1. 国旅上海分公司网络出口现状
国旅上海分公司网络拓扑如下图所示：
 
    国旅上海分公司网络平台已经搭建完毕，内部终端通过Internet出口连接外部网络，实时获取外部信息，企业业务通过网络出口进行，因此保证网络出口的安全至关重要， 而现在网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。目前安全设施的空缺导致网络缺乏足够的安全防护。
2. 国旅上海分公司网络出口安全建议
建立公网出口完善的网络安全层次：
 
图 INTERNET出口完善的安全层次
根据国际标准化组织ISO的OSI模型，网络通讯过程被分为7各层次，如果希望完善网络出口的安全层次，必须要对OSI网络通信模型的每一层进行覆盖，目前部署的防火墙其软硬件设计为工作在OSI模型的2-4层，为了完善网络出口安全层次，还需要部署入侵防御系统覆盖OSI网络通信模型的4-7层。
 防火墙
防火墙的作用是防止外部网络上的非授权用户访问内部网络，多数防火墙都可以有选择地保护一个或多个周边网络（也称为非军管区，DMZ）。防火墙对访问外部网络的限制最低，对访问周边网络非军管区的限制次之，对访问内部网络的限制最高，可提供三个不同层次的安全组网模式。
只有有效充分的利用防火墙和安全政策才能保证受保护网络（信任网络）和非保护网络（不可信任网络）之间所有流量的安全有效控制，这样防火墙在抵御外部网络对内部网络的攻击窃取的同时，还可控制内部网络用户是否可以合法的访问外部Internet，以及怎样借助防火墙提供的特性实施安全政策等。
防火墙保护网络的方法如下图所示，这种方法允许实施带外连接并安全接入互联网。
  
网络中的防火墙应用
在这种体系结构中，防火墙将形成受保护网络和不受保护网络之间的边界。受保护网络和不受保护网络之间的所有流量都通过防火墙实现安全性。防火墙允许用户在受保护网络内确定服务器的位置，例如用于WWW接入、SNMP、电子邮件（SMTP）的服务器，然后控制外部的哪些用户可以访问这些服务器，这些对服务器系统的访问可以由防火墙进行控制和监视。
防火墙一方面用于阻止来自Internet的对受保护网络的未授权或未验证的访问，另一方面允许内部网络用户对Internet在授权范围内的访问，如WWW服务、E-mail服务。现代的许多防火墙还具有其他的一些特性，包括身份鉴别、信息安全处理等。
IP层的包过滤通常使用到IP报文的源、目的地址、协议域及相应的源、目的端口、标志域等属性进行组合形成不同的包过滤规则，对IP报文进行过滤，从而决定某类报文能否被转发（通过防火墙）或被丢弃。同样，在Novell IPX和Apple AppleTalk协议中，也可相应地设置各自的包过滤规则。H3C系列防火墙提供了基于接口的包过滤，即可以在一个接口的进出两个方向上对报文进行过滤。同时还提供了基于时间段的包过滤，可以规定过滤规则发生作用的时间范围，比如可设置每周一的8:00至20:00允许FTP报文进入以完成必要的服务，而其余时间则禁止FTP连接。在时间段的设置上，可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用，在应用上具有极大的灵活性。并且这样的时间段可以方便地提供给其他的功能模块使用，如地址转换、IPSec等。
地址转换，用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了内部网络的实际地址；外部网络基本上不可能穿过地址代理来直接访问内部网络。
H3C系列防火墙实现的地址转换能够将网内用户发出的报文的源地址全部映射成一个接口的地址，与按需拨号相结合，使局域网内用户通过一台路由器即可轻松上网。H3C系列防火墙支持带访问控制列表的地址转换。通过配置，用户可以指定能够通过地址转换的主机，以有效地控制内部网络对外部网络的访问。 结合地址池，还可以支持多对多的地址转换，更有效地利用用户的合法IP地址资源。
H3C系列防火墙提供基于报文内容的访问控制，即智能防火墙，能够对应用层的一部分攻击加以检测和防范，包括对于SMTP命令的检测、SYN flooding、Packet Injection的检测。
智能防火墙不但对报文的网络层的信息进行检测，还对应用层的协议信息（如FTP）进行检测。当报文通过路由器时，智能防火墙将报文与指定的访问规则进行比较，如果规则允许，报文将接受检查，否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接，智能防火墙将动态的修改或创建规则，同时更新状态表以保存不能由访问列表规则保存的重要的状态信息，从而允许与新创建的连接相关的报文。对于回来的报文只有是属于一个已经存在的有效的连接，才会被允许通过防火墙。在处理回来的报文时，状态表也需要更新。当一个连接被关闭或超时后，该连接对应的状态表将被删除。动态生成的规则不会被存储到FLASH或NVRAM中，确保未经授权的报文不能随便透过防火墙。
智能防火墙还提供了增强的跟踪审计功能。可以对所有的连接进行记录，包括：记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。


2网络安全部署模式以及设备选型
综上所述根据河北省检察院办公网现有网络情况，建议未来网络安全部署模式如下：

1.                                                                                                                                                                                                                                                                                                              根据国旅上海分公司网络出口带宽100M<500M，我们建议选择H3C SECPATH F100-S和H3C IPS 50产品组合完善国旅上海分公司的网络出口安全层次：

SECPATH F100-S

据XX客户网络出口带宽100M<500M，我们建议选择H3C SECPATH F100-A和H3C IPS 50产品组合完善XX客户的网络出口安全层次：
SECPATH F100-A

1.                                                                                                                                                                                                                                                                                                              据国旅上海分公司网络出口带宽100M<500M，我们建议选择H3C SECPATH F100-E和H3C IPS 50产品组合完善国旅上海分公司的网络出口安全层次：

SECPATH F100-E

文章来自:it33 链接:http:\\www.it33.com