400咨询热线:400-670-3001 官方微博 | 联系我们
华为网络资料手机应用下载
关闭
您现在的位置:首页 > 产品与解决方案 > 行业解决方案 > 智慧政务解决方案
产品与解决方案

渠道培训与活动

产品培训
活动资讯
华为市级政务外网边界安全防护解决方案
概述:
随着电子政务外网建设规模的不断扩大,并向区县乡镇一级发展,及其应用的不断丰富,基于网络的各种安全事故也不断出现;网络边界是网络与其他网络的分界线,是一个网络的重要组成部分,负责控制网络的最初及最后过滤,安全威胁从网络的4层以下扩展到了7层的范围,为了防止病毒攻击威胁到整个网络,把安全事故控制在局部网络区域内,网络边界安全成为最重要的安全问题,需要对其进行有效的管理和控制。

需求与挑战

随着电子政务外网建设的不断发展及其应用的不断丰富,基于网络的各种安全事故也不断出现,网络边界安全成为最重要的安全问题,需要对其进行有效的管理和控制。

网络边界是网络与其他网络的分界线,是一个网络的重要组成部分,负责控制网络的最初及最后过滤,对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计来确定。对一些公共服务器区进行保护,负责链路安全的VPN 技术也是在网络边界设备建立和终结的,因此边界安全的有效部署对整网安全意义重大。

政务外网在网络边界安全方面的需求主要体现在以下几个方面:

1.网络隔离需求

主要是指能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数,可以实现对网络流量的精细控制,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
2.攻击防范能力

由于TCP/IP 协议的开放特性,缺少足够的安全特性的考虑,带来了很大的安全风险,常见的IP 地址窃取、IP 地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击(DoS/DDoS)等,必须能够提供有效的检测和防范措施。

3.网络优化需求

对于用户应用网络,必须提供灵活的流量管理能力,保证关键用户和关键应用的网络带宽,同时应该提供完善的QoS 机制,保证数据传输的质量。另外,应该能够对一些常见的高层协议,提供细粒度的控制和过滤能力,比如支持WEB 和EMAIL 过滤,支持P2P 识别并限流等能力。

4.用户管理需求:

对于接入局域网、广域网或者Internet 的内网用户,都需要对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。


解决方案描述

根据业务和信息敏感度不同,以及为各类信息定义不同的安全策略和安全级别,我们把地市级电子政务外网的安全分区一般划分为:互联网接入区、上级政务网接入区、DMZ区、数据中心区、政务应用区、网络管理区等。在各个不同网络边界区域需要考虑部署边界路由器、边界防火墙、IPS、VPN 等安全设备。

政务网络边界安全防护解决方案特别针对电子政务外网互联网出口位置的安全防护,通过部署防火墙,入侵检测/防御等产品,阻止来自互联网上对电子政务外网攻击,确保政务外网与互联网之间安全访问,保障电子政务外网不受来自互联网威胁。

市级电子政务外网网络边界安全解决方案总体部署架构图如下图所示:

(一)边界路由器

路由器在网络中承担路由转发的功能,他们将流量引导进入网络、流出网络或者在网络中传输,由于边界路由器具有丰富的网络接口,一般置于internet 出口或广域网出口,是流量进入和流出之前可以控制的第一道防线。通过在互联网接入区、上级政务网接入区边界部署华为NE系列路由器,实现路由转发及边界防护功能。

(二)边界防火墙

华为USG系列防火墙部署在各委办局、区县局域网、和各个网络分区的出入口出。主要作用:

A.对来自外部网络和内部网络的各种攻击进行防范。

1.可以利用IDS和华为统一安全网关的联动措施,主动更新统一安全网关的规则,主动防御。

2.通过华为统一安全网关的攻击防范能力,保障内网的资源安全。

B.完成NAT地址转换功能。

1.内部特定的用户可以访问Internet、电子商务、网上银行等网络,有效控制了内部主机对外部资源的访问,形成内外网络之间的安全保护屏障。

2.外地机构或可信合作伙伴能通过统一安全网关访问位于DMZ区的内部服务器主机(如WWW、FTP等服务器),但不能访问其它内部资源。

3.屏蔽其它外部用户对内部和DMZ区的任何资源的访问,从而保护内部网络免遭外来攻击。

C.提供高效的日志服务功能,可以满足用户对攻击、流量监控、会话流信息等日志信息进行记录。

D.统一安全网关可以工作在透明模式、路由模式,可以满足用户的组网灵活性。

E.统一安全网关支持双机热备组网,提高链路的可靠性。

(三)入侵检测系统IPS

入侵检测系统IPS部署在互联网服务区,以旁路方式检测来自互联网上的各种攻击行为;主要承载功能:

1.对各种入侵行为进行检测和分析。

2.丰富的响应功能可对入侵事件做出多种响应。

3.强大的监控功能监控服务器的运行和敏感信息。

4.对日志进行同步、查询、删除、压缩等管理。

5.统计功能提供入侵统计和详细的流量统计。

(四)VPN安全设备

对于没有条件建设政务外网的区县、乡镇或偏远机构,可以通过在连接互联网的基础之上,通过建立VPN加密通道,安全接入到政务外网办公。

在网络中部署华为VPN安全设备,为用户提供了集高转发率、高加密性能、高端口密度于一体的安全防护解决方案。VPN安全设备支持L2TP、GRE 、IPSec等多种VPN接入方式,即可单独使用,也可多种方式组合使用,其硬件加密采用独立的加密核心,加密计算和数据封装通过硬件实现,加密处理性能与软件算法和业务流量无关,支持DES、3DES、AES等多种加密算法,可以为用户提供完整的VPN解决方案。

 

方案亮点

  • 全面防护:安全区域设计,在边界部署USG、IPS等安全设备,保证2至7层的安全;
  • 深层防御:如对蠕虫的传播和攻击进行防御、对P2P/IM应用的控制、对应用层攻击的防御、抵抗DDoS攻击等;
  • 简单易用:图形化配置界面、安装向导指引,提升上线使用的速度。

 

客户价值

  • 边界防护,把安全威胁控制在局部范围;
  • 安全事件快速定位,准确解决安全威胁;
  • 可视化管理,运维简单,降低维护成本。
版权所有 联强国际 1998-2012。 保留一切权利。 京ICP备12044421号-1  技术支持:查查看