yè)網(wǎng)的安全可靠性。