二、福建三木集团的当前网络配置
①集团内部PC通过代理服务器拨号上网 ②内部员工自由访问互联网 ③关键部门财务部与其他部门处同一网段 ④外地分支机构可以访问财务部门，但没有足够安全的认证保障 ⑤Mail Server 及OA Server 计划启用中
三、针对三木集团的方案推荐
建议采用一套国内目前技术领先、稳定性强、售后有保障的防火墙 ------我们推荐使用东大阿尔派研制的 Neteye FW 5032 系统
NetEye防火墙3.0的优点：
① 先进的核心安全架构，专门为防火墙设计的安全的内核，先进的状 态包过滤技术和应用层过滤技术相结合，充分考虑安全性、效率的问 题，发挥了状态包过滤性能优势。 ② 高度的网络适应性，实现了代理路由(类似三层交换)的功能，支持 路由模式和交换模式。 ③ 骨干封装能力，支持VLAN封装协议（ISL和802.1q）。 ④ 严格、高效的内容过滤，提供对应用层信息的访问控制。 ⑤ 具有高度实时性、可视性和可控性的在线监控功能。 ⑥ 高度的自身安全性，无IP特性，全“黑洞”特性。 ⑦ 高度的可管理性，人性化的管理系统，为用户增加了制定访问控制 规则的向导功能(Wizard)。 ⑧ 强大的审计功能，实现了事件日志审计和访问日志审计。 ⑨ 双向NAT功能，不仅增加在内部网络中可用IP地址，而且实现了不同 区域间的的双向隐藏。 ⑩ 方便的升级方式，支持通过管理端进行远端升级。
支持TCP/IP协议 配置/说
品
明
价格单位：人民币元
硬件配置说明 单 价
NetEye3.0 5032
5个端口,32000并发连 1U\ISP1100\PIII850\256M\20G
接,防火
IDE\INTEL100x1,INTEL100双口网
墙设备1套,管理端软 卡x1
⒋ NetEye 3.0 防火墙的整体分析
NetEye 3.0 防火墙是通过对当今流行的防火墙产品的综合分析，根据 防火墙领域里的最新发展趋势，提出的一种具有强大的信息分析功能、 高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用的安全 可靠的专用防火墙系统。NetEye防火墙3.0是一款采用x86架构的服务 器，利用安全增强型专有操作系统。在设计上遵循了国际通用标准 （cc）的“标记安全等级的防火墙”标准。
⒊ 安全和设计原理
NetEye 3.0防火墙是从OSI模型中数据链路层开始层层过滤，限制 非法数据包的通过。其总体安全框架为： 物理地址－>IP地址－>身份 认证－>应用层过滤，分别采用IP/MAC绑定，状态包过滤技术（状态监 视技术），身份认证，内容过滤等安全策略。通过这样的数据流程对内 部网络进行全面的保护。IP/MAC绑定技术大大方便了网络的IP地址管
⒉ NetEye 3.0 防火墙功能简介
NetEye防火墙3.0采用状态过滤和内容过滤技术，具有高安全性、 高效性、可扩展性，应用范围广，另外NetEye防火墙3.0支持身份认证 功能、IP与MAC地址的绑定、代理路由、基于IP 和基于用户的流量控 制、审计系统、实时监控、VLAN Trunk、双机热备功能、事件报警机制 并扩充了双向NAT功能。本系统具有非常强大的信息分析功能，高效包 过滤功能和反电子欺骗能力，能使用户得到最大限度的安全。
福建三木集团 防火墙系统方案设计
福建中天信息技术有限公司 二OO二年元月
福建三木集团防火墙系统方案设计
目录
一、系统的意义与目的 二、福建三木的当前网络配置 三、针对三木集团的方案推荐 四、防火墙--Neteye 3.0 简介
⒈ 防火墙的概述 ⒉ NetEye 3.0 防火墙功能简介 ⒊ 安全和设计原理 ⒋ NetEye 3.0 防火墙的整体分析 ⒌ Neteye 防火墙福州主要客户： 五、网络拓扑说明 六、总体方案图解 七、整体系统运行环境 系统硬件 系统软件 八、运行成本及维护
件1套
120,000
● 系统安装及售后维护：
1、 系统免费安装及调试；
2、 提供免费网络安全培训，强化网管及相关人员安全意识 提高安全产品使用技能。
