一、政府部门——政务网

  政府部门的网络既需要有对外通信和开办对外窗口、又有内部办公信息化的需求。因此，把政府网络分为3个部分: 政府网站、内部办公网和内部涉密网。对于内部重要信息资源，只能通过政府专网才能实现远程访问。而对于一般信息资源，则允许通过Internet实现远程访问。在对外方面，由于内部用户和社会用户都需要访问，政府部门的网络不像ISP/ICP那样单方面地侧重在对外提供服务上，它有两方面的需求，不仅要给外部用户提供访问服务，而且还要给政府内部的用户提供Internet服务。在对内方面，涉及政府重要的内部信息处理，必须有专门的内部网络和专用的广域网，即使如此，在专用广域网上传输的信息也必须采取安全保密措施，因此该网络必须借助VPN技术保障在公共信道上传输的涉密信息的真实性和完整性。

  由防火墙采用地址转换、应用代理等功能在技术上实现安全边界隔离，对各级用户隐藏政务网内部地址；实现存取访问控制，对访问各级政务网服务器的用户进行身份验证。将对外提供服务的WWW、FTP、DNS、EMAIL等服务器联在防火墙的DMZ区，对防火墙的外网、DMZ区、内网按照由低到高的安全等级配置不同等级的安全规则，最大限度的保护内网不受到外网不法用户的侵犯和未授权用户的访问，同时又对外合法用户提供信息服务。通过同IDS入侵检测系统的联动，及时发现可能的入侵行为，并切断发起方源地址同防火墙的连接。从而保证政务网的安全畅通。

部分成功案例：

中山市政府信息中心

中国教育就业指导中心

郑州市公安局

浙江省机关事务管理

温州市地方税务局

温州苍南县工商局

上海市税务局

上海市水务局

上海市公安局

上海出入境管理中心

上海财税局

河北省总工会

河北省政府信息中心

河北省乡镇企业局

河北省经济信息中心

杭州市国土信息中

邯郸市政府信息中心

广东省工商行政管理局

二、企业园区——企业网

  当前，企业网的规模日渐增大，大多采用千兆、百兆以太网技术，结合VLAN技术及广域网路由技术等，优化企业网络通讯和网络资源，但相应的信息安全问题随着网络规模的增大也面临着越来越严峻的挑战，这就需要一套完整的企业网信息安全解决方案来缓解安全问题给企业到来的压力。

  企业通过路由器实现同Internet的互连以及同企业分支机构和业务伙伴的互连，在出口处安装防火墙，实现进出企业网的安全访问控制。

（1）利用防火墙检测规则控制访问技术，实现基于协议，源/目的IP地址，端口，时间的访问控制；根据应用和网络环境情况，利用地址转换功能或基于策略的地址转换功能，隐藏内部网络结构。

（2）利用防火墙的日志功能记录完整日志和统计报表等资料。

（3）利用防火墙自带数据库用户认证功能启用用户认证功能。

（4）根据需要，设置流量统计、带宽限制规则，实现网络流量的控制。

（5）根据需要，设置有效工作时间段规则，实现基于时间的访问控制。

（6）在中心机房，利用集中管理软件集中管理企业网络内多台防火墙，配置统一、有效的管理策略，同时实现管理的分权。

（7）利用防火墙本身的防御功能防止DOS等攻击。

（8）利用灵活多样的告警响应手段（告警、日志、SUMP Trap等）实现违规行为的告警。

部分成功案例：

中国石油化工集团总公司

徐州卷烟厂

无锡希望电子集团公司

上海金桥大酒店

山西永济电机厂

山东省聊城自来水厂

山东省莱芜市煤炭机械厂

湖南广电集团、湖南卫视

河南开祥公司

甘肃省兰州三毛股份有限公司

保定石油化工厂

三、金融行业——综合业务网

  随着时代的发展、科技的进步，金融业已经成为信息技术和网络技术发展的最大受益者之一。银行网络系统的建立，提高了金融业务处理的水平，改善了整个银行业的经营环境，增强了金融信息的可靠性，提高了管理水平，促成了各项新业务的开展，使金融服务于社会的手段更趋现代化。但是，由于金融信息系统中处理、传输、存贮的都是金融信息，对其进行攻击将获得巨额的金钱；而且，对金融信息系统的攻击，可能造成国家经济命脉的瘫痪和国家经济的崩溃。因此，必须针对金融业的网络具体情况提出相应的信息安全解决方案。

