中兴通讯ZXSEC十佳案例荟萃

　　4. 稳固屏障坚守天津北方教育网

　　网络系统说明:

　　天津北方教育网是天津市教育局直属单位，主要为天津的高校、中学提供服务。日用户访问量最高峰达到几十万个连接，总出口20M，提供游戏、电影、课件下载，bbs 论坛，Web 访问等服务。

　　网络配置:

　　天津北方教育网使用了两台ZXSEC US550，其中一台保护服务器，另一台保护内部局域网， 拥有60-100个用户。

　　1、 保护服务器(4-5 台)的ZXSEC US防火墙工作在透明模式;

　　2、 开放FTP、HTTP、SMTP、POP3、SQL Server 等服务;

　　3、 启用病毒检查和NIDS 功能，记录日志到远程;

　　4、 保护局域网的FGT 工作在NAT 模式;

　　5、 主要是使用从内部到外部的访问策略;

　　6、 开启NIDS 和病毒检查功能。

　　5. 打造中国教育电视台一体化的安全

　　网络系统说明:

　　中国教育电视台使用了两台ZXSEC US550，其中一台放在办公局域网(30 人以上)的出口(2M)，另一台放在其他局域网(100 人以上)的出口(2M)。

　　1、 两台设备都工作在NAT 模式下;

　　2、 使用的功能基本类似，启用DHCP 功能、病毒检查、NIDS、记录日志到远程;

　　3、 防火墙的输入-〉输出策略，控制内部用户上网;

　　4、 输出-〉输入策略，保护内部服务器，提供HTTP、FTP 和邮件服务。

　　6. 构建五城市华联超市营业网

　　网络系统说明:

　　采用ZXSEC US70 和ZXSEC US550，北京、上海、广州、成都和郑州五个点之间用ZXSEC US70构建一个环路的VPN网络，北京中心处放置ZXSEC US550 作为与外部网络信息交换的网关。

　　1、 策略控制;

　　2、 Web 内容和有害网页控制;

　　3、 网络攻击防御;

　　4、 内部主机NAT 地址转换;

　　5、 内部服务器地址和端口保护;

　　6、 分支机构和总部的VPN 安全访问。

　　7. VPN 专网稳定TCL 集团销售网络

　　网络系统说明:

　　TCL 集团销售公司是TCL 集团下属家电产品销售公司，在全国建立了168 个分公司和经营部，是TCL集团规模最大的销售网络。总部采用一条10M 电信光纤和一条100M 联通光纤， 20 多个分公司到总部均有512K-2M 速率的DDN 专线。140 多个经营部均采用ADSL 或宽带上网。

　　网络配置:

　　TCL 集团销售公司VPN 专网采用了两台ZXSEC US550， 10 多台ZXSEC US180，100 多台ZXSEC US70。其中一台ZXSEC US550专门提供VPN 接入，一台ZXSEC US550提供服务器保护和Internet 接入。ZXSEC US180和ZXSEC US70安装在各分公司和经营部，提供VPN 接入、防火墙、防病毒保护。具体实施如下：

　　1、 全部实施VPN 功能，启动NAT 穿越功能;

　　2、 ZXSEC US180基本为固定IP 宽带网接入，采用NAT 模式;

　　3、 ZXSEC US70大部分为PPOE ADSL 虚拟拨号接入，采用NAT 模式;

　　4、 所有设备开启SMTP/POP 病毒扫描和蠕虫防护;

　　5、 分公司和经营部ZXSEC US均阻止外部到内部的访问，总部保护服务器的ZXSEC US550允许HTTP/SMTP/POP 端口;

　　6、 总部ZXSEC US550开启NIDS/IDP 和本地日志记录(防病毒日志、入侵攻击日志)功能。

　　8. “冲击波”克星：兴业银行成都分行办公网/业务网

　　网络系统说明:

　　兴业银行成都分行为福建兴业银行下属分行，其网络分为业务网和办公网两部分。其中业务网涉及对中国人民银行等其他银行的各种结算接口，该条链路业务较为繁忙，对链路及设备的稳定性要求较高。办公网由100 台左右的工作站和服务器组成，通过2MDDN 专线连接Internet。

　　网络配置:

　　兴业银行成都分行办公网/业务网采用了两台ZXSEC US180， 其中一台ZXSEC US180安装在业务网与中国人民银行结算中心之间，提供对业务网的保护，另一台安装在办公网连接Internet 之间，提供对办公网的保护。具体实施如下：

　　1、 安装在业务网的ZXSEC US180采用透明模式，办公网的ZXSEC US180采用NAT 模式;

　　2、 业务网的ZXSEC US180 只开启结算软件需要的指定服务端口，其他均阻断;

　　3、 办公网的ZXSEC US180开启内部— 〉外部，HTTP/POP/SMTP/DNS 服务，其他均阻断;

　　4、 两台ZXSEC US180均开启NIDS/IDP，办公网的ZXSEC US180开启HTTP/SMTP/POP 病毒和蠕虫扫描;

　　5、 办公网ZXSEC US180开启病毒攻击日志和入侵攻击日志。

　　9. 显著提升管理绩效：重庆永川电信局永川在线网

　　网络系统说明:

　　重庆永川电信局永川在线网是重庆永川综合门户网站，提供多种Internet 应用服务--永川在线web站点、Email 邮箱服务、在线游戏、视频点播等应用，拥有10 多台NT/UNIX 服务器，日访问量达40-50M 流量。

　　网络配置:

　　重庆永川电信局永川在线网采用一台ZXSEC US550，提供对在线网应用服务器的保护。具体实施如下：

　　1、 采用透明模式，开启SMTP/POP 病毒扫描;

　　2、 根据不同的应用服务器开启HTTP/SMTP/POP、游戏、远程管理等指定端口，其他均阻断;

　　3、 开启NIDS/IDP 功能，采用远程日志服务器记录病毒攻击和黑客攻击日志;

　　4、 开启病毒攻击和黑客攻击邮件警告;

　　10. 财务部的网络大门：南方电力集团总公司财务内部网

　　网络系统说明:

　　南方电力集团总公司财务内部网隶属南方电力集团总部网络，总部采用专线上网，财务部网络与总部网络采用100M 以太网连接，与其他部门有许多集团应用，但无任何安全防范。

　　网络配置:

　　南方电力集团总公司财务内部网采用了ZXSEC US350一台， 安装在财务部网络与总部网络之间，提供对财务部网络的保护。具体实施如下：

　　1、 采用NAT 模式，开启HTTP/POP/SMTP 防病毒扫描;

　　2、 只允许总部与财务相关的服务器访问财务部服务器指定服务，其他部门均不允许访问财务部;

　　3、 限制财务部上网，只允许部分人员访问Internet;允许访问总部其他资源;

　　4、 开启internal 端口和external 端口的NIDS/IDP，并开启病毒攻击日志和入侵攻击日志。