根据东方邦太现实的网络结构,根本无法做到前台应用和后台数据服务的安全隔离,同时网络安全设备缺失或功能不足,造成网络安全性很低,网关极易被攻破,一旦网关受到攻击,整个网络就暴露在黑客面前,重要数据将很容易遭到致命破坏甚至泄密,为了提高整个网络遭遇攻击的抵抗与保护能力,提出一下解决方案:

二.产品解决方案

根据需求,我们分析,网络安全的重点在于后台数据服务器,也就是说,只有被授权的两台前台应用服务器提出的数据请求,才给予应答,而其他任何非法用户的请求都被驳回,并保证后台数据服务器不受任何黑客与网络攻击的影响。通过这样的分析，我们规划出一套新的网络拓扑，既不改变原先网络构架，又能最有效的达到以上需求

在图中，可以清晰的看到，我们在前台应用服务器和后台数据库服务器之间放置了一台专业级utm防火墙，将前台和后台之间的数据通道分割开来，任何需要通过此通道的数据和请求都要经过严格的七层深度的数据包过滤，保证了数据访问的安全可靠性；另一方面也通过防火墙将办公网络与为公网提供服务的区域相互隔离，保证了内网的安全和稳定，进一步的提高了网络的安全性能。

在拓扑中，我们可以看到，推荐的防火墙为国际知名品牌美国sonic wall公司推出的多核utm（统一威胁管理）网络安全防火墙。

sonicwall 互联网安全设备可保护存储在专用网络上的机密信息免遭黑客的窃取。一体化 sonicwall 互联网安全设备可提供带有国际计算机安全协会 (icsa) 认证防火墙的最先进网络接入安全，来检测并阻止所有已知的黑客与拒绝服务 (dos) 攻击。 sonicwall 互联网安全设备还支持无缝集成不断增加的各种增值安全服务。 

sonicwall 互联网安全设备采用全状态包检测防火墙技术，以最有效的方式来保护网络接入。全状态包检测技术跟踪每一个穿越防火墙的数据包并确保其合法。它还能监视连接状态并将信息汇编至一张状态表中，以确保每一数据包的源、目的地有效。 sonicwall 互联网安全设备具有： 

全状态包检测 (stateful packet inspection  ) 技术跟踪每一个穿越防火墙的数据包并确保其合法。它还能监视连接状态并将信息汇编至一张状态表中，以确保每一数据包的源、目的地有效。这种企业级技术被设计到每台 sonicwall 互联网安全设备中。 

网络地址转换 ( network address translation (nat)  ) 是一种用单个公共 ip 地址来代替您内部计算机的 ip 地址以避免其暴露的技术。 

监视与报告 ( monitoring and logging ) 可保存重要的攻击记录，以帮助您分析您的安全需求并为您提供有关防火墙性能的反馈。

具体产品功能：

随着技术的发展，各种入侵和攻击从针对tcp/ip协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击，如针对windows系统和oracle/sql server等数据库的攻击，这些攻击和入侵手段封装在tcp/ip协议的净荷部分。传统的防火墙设备如第一代的包过滤防火墙，第二代的应用代理防火墙到第三代的全状态检测防火墙对此类攻击无能为力，因为它们只查tcp/ip协议包头部分而不检查数据包的内容。因此，先进的防火墙除了应该具有必需的状态检测防火墙功能外，还应该支持网关防病毒、入侵防御（ips，不同于入侵检测ids）、间谍软件扫描等功能。另一方面，针对内部员工的上网行为[如网络聊天、网络下载、网页内容访问等]的合理管理也是一个必需 ，因此在防火墙上必须整合url内容过滤，及时消息（im，如ＭＳＮ，ＱＱ）和对等应用（Ｐ２Ｐ，如ＢＴ，迅雷下载）的控制，提高员工的工作效率。另外，由于远程安全连接的需要，防火墙上必须集成vpn功能。

由于当前主流网络应用系统未来对网络语音系统voip的要求与日俱增，考虑到将来的扩展性和兼容性，防火墙必须与主流的Ｈ.323和 sip标准的ＶｏＩＰ设备保持良好的兼容性。

防火墙的总体要求入下：

防火墙的功能必须国际标准icsa的认证。

防火墙vpn功能必须通过国际标准icsa认证

vpn必须支持des/3des/aes硬件加解密

vpn的3des/aes吞吐量不低于 150mbps，点到点vpn隧道数不低于50条，自带vpn客户端授权不低于25个

防火墙必须支持拦截最基本的防病毒(如netsky ,zotob等)并具有入侵防护功能（如ddos,ms05-039漏洞)，最好是自有技术，实现高效率的深度包检测,

防火墙状态检测吞吐量不低于600mbps ，并发连接数不低于35000，新建连接数可以达到每秒2000条

支持至少3个千兆接口、4个以上 10/100m接口，以及相应的备份接口和控制端口

防火墙设备开启部分防病毒和ips功能后的混合吞吐率可以达到100mbps以上

考虑到网络应用系统对防火墙性能的要求，防火墙深度包检测必须是基于“多核”专用安全处理器并行处理，采用的是基于asic或者np架构的硬件平台。不能采用通用的intel x86架构，必须有tcp硬件加速，专用正则表达式处理器等加速处理器

vpn功能必需支持nat穿越，且支持最新的第3版本，不支持视为重大性能缺失

防火墙必须支持应用层防火墙功能，可针对应用层协议和传输内容做自定义规则，并可自定义ips签名

在防火墙开启网关防病毒，入侵检测、反间谍软件等功能开启的情况下，防火墙上不能限制透过防火墙传输的文件的大小。限制文件大小视为重大功能缺失

为提高防火墙的安全性，内建于防火墙内的网关防病毒、入侵防护、反间谍软件必须能扫描足够多的网络协议，传统的http/ftp/smtp/pop/ima/netbios over tcp/ip是必须的，能够做到基于tcp流的扫描最佳，即能扫描任何基于tcp/ip的协议上的文件传输。不能识别更多协议的视为重大功能缺失