  我们可以利用防火墙来构件一个安全边界，对流入和流出的数据流进行实时、安全、动态的监控和按照制定好的安全策略实施可控的安全访问控制。因此利用防火墙可以设立一个开放、高速、稳定、可靠的网络，实现金融系统外联业务的安全；对并发的会话数目达到要求；对身份认证、授权、访问控制加以鉴别、提供完善的审计功能机制；提供远程集群管理功能。

（1）利用包过滤访问控制技术和时间段控制访问功能，设定访问规则，控制特定的外部IP地址的特定端口访问中行内部特定的IP地址的特定端口。

（2）利用地址转换功能，把所有从中行内部出去数据报文，修改其源IP地址为防火墙地址，隐藏中行内部网络结构。

（3）利用地址绑定功能，把外部特定的主机IP地址与网卡MAC绑定，防止IP地址盗用。

（4）对非法访问记录日志，提供日志分析工具，并自动备份日志。

部分成功案例：

中国银行陕西省分行

中国人民银行重庆市分行

中国人民银行银联中心

中国人民银行新疆分行

中国人民银行陕西省分行

中国人民银行青海省分行

中国人民银行宁夏回族自治区分行

中国人民银行金电公司

中国民生银行

国家开发银行

四、电信行业——综合业务网

电信企业是以提供网络和数据服务为主要的经营业务的企业。通过在电信企业实施全面、有效、合理的安全措施将达到以下目标：

1、保护电信企业电信运营网的业务不间断的正常运作。包括构成电信网络的所有设施、系统、以及系统所处理的数据（信息）。

2、电信企业中的重要信息在可控的范围内传播，即有效的控制信息传播的范围，防止重要信息泄露给电信企业外部的组织或人员，如当前的或潜在的竞争对手。

3、以有限的代价，提高电信企业为其客户提供优于竞争对手的服务的能力，以获得竞争优势。

  信息系统的安全是一个复杂的系统工程，涉及到技术和管理等多个层面。中软HuaTech UnitSecurity安全平台系列产品涉及通信加密、访问控制、灾难恢复等多个层面，有能力为电信行业用户提供全方位的安全解决方案，同时通过与用户的紧密合作，协助用户建立完善的安全管理体系。

  中软华泰公司根据电信局的具体情况，做了比较切实可行的网络安全解决方案，是在该电信局核心机房，安装二台中软HuaTech-2000千兆型防火墙，两台防火墙做双机热备。在其他各个重要网段与核心交换机之间根据需要安装中软HuaTech-2000型防火墙或中软HuaTech-2000千兆型防火墙。

在防火墙设置上我们按照以下原则配置来提高网络安全性：

（1）根据电信整体安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对企业内部网不必要的、非法的访问。总体上遵从"不被允许的服务就是被禁止"的原则。

（2）将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外的攻击。

（3）根据业务上的不同要求，设置相应的IP节点可以访问后台服务区各服务器的某种服务。通过地址映射的设置，将内部对外提供服务的服务器IP隐藏起来，有效地防范保护内部服务器的安全。

（4）为每个内网用户设置可使用流量最大值，避免滥用网络资源，为"允许访问公网的规则"设置生效时间，控制内网用户访问Internet时间。

（5）在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址盗用。

（6） 定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。

（7） 允许通过配置网卡对防火墙设置，提高防火墙管理安全性。

部分成功案例：

中国联通北京分公司

山东省莱芜市电信局

五、教育行业——校园网

  xx大学是我国44所省级广播电视类大学之一。以电大校本部为中心，先后在xx市同安区、杏林区、开元区、湖里区、思明区和司法局、建委等区、系统建立了高校工作站，形成了基本覆盖全市的远程教育网络。根据xx大学网络系统的安全需求，我们提出了一套保护-检测-响应-恢复的安全解决方案。

  在网络出口处加装防火墙，根据网络主干的通信带宽要求，使用千兆防火墙；根据既定的安全策略配置防火墙的状态检测、地址绑定等功能；在防火墙建立DMZ区（非军事区域），把公共信息服务系统（WWW、EMAIL、教学视频等）放置在其中，即方便向内部和外网用户提供服务，又避免外网用户对内网的直接访问，减少入侵的通道。

部分成功案例：

福建工业学校

西安外事学院

北京服装学院