大型园区网络出口安全配置案例（附配置脚本下载）-不念博客

下面以园区典型组网为例，主要介绍园区出口安全的部署。具体业务安全要求如下表：

编号	安全需求内容
1	内网用户可以正常访问`Internet`资源，但只能访问教育/科学类、搜索/门户类网站。
2	为了防止公司机密文件的泄露，禁止员工上传常见文档文件、开发文件（`C`、`CPP`、`JAVA`）以及压缩文件到`Internet`。
3	为了降低病毒进入公司内部的风险，禁止员工从`Internet`下载可执行文件。
4	为了保证员工的工作效率，禁止员工从`Internet`下载视频类文件。
5	为了防止公司机密信息的泄露以及违规信息的传播，对内网用户上传到`Internet`的文件、发送到`Internet`的邮件、发布的帖子和微博、浏览网页和搜索的内容进行过滤。
6	外网用户可以访问内网中的`HTTP`服务器资源。为了保障服务器的正常运行，对`SYN Flood`、`UDP Flood`和`HTTP Flood`攻击进行防范。
7	为了防止邮件引入病毒，需要对`HTTP`和`POP3`协议进行反病毒检测。
8	为了防止蠕虫、木马和僵尸网络等攻击，需要对这些攻击进行防范。
9	为了不影响正常业务，在任何时间内限制`P2P`、在线视频等最大带宽不超过`30Mbps`。为了更好的控制`P2P`、在线视频流量，可以通过限制连接数的方式，限制最大连接数不超过`10000`。为了让`Email`、`ERP`等应用不受到影响，此类流量可获得的最小带宽不少于`60Mbps`。
10	记录员工的上网行为，从而采取更加精确的安全策略控制。