一、應用背景

北京XX鎮人民政府網絡目前用戶數為xxx，接入路由器為CISCO 7200，下面的兩臺CISCO 2950和H3C S5100以串聯方式連接CISCO 7200路由器。HC3 S5100交換機上劃分了40個VLAN。IBM X3650服務器為OA服務器，OA服務器直接接在CISCO 2950下面。

目前網絡存在的問題：

1.政府內網安全問題。目前該網絡中沒有安全保護設備，容易遭到黑客的入侵和攻擊，造成機密文件和重要數據的丟失，還可能導致網絡癱瘓。

2.內網經常遭受病毒和ARP攻擊，導致內網客戶機經常無法正常辦公、重要數據和文件丟失或被黑客竊取。

3.內網用戶上網行為無法有效管理。目前網絡中時常存在大量占用帶寬的行為，如通過下載工具下載文件、觀看網絡電視或視頻，網絡帶寬不能合理的管理和分配。其他網絡行為也無法有效管理控制，如上班時間登陸SNS網站游戲等等。

二、需求分析

該網絡解決方案主要解決上面應用背景中提到的幾個問題。

需求如下：

1.解決網絡安全問題，防御黑客的入侵和攻擊行為，保證內網網絡和數據的安全。

2.解決內網客戶機中毒和ARP攻擊問題。

3.對局域網上網行為進行有效管理。

三、解決方案

本方案在原有網絡結構上，在CISCO 7200路由器和 CISCO 2950交換機之間加入天融信NGFW4000防火墻，防火墻采用透明模式，保持原有網絡結構不變。通過防火墻的安全功能和上網行為管理功能保證政府內網的安全和對內網用戶上網行為進行有效管理。通過在CISCO 2950交換機上綁定客戶機MAC地址和在客戶端安裝ARP防火墻實現對內外ARP攻擊的有效防護。OA服務器從原來的內網移動到防火墻的DMZ區域。

拓撲圖