1、社会保障事业局网络系统安全需求
社会保障事业局需要通过防火墙保护内部服务器及客户端的安全,防止外部用户的恶意破坏。同时要确保网络的不间断稳定运行。根据安全需求分析,实施防火墙网络安全工程后,网络应能做到如下几点:
- 设置NAT或透明模式,能保护内部的网络结构,防止非法用户入侵内部网络,造成破坏和损失
- 对网络带宽速率不能有任何的影响。
- 通过在各级局域网络的出口网络前端设置防火墙,保护其内部资料数据的可靠,防止内部数据被非法窃取。
- 设置认证功能,通过对用户的身份认证,控制用户对服务器进行访问。
- 有完整的历史记录,能查看每一个经过防火墙的连接,包括日期、源地址、目的地址等,并有识别并阻断攻击功能。
- 能提供各种管理方式,如命令行管理、GUI管理、集中的、图形化的安全管理功能和系统状态查看器,方便管理人员进行定义、修改。尽量减少维护工作量。
- 设计的网络安全解决方案能提供网络入侵检测、识别、记录和自动响应报警功能。
- 将对内提供的邮件、文件服务的服务器统一放置在防火墙后端,彻底将网络内外隔开,同时具有防止IP
Spoofing、SYN flood、Ping of death、UPD
Flooding等各种攻击具有防御能力。
2、社会保障事业局网络系统安全解决方案
2.1 社会保障事业局数据交换中心
社会保障事业局网数据中心为数据存储中心、管理中心,因此流量及数据安全要求等级应当为最高。另外,其既与各相关所属单位连接,又与北京市政府等上级或平行单位连接、通讯,因此考虑可能的性能瓶颈问题及可靠性,建议采用大会话数防火墙设备,同时使用双击热备份。
防火墙具有很强的会话处理能力,通过它良好的性能保证数据流量大的数据中心对吞吐量需求,此外可以采用ACTIVE-ACTIVE模式的双机热备份,实现系统可靠性的同时实现对防火墙的负载均衡,且无需使用L4交换机实现负载均衡。
2.2 社会保障事业局防火墙解决方案
社会保障事业局所属各单位的分布状况虽不同,但都在各自局域网络内存放着各自办公数据及重要资料。由于对Internet访问的需求,对上级主管部门通讯的需求及相关机构的信息往来等要求外部接入不可避免。因此要求防火墙除提供必不可少的局域网络保护和控制外,还需要防火墙提供多种配置模式,并且通过路由模式实现内网、外网、DMZ区域的划分,使网络更加安全可靠。同时由于社会保障事业局所属各单位安全需求不同,又对可能用到的3A认证服务、各代理应用服务、附加功能的支持程度等都成为考虑的因素,这样来保证防火墙产品应用到各单位网络中后可灵活配置、满足各种变化的需求。对于认证服务器的要求可通过路由模式划分两个DMZ区域、一个内网区域,同时支持三个外网接入以满足不同用户的接入需求。
对于较为复杂的单位网络环境还可采用简单的网桥透明模式,将防火墙放置在路由器与局域网交换机之间,访问将通过严格认证和控制。通过防火墙卓越的带宽管理功能,针对不同的区域、策略和主机分配带宽。
在路由模式下可对各单位网络的具体环境需求实现服务的负载平衡(Load
Balancing)功能,并且合理分配关键主机的访问负载,满足我们实施政务网过程中进行分步投资网络服务器等设备的需求。
因防火墙将黑客代码库集成在其可升级的防火墙操作系统中,所以它对黑客的多种攻击手段能做出最快的反应,例如著名的DDOS分布式拒绝服务攻击(Distributed
Denial-Of Service),防火墙能根据客户端主机发出数据报的数量自动判断是否是DDOS
攻击程序攻击,并采取措施过滤掉攻击包或阻止。
|