为净化网络内容，防火墙上必须支持网页内容过滤。必须支持800万种以上的url内通记录及不小于50种以上的内容分级

为管理上网行为，防火墙上的ips（入侵防护）功能必须通过应用层协议分析真正封堵诸如qq（含beta版）/msn/skype等实时聊天工具，必须能够真正封堵诸如bt/edonkey／qq download/迅雷下载　等对等应用，并针对不同ip做不同的策略

网关防病毒、入侵防护、反间谍软件的特征库必须是自动维护方式，即不需任何人工干预，后台自动升级。

防火墙必须完美支持网络语音视频，支持h.323 v1-5,支持sip，缺一视为重大功能缺失

防火墙本身支持无线接入，可以作为无线接入点（ap)使用

支持基于mac对象的防火墙访问控制策略

支持基于url对象的防火墙访问控制策略

防火墙必须支持完善的日志记录

防火墙必须有完善的管理、审计平台

防火墙强功能要求：

支持nat和桥接的混合模式

支持灵活的策略。包含防火墙策略，vpn策略，防病毒策略，内容过滤策略，时间策略，组策略

支持策略路由 

支持多对多的nat、pat

防火墙支持主-主模式——wan口负载均衡

防火墙支持主-被模式——wan口冗余

防火墙支持双wan口冗余自定义探测方式

防火墙支持高可用性（ha）

防火墙必须支持动态路由协议ospf/rip v1/v2

防火墙支持802.1p 和dscp映射，实现跨越wan和vpn的端到端qos

防火墙支持smtp rbl（实时黑名单）：

防火墙设备的病毒库签名数大于20000个

对通过防火墙并能进行病毒扫描的文件大小没有限制

防火墙同时扫描的文件数目没有限制（达到开启ＵＴＭ功能防火墙最大的并发连接数）

防火墙不仅扫描来自internet的病毒，对企业，组织等内网各个部门之间的流量进行病毒扫描，防止病毒在内网之间扩散

防火墙支持的防病毒功能必须有完善的日志记录。 

防火墙支持基于多核专用安全处理器并行处理，ips开启保持高的网络速度

防火墙支持的入侵防御功能必须支持检测和防御功能

防火墙支持检测超过3000种以上入侵行为

防火墙支持入侵防御必须支持策略控制，对不同网段的用户可以有不同的强制策略

防火墙支持的入侵防御除支持常用五大协议之外，还应该支持所有基于tcp/ip的应用层协议上的入侵检测，即能做到基于tcp流的入侵检测

为实现网上行为管理功能，防火墙支持必须能真实有效地控制im/p2p应用，如msn,　qq download，ＢＴ，迅雷下载等等

防火墙支持不仅扫描并阻挡来自internet的入侵行为，对企业，组织等内网各个部门之间的流量进行入侵扫描，防止来自内部的入侵

防火墙支持的入侵防护特征库必须支持实时在线升级，且不需要人工干预 

防火墙的特征库的升级必须是以每小时为计时单位 

防火墙支持的入侵防护功能必须有完善的日志记录

防火墙能识别50多种网络应用协议

防火墙支持3000+ 反间谍软件特征码

防火墙支持扫描网页里的activex 插件，检测可能隐藏在activex插件里的间谍软件

防火墙支持扫描邮件附件，下载文件中可能隐藏的间谍软件

防火墙支持阻断内部机器间谍软件与internet服务器和黑客的后台通信

防火墙支持特征库自动升级，升级频率以每小时为单位

防火墙支持的网页内容过滤必须支持海量的url类别过滤，最好在800万种以上

防火墙支持的url过滤必须分类细致，最好在50种以上

防火墙支持的所有内容过滤能实现灵活的基于用户的访问策略控制

防火墙支持的内容过滤必须有详尽的日志记录 

防火墙支持内建组vpn策略

防火墙支持支持ike和手动密钥，vpn可选主模式/野蛮模式，并且支持des/3des/aes加密，支持md5/sha1认证，dh 组支持1、2、5

防火墙支持支持vpn网关冗余，nat穿越（v03），支持hub-and-spoke的vpn

防火墙支持支持rip（v1/v2）

防火墙支持支持基于动态ip的vpn，保持激活和dpd，中央通道模式，分离通道模式，阻塞通道模式等功能的支持

防火墙支持支持本地和远程用户认证

防火墙支持的vpn客户端必须实现零配置，即ＶＰＮ客户端软件策略的自动分发技术，减轻管理员负担

防火墙支持干净的ＶＰＮ功能，数据进／出ＶＰＮ隧道有两次机会进行病毒，入侵，间谍软件的扫描，尽力确保这些应用层的安全威胁不能通过ＶＰＮ隧道在总部与分支之间传播