NAT方式节省网络地址资源

对于一个小型网络来说，申请的IP地址不会太多，如果网络中的每一台设备都需要一个IP地址，会造成IP地址的严重不足。

天网防火墙提供的网络地址转换（Network Address Translation）功能不仅可以隐藏内部网路地址信息，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet地址和私有IP地址的使用。通过NAT功能，天网防火墙系统可以帮助采用私有地址的内部网用户顺利的访问Internet的信息资源，不但不会造成任何网络应用的阻碍，同时还大量节省了网络地址资源。

3.天网网络安全解决方案

3.1用户需求分析

按照服务性质和管理区域划分，用户网络主要分为三个部分：

内部网络。提供内部用户日常办公操作环境。

DMZ网络。提供各种信息服务。

外部网络。提供到Internet连接。

主要应用类型包括：

大型企业内部信息发布

Internet应用

安全策略为先关闭全部服务和端口，再开放部分服务和端口。

3.2网络结构

根据企业的网络状况，我们建议使用基于天网防火墙企业－II型防火墙的安全解决方案。下图为本建议方案的网络拓扑示意图。

本方案将现有网络划分为物理上相互独立的三个网段：

公共网段（Public_Nework）

停火区网段（DMZ_Network）

私有网段（Private_Network）

其中，公共网段提供面向Internet的广域网连接和其他各行访问的支持；停火区网段安放各种数据库、FTP/Web服务器和企业内部业务信息服务器，提供多种面向Internet的应用服务；内部私有网段保障本地用户安全地访问外部网络资源，以及对停火区内各服务提供设备进行更新和维护。

3.3安全策略

目的：

划分安全区域。

制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。l审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。

根据对用户需求的分析，企业内部网络可以划分为以下几个安全区域：

内部网段

公共网段

外部网段

分属三个安全区域的网段通过天网防火墙进行互连。

现有需要进行审核和过滤的应用和服务类型包括：

4.防火墙配置方案

根据网络安全解决方案中的用户需求、网络拓扑以及所制定的安全策略，防火墙采取以下配置方案：

4.1网络设置

4.2系统设置