网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

因为路由器默认是允许所有区段的所有接口直接通信，所以不需要配置市场部门区段、人事部门区段和电信宽带区段、联通宽带区段之间的区段间访问规则。只需要配置研发部门区段和电信宽带区段、联通宽带区段之间的区段间访问规则。

安全管理 >> 访问策略 >> 区段间访问规则

选择相应的显示区段：ISP-Telecom<->RD、ISP-Unicom<->RD。

配置完成后，规则条目如下：

区段ISP-Telecom与区段RD之间规则

区段ISP-Unicom与区段RD之间规则

在区段内访问规则中，我们要实现：区段RD中软件部门、硬件部门、测试部门不能相互访问。

配置完成后配置条目如下：

为有效的防止内网的ARP欺骗，我们需要对内网所有电脑做IP与MAC绑定，在路由器中添加IP与MAC绑定信息有两种方式：ARP扫描和手动添加IP/MAC。

通过ARP扫描方式添加每个网段范围的IP/MAC绑定信息

安全管理 >> ARP防护 >> ARP扫描

针对每个出接口添加对应的IP/MAC绑定信息

安全管理 >> ARP防护 >> IP MAC绑定

在添加完成对应的IP/MAC绑定信息之后，启用ARP防欺骗功能，并选择对应的生效区段。

安全管理 >> ARP防护 >> IP MAC绑定

在路由器中启用攻击防护选项可有效的防护Flood类攻击和可疑包攻击

安全管理 >> 攻击防护 >> 攻击防护

通过应用控制实现市场部门、人事部门、研发部门的员工禁止使用P2P类软件、金融股票类软件、视频类软件、游戏类软件。

下面我们以市场部门的应用控制规则配置为例：

安全管理 >> 应用控制 >> 应用限制

安全管理 >> 应用控制 >> 应用限制

选择限制列表

同理配置人事部门、研发部门的应用控制规则，配置完成后规则如下：

在这一章节，我们通过带宽控制实现合理利用带宽资源的目标，企业内部需要进行带宽控制的区段有市场部门区段、人事部门区段、研发部门区段。

企业的总带宽为电信30M光纤+联通30M光纤=60M，再根据企业内部各个部门对带宽的需求，我们做如下规划：市场部门对带宽需求较大，我们给市场部门每台电脑到每个出口的上下行带宽限制为800Kbps；人事部门对带宽需求一般，我们给人事部门每台电脑到每个出口的上下行带宽限制为600Kbps；研发部门对带宽需求较小，我们给研发部门每台电脑到每个出口的上下行带宽限制为400Kbps。

下面我们以市场部门的带宽控制配置为例：

传输控制 >> 带宽控制 >> 带宽控制规则

配置市场部门到电信线路的上行带宽

配置市场部门到电信线路的下行带宽

配置市场部门到联通线路的上行带宽

配置市场部门到联通线路的下行带宽

配置完成后，规则条目如下：

同理配置人事部门、研发部门到电信、联通线路的带宽。

在这一章节，我们通过流量均衡实现需求："电信走电信，联通走联通"，内网所有电脑从电信线路访问外网的8080端口。

传输控制 >> 流量均衡 >> 基本设置

选择电信线路、联通线路的出接口（ISP-Telecom、ISP-Unicom-pppoe）参与智能均衡。

TL-ER6520G路由器的WAN口1连接电信线路，WAN口2连接联通线路，通过ISP选路功能实现"电信走电信，联通走联通"。

传输控制 >> 流量均衡 >> ISP选路

接口ISP-Telecom选择电信、接口ISP-Unicom-pppoe选择联通

配置完成后，配置条目如下：

在策略选路中，配置规则将目的端口号为8080的数据从ISP-Telecom进行转发，实现"内网所有电脑从电信线路访问外网的8080端口"。

我们通过在办事处、分公司与总部之间建立站点到站点模式的IPSec VPN，实现办事处、分公司安全的将业务数据实时传输到总部服务器。

在总部搭建PC到站点模式的PPTP/L2TP VPN服务器，实现出差员工安全的访问总部服务器资源。

要建立IPSec VPN隧道，需要在总部和办事处的路由器都进行IPSec的参数配置，下面我们以总部路由器配置为例。

配置IKE安全提议

VPN >> IKE >> IKE安全提议

填入安全提议名称，选择相应的验证算法、加密算法、DH组交换

配置IKE安全策略

VPN >> IKE >> IKE安全策略