关闭>>  
扫一扫 有惊喜
为您提供最实惠的网络、电脑、电话、客户管理系统解决方案! 抢购热线:010-51283020 / 51288184
网站首页 产品大全 公司动态 公司简介 技术支持 联系我们 技术论坛
Home Products News About Us Support Contact Us BBS
公司简介
公司动态
技术支持
联系我们
人才招聘
天宇方案:市级政务外网边界安全防护解决方案
2013-11-27
需求与挑战 

随着电子政务外网建设的不断发展及其应用的不断丰富,基于网络的各种安全事故也不断出现,网络边界安全成为最重要的安全问题,需要对其进行有效的管理和控制。 

网络边界是网络与其他网络的分界线,是一个网络的重要组成部分,负责控制网络的最初及最后过滤,对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计来确定。对一些公共服务器区进行保护,负责链路安全的VPN 技术也是在网络边界设备建立和终结的,因此边界安全的有效部署对整网安全意义重大。 

政务外网在网络边界安全方面的需求主要体现在以下几个方面: 

1.网络隔离需求 

主要是指能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数,可以实现对网络流量的精细控制,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。 

2.攻击防范能力 

由于TCP/IP 协议的开放特性,缺少足够的安全特性的考虑,带来了很大的安全风险,常见的IP 地址窃取、IP 地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击(DoS/DDoS)等,必须能够提供有效的检测和防范措施。 

3.网络优化需求 

对于用户应用网络,必须提供灵活的流量管理能力,保证关键用户和关键应用的网络带宽,同时应该提供完善的QoS 机制,保证数据传输的质量。另外,应该能够对一些常见的高层协议,提供细粒度的控制和过滤能力,比如支持WEB 和EMAIL 过滤,支持P2P 识别并限流等能力。 

4.用户管理需求: 

对于接入局域网、广域网或者Internet 的内网用户,都需要对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。 


解决方案描述 

根据业务和信息敏感度不同,以及为各类信息定义不同的安全策略和安全级别,我们把地市级电子政务外网的安全分区一般划分为:互联网接入区、上级政务网接入区、DMZ区、数据中心区、政务应用区、网络管理区等。在各个不同网络边界区域需要考虑部署边界路由器、边界防火墙、IPS、VPN 等安全设备。 

政务网络边界安全防护解决方案特别针对电子政务外网互联网出口位置的安全防护,通过部署防火墙,入侵检测/防御等产品,阻止来自互联网上对电子政务外网攻击,确保政务外网与互联网之间安全访问,保障电子政务外网不受来自互联网威胁。 

市级电子政务外网网络边界安全解决方案总体部署架构图如下图所示: 



图1:市级政务网络边界安全防护解决方案 

(一)边界路由器 

路由器在网络中承担路由转发的功能,他们将流量引导进入网络、流出网络或者在网络中传输,由于边界路由器具有丰富的网络接口,一般置于internet 出口或广域网出口,是流量进入和流出之前可以控制的第一道防线。通过在互联网接入区、上级政务网接入区边界部署华为NE系列路由器,实现路由转发及边界防护功能。 

(二)边界防火墙 

华为USG系列防火墙部署在各委办局、区县局域网、和各个网络分区的出入口出。主要作用: 

A.对来自外部网络和内部网络的各种攻击进行防范。 

1.可以利用IDS和华为统一安全网关的联动措施,主动更新统一安全网关的规则,主动防御。 

2.通过华为统一安全网关的攻击防范能力,保障内网的资源安全。 

B.完成NAT地址转换功能。 

1.内部特定的用户可以访问Internet、电子商务、网上银行等网络,有效控制了内部主机对外部资源的访问,形成内外网络之间的安全保护屏障。 

2.外地机构或可信合作伙伴能通过统一安全网关访问位于DMZ区的内部服务器主机(如WWW、FTP等服务器),但不能访问其它内部资源。 

3.屏蔽其它外部用户对内部和DMZ区的任何资源的访问,从而保护内部网络免遭外来攻击。 

C.提供高效的日志服务功能,可以满足用户对攻击、流量监控、会话流信息等日志信息进行记录。 

D.统一安全网关可以工作在透明模式、路由模式,可以满足用户的组网灵活性。 

E.统一安全网关支持双机热备组网,提高链路的可靠性。 

(三)入侵检测系统IPS 
入侵检测系统IPS部署在互联网服务区,以旁路方式检测来自互联网上的各种攻击行为;主要承载功能: 

1.对各种入侵行为进行检测和分析。 

2.丰富的响应功能可对入侵事件做出多种响应。 

3.强大的监控功能监控服务器的运行和敏感信息。 

4.对日志进行同步、查询、删除、压缩等管理。 

5.统计功能提供入侵统计和详细的流量统计。 

(四)VPN安全设备 

对于没有条件建设政务外网的区县、乡镇或偏远机构,可以通过在连接互联网的基础之上,通过建立VPN加密通道,安全接入到政务外网办公。 

在网络中部署华为VPN安全设备,为用户提供了集高转发率、高加密性能、高端口密度于一体的安全防护解决方案。VPN安全设备支持L2TP、GRE 、IPSec等多种VPN接入方式,即可单独使用,也可多种方式组合使用,其硬件加密采用独立的加密核心,加密计算和数据封装通过硬件实现,加密处理性能与软件算法和业务流量无关,支持DES、3DES、AES等多种加密算法,可以为用户提供完整的VPN解决方案。 


方案亮点 

全面防护:安全区域设计,在边界部署USG、IPS等安全设备,保证2至7层的安全; 
深层防御:如对蠕虫的传播和攻击进行防御、对P2P/IM应用的控制、对应用层攻击的防御、抵抗DDoS攻击等; 
简单易用:图形化配置界面、安装向导指引,提升上线使用的速度。 

客户价值 

边界防护,把安全威胁控制在局部范围; 
安全事件快速定位,准确解决安全威胁; 
可视化管理,运维简单,降低维护成本。
【返回新闻列表】
关于我们 | 联系我们 | 人才招聘 | 网站声明 | 全部产品
版权为北京诚信天宇科技发展有限公司,未经允许不得转载或链接 copyright @ 2012 京ICP备11027061号
推荐:华为交换机 华为防火墙 华为三层交换机 华为交换机报价 华为路由器报价 24口华为交换机 华为 48口交换机 华为3com交换机 华为核心交换机 网络设备报价
h3c核心交换机 h3c交换机报价 h3c 16口交换机 h3c 48口接入交换机 h3c 16口千兆交换机 h3c 24口千兆交换机 h3c 24口交换机价格 h3c 48口千兆交换机 h3c 24口交换机
安奈特交换机 安奈特介质转换器 安奈特路由器 安奈特核心交换机 安奈特二层交换机 安奈特多层交换机 电话电脑一体机 思科交换机 思科路由器 思科交换机报价