服务器发布到公网中使用，在I
ter
et外部环境下，存在被不法分子攻击、入侵及篡改企业安全数据信息。企业内部终端在无约束条件下，随意访问、下载网络上的资源，其中大量的网络资源没有经过安全验证，可能带有病毒、以及资源版权纠纷等问题。企业内部网络环境在没有做流控管理的情况下，造成一部分人占用大部分网络资源，
316
f而其他人无法使用网络资源正常办公，不利于企业所有人员使用网络资源正常办公。企业内部终端在无行为管理情况下，若访问带有宗教信仰、反人类、反政治等网站，
以及个人发布不恰当的言论等，企业需承担网络提供者的连带责任。企业内部终端电脑无管控情况下，用户私自安装、卸载未经批准的软件，私自拷贝
企业机密文件，篡改电脑信息，给企业带来经济损失等等。企业内部终端无杀毒软件防护，在网络开放时代，易于感染钓鱼、勒索等病毒。且
企业局域网处于一个网络环境下，病毒可扩散到全公司电脑。企业中重要数据文件的保护与备份机制，数据文件存在被内部人员私自删除、病毒
入侵干扰以及天灾造成的数据损坏及丢失。
2需求分析
21现有网络拓扑图
22规划需求加强I
ter
et对企业内部应用服务器的访问，通过服务访问规则策略、验证工
具、包过滤和应用网关等管控，从而保证内部网免受外部非法用户及病毒的入侵。建立总部与工厂之间的安全、加密的虚拟专用网互相访问认证机制。
416
f针对用户使用网络访问I
ter
et资源的管控，建立安全、合法的访问规则以及流控的管理，让所有用户正常使用网络办公。
内部网络的vla
的划分，避免局部广播风暴造成的整体网络瘫痪。加强对用户电脑账户密码的管理以及共享文件夹的分级权限管理，限制用户私自
安装、卸载软件，修改注册表、IP，U盘使用权限管理。建立企业杀毒管理方案，通过局域网定时批量更新计算机病毒库，保障所有电脑
及数据免受病毒侵犯。对公司服务器上各部门重要的数据文件，尤其是研发的设计、专利文件，进行异
地备份。
3解决方案
31防火墙方案目前总部ISP接入带宽为上行8M下行200M拨号光纤，工厂两条ISP接入，一
条为上下对等10M城域网（含公网静态IP），另一条为上行8M，下行为200M拨号光纤，两地通过IPSECVPN虚拟专用隧道互相通讯。且总部有外贸、电商、市场、营销等对网络资源要求较高的部门。建议采用集成具备防火墙、IPSECVPN、SSLVPN、防病毒、IPS入侵检测、双ISP接入等多种安全引擎功能的防火墙。针对防火墙做如下规则防护：启用IPS入侵检测r