目 录

1.    方案概述... 3

1.1.   公司简介... 3

1.2.   xxx有限公司系统所达到的效果... 5

1.3.   推荐产品... 5

2.    需求分析... 5

2.1.   xxx有限公司网络架构... 5

2.2.   客户近期需求... 5

2.3.  xxx有限公司安全防护范围... 6

3.    产品部署... 6

3.1.   产品部署表... 6

3.2.   产品部署... 6

3.2.3.     防火墙产品部署... 12

3.2.4.     安全产品总体部署... 13

4.    sonicwall优势... 15

广东xxx有限公司（以下简称xxx）希望安全优化后，能够达到以下效果：

ø         部署硬件防火墙,保护系统不受到外部攻击,基于tcp、udp、icmp等攻击，有效控制内部网络的访问。

ø         通过硬件防火墙的vpn功能实现xxx和各个分部数据访问;

ø        在总部提供将内部的mail,web服务器供internet访问;

基于上述原则及对该领域技术发展前景、产品的性价比等综合因素，桑威科技建议xxx计算机网络采用如下产品配置：

ø         sonicwall 2040

由于xxx涉及文件服务器、web服务器、mail服务器，客户端，分为总部和各个分支机构，在总部有pc100台，涉及web服务器、mail服务器、客户端,没有使用vpn。在各个分支机构的pc数量不等。            

ø             抵御外部攻击，目前客户没有部署防火墙，希望部署后，能够抵御外部黑客的攻击，是企业mail，web，客户端免受来至internet的巨大威胁。

ø             客户有固定的ip，将mail，web服务器internet访问。

ø             为有效实现总部和分支的数据共享，通过vpn建立安全通道，时时、无忧的访问数据。

ø             分支机构通过vpn对总部mail、web、erp、oa和重要资源的访问。

ø             总部和分支通过vpn还能防病毒等软件的统一部署。

   基于以上分析，xxx保护的对象是：

l         处理来自internet非法内容、非正当服务；

l         处理内部访问internet的内容；控制访问用户；

l         跨区域数据访问-vpn;

基于对xxx网络架构及应用系统的分析，建立vpn，建议xxx采用以下安全产品：

产品功能及用途

产品名称

部署建议

防止来自internet攻击，内部访问控制，vpn访问；

sonicwall 2040

部署在xxx总部internet入口处

l         部署条件

1．  总部提供具有静态ip的isp线路。

2．  分支机构提供具有静态ip或动态ip的isp线路。（最好是静态ip）

l         部署的位置

1．  在总部部署sonicwall 2040,在internet的入口处。

2．  在分支机构pc数量较多的机构部署sonicwall tz 170, 在internet的入口处。

3．  在分支机构pc数量较少的机构部署sonicwall vpn clinet。

l         在总部的配置

1．  在总部防火墙，配置网络参数。

2．  建立相应的访问规则，用以实现对内部用户和外部用户的访问控制。

3．  在总部防火墙，做nat，实现mail，web供外部访问，并配置相应访问规则。

4．  建立site to site vpn，实现总部和分支机构通过vpn对数据的访问。

5．  建立client to site vpn，实现单一客户通过vpn对总部数据的访问。

l         在分支机构的配置

1．  如果分支机构需要部署防火墙（主要由分支的网络规模决定），配置网络参数。

2．  在分支机构防火墙，配置site to site vpn，实现总部和分支机构，分支机构和分支机构通过vpn对数据的访问。

3．  在分支机构防火墙，建立相应的访问规则。

4．  建立相应的访问规则，用以实现对内部用户和外部用户的访问控制。

5．  如果分支机构的客户端很少，则部署sonicwall vpn client，实现单一客户对总部数据的访问。