用户背景

随着Internet应用的日益普及，众多企业都将自己的企业内部网络接入Internet。由于Internet是一个开放式的网络，导致随之而来的是各种日益复杂类型的攻击，包括隐藏在网络流量中的攻击或完全绕过安全性防范措施的攻击，以及肆无忌惮的各种网络病毒，都极有可能扩散到公司所有敏感资源，造成企业网络机密的泄漏和破坏，给公司带来无法祢补的损失。另外，如果用户在未经授权的情况下，盗用上网权限、滥用网络资源、访问非法网站等行为，这也会大大增加网络安全的风险，造成网络堵塞、降低了工作效率，使得企业网络维护的运行成本随之增加。因而网络安全问题对企业来说越来越重要。

用户需求

对于企业而言，希望能够迅速识别、控制并消除攻击和病毒、以确保网络资源不会受到影响和破坏，同时也对内网的安全性和使用的方便性提出了更高的要求。因此，根据企业自身网络安全需求选择路由器都有以下几个原则：

1、 具有高吞吐量、稳定性强

路由器的性能决定了路由器的工作效率，也决定了企业在建网时所考虑的数据承载量和应用。另外，企业考虑路由器高性能的同时，还会考虑到路由器的硬件冗余性和稳定性，能否为企业网络系统的稳定运行提供保障。
    
2、 安全性、可靠性高

企业会考虑路由器是否具有多层次的安全保护措施，可以满足用户身份鉴别、访问控制、数据完整性和保密性传输等要求，同时详细的故障检测和应急处理方案，是否能够保证网络安全的稳定性和可靠性。

3、 实用功能多、配置操作方便

企业会考虑路由器是否采用成熟的、实用性的功能和技术。能否满足现行业务的管理，又能适应未来业务发展的要求。同时还会考虑设备配置操作上是否简单易懂、直观方便。

方案特点

针对路由器在企业网路中发挥作用的不同，考虑到企业具有跨地区、跨行业、多层次和全方位等诸多因素，结合中国内地实际网络架构需要。DrayTek居易科技所推出的VigorPro系列防火墙路由器具有以下几个特点：

1、 性能全面，处理能力稳定强大

DrayTek居易科技最新推出的高性能防火墙VigorPro系列路由器专为企业提供全面的网络保障。借助高速稳定的吞吐量辅助DrayTek自己的DrayOS™核心系统，VigorPro系列完全能够满足SOHO用户、SME企业及网吧用户要求。

2、 架设方便，一台设备搞定全部功能

VigorPro系列提供攻击控制功能来阻止DoS和其它已知的攻击，使它们无法损坏网络资源。而且可以对网络进行分段，在不同网络分段之间执行安全性策略，以确保只有经过授权的用户才可以接入特定资源。同时VigorPro系列与VPN解决方案紧密集成在一起，可以在任何接口上对数据进行加密以保护内部流量。另外，VigorPro系列防火墙解决方案可提供广泛的虚拟化功能，包括DMZ主机、虚拟服务器和虚拟VLAN，可实现有效的进行网络分段、控制和连接，而无需部署数十甚至数百个防火墙。因此一台VigorPro防火墙路由器可以完全胜任多个硬件防火墙的功能，从而使架设进一步简化并增强网络安全性。

3、 定制简便，基于组的防火墙设置

作为一款集双线路接入、防病毒/防入侵（AV/AI）、VPN网关、传统封包过滤器于一体UTM产品，VigorPro防火墙路由器可以为企业提供极高的可用性，而且VigorPro系列可以通过基于策略组的集中管理系统进行管理，从而可以简化Web配置和操作。

4、 升级方便，无人值守即可特征库升级

DrayTek居易科技拥有技术高超的防病毒、防入侵研发团队，结合出众的卡巴斯基防毒系统，可以为用户提供24小时免费在线特征码数据库升级。

5、 性价比高，路由器的价格，防火墙的性能

VigorPro系列功能性是以防火墙为架构，以普通路由器的价格即可拥有一款高性价比的网络路由产品。

拓扑图



产品选型

VigorPro 100、VigorPro 5500、不需要防毒功能可以选择Vigor 2910，Vigor 2950

解决方案介绍

我们以拓扑图为例，假设某公司网络主要有3个子网（市场部、研发部和技术支持部门）及数台服务器组成。为了提高网络的安全防御及方便的集中管理，公司根据其网络环境及实际应用的需要对各部门设定了不同的网络规则。

市场部：可以不受任何限制访问Internet，包括使用即时通讯软件
研发部：只允许收发电子邮件
技术支持部：只允许浏览网页，收发电子邮件，使用MSN、Skype通讯软件，其他网络应用都将被禁止
Web和FTP服务器：只允许特定的服务端口访问

所有部门的网络规划，需要结合对象与组、内容安全管理及防毒/防入侵功能进行防火墙功能设定（如下图）

IP对象设定：对不同部门进行IP网段分组设定。

 
内容安全管理：对即时通讯软件及P2P应用程序进行屏蔽管理。

 
过滤器设定：结合防毒/防入侵功能，对不同部门进行IP详细规则设定。
 

防入侵功能设定：保护您在访问因特网时免受黑客的入侵攻击。此功能可以侦测入侵并且执行基本的防御。
 

防毒功能设定：针对不同协议的文件传输，提供病毒扫描，并损毁和切断与本地主机的可疑连接。
 

特征库升级设定：DrayTek 防毒/防入侵研发团队与卡巴斯基实验室合作提供了强大的防病毒/防入侵升级数据库。

 
总结：通过上述一系列的设置和应用， 企业网络得以规范部署，从而实现对网络的全面保护和防御。

注：
关于详细对象与组IP规则设定，请参考中文网站技术文章专区
http://www.draytek.com.cn/support/Solutioncontentshow.php?solarticle_id=31

关于详细防毒/防入侵功能设定，请参考中文网站技术支持VigorPro专区http://www.draytek.com.cn/support/Configfundetailsort.php?note_id=80&configfun_id=26