3、 在系统出现故障，福州市内承诺1小时之内及时响应。
4、提供最新的产品更新
理，杜绝了内部网IP地址盗用，防止了使用他人的地址在网上发布非法 信息、攻击他人主机、破坏网络安全的情况发生；状态包过滤技术不仅 对通过防火墙的信息包进行过滤，同时能够依据连接状态信息进行更加 全面的过滤；其访问控制功能除了可以根据用户的IP地址进行限制外， 还可以根据用户的身份进行限制，并提供了丰富的身份验证手段，支持 通过工业标准的Radius协议访问第三方认证服务器，进行口令检验；在 应用级实行了内容过滤，主要提供对HTTP、FTP、SMTP等应用的内容过 滤，做到了防止外部网络不安全或管理员不希望通过的信息流入内部网 络和限制内部网络的重要信息流到外部网络。如图1所示：
四、防火墙--Neteye 3.0 简介
⒈ 防火墙的概述
防火墙是处于内部网和外部网之间，保护内部网及其自身安全运行 的一组软硬件的有机组合。它用来管理进出网络的各种信息和行为，具 有过滤进出网络的数据包、管理进出网络的访问行为、拒绝某些禁止的 访问行为、记录通过防火墙的信息内容和活动、对网络攻击进行监测和 报警五大基本功能,并且可以防止外部网络不安全的信息流入内部网络 和限制内部网络的重要信息流到外部网络。
物理接口 物理接口
内容过滤 身份认证 状态包过滤
IP/MAC 绑 定
图1防火墙全面防御过程 防火墙是构建整个安全体系的核心。NetEye防火墙3.0贯穿内部网 络的整个防御过程：NetEye防火墙3.0实行事前检测安全漏洞，可以做 到事先防备多种网络攻击手段；NetEye防火墙3.0能够检测到通过防火 墙的各种入侵、攻击和异常事件，并以相应的方式通知相关人员，安全 员依据这些警报信息及时修改相应的安全策略，重新制定访问控制规 则；NetEye防火墙3.0提供审计功能，由安全员分析审计信息，修正策 略，制定新的过滤规则。
一、系统的意义与目的
近年来，中国的网络发展非常迅速，同时，中国的网络安全也越来 越引起人们的关注，国家权威部门曾对国内网站的安全系统进行测试， 发现不少单位的计算机系统都存在安全漏洞，有些单位还非常严重，随 时可能被黑客入侵。任何网络都不是绝对安全的，值得一提的是，当前 一些单位在急忙赶搭"网络快车"时，只管好用，不管安全，这种短视必 然带来严重的恶果，因此，从思想上提高对计算机网络安全重要性的认 识，是我们当前的首要任务。本套系统设计的目的就是改善当前薄弱的 网络安全状况，让Internet的发展给政府机构、企事业单位带来了革命 性的改革和开放，使得他们能够利用网络提高办事效率和市场反应能 力，以便更具竞争力。
4、 防火墙内网口1、内网2、DMZ和外网分别处不同网段。内网口应 与内网IP同一个网段，如内网有多个网段可通过掩码或地址映 射来设置。
七、整体系统运行环境
系统硬件
防火墙管理PC：WIN2000 SERVER
系统软件
服务器：Microsoft Windows 2000（防火墙管理）
防火墙3.0 管理软件、客户端认证软件（防火墙自带）网络类 型
⒌ Neteye 防火墙福州主要客户：
① 兴业证券股份有限公司 ② 福建电视台 ③ 福建省交通厅
④ 福州大学
五、网络拓扑说明
六、总体方案图解
1、 防火墙上共有五块100M网卡，除内网口1、内网口2、外网口、 DMZ口之外还一监控口，通过物理隔断保障各关键部门的安全， 管理员可根据权限通过该口对防火墙进行配置、管理和监控， 也可进行远程管理。
2、 防火墙基本访问规则： ① 内网用户根据规则可以合法访问外网及DMZ区； ②外网各地分支机构允许根据认证访问内网1和DMZ区服务器开放的 服务；
外网不允许访问内网2，未经认证的用户不允许访问内往和DMZ。 ③ DMZ 服务器向外或向内提供指定端口的服务如：WEB服务，FTP、 MAIL服务
3、 集团用户所有要访问互联网的PC均要添加一个网关指向NETEYE 防火墙的内网网口IP；这样所有的PC对外或对DMZ的访问均通过 防火墙，防火墙可进行有效的控制、监督和管理。