企業系統
1、概況
某集團公(gōng)司信息業務(wù)的主要範圍集中(zhōng)在集團公(gōng)司本部的數據中(zhōng)心,數據中(zhōng)心存儲了絕大部分(fēn)集團的信息資産(chǎn)。 30多(duō)台服務(wù)器構成了核心服務(wù)器區(qū),服務(wù)器的類型和服務(wù)的類型比較多(duō),有(yǒu)隻對内發布的生産(chǎn)系統、人事系統,有(yǒu)對外發布的WWW網站,内外都使用(yòng)的網上業務(wù)系統,還有(yǒu)網絡正常業務(wù)需要的郵件、域名(míng)、代理(lǐ)等系統,還有(yǒu)數量不少的各系統使用(yòng)的後台,如數機庫、目錄系統等;集團公(gōng)司新(xīn)辦(bàn)公(gōng)樓所承載的信息系統除了數據中(zhōng)心的重要服務(wù)器外,還包括分(fēn)布于各個樓層的内部辦(bàn)公(gōng)網,和部分(fēn)出租樓層的辦(bàn)公(gōng)網;數據中(zhōng)心對外有(yǒu)互連網出口和内部廣域網出口。
2.安(ān)全區(qū)劃分(fēn)
合理(lǐ)的安(ān)全區(qū)劃分(fēn)是為(wèi)了更清晰的定義和區(qū)分(fēn)信息資産(chǎn),同時也更利于我們對安(ān)全需求進行分(fēn)析,進而更有(yǒu)針對性的進行安(ān)全建設。
為(wèi)了更清晰地描繪出集團公(gōng)司網絡的邏輯分(fēn)布,參照IATF3.1标準,我們根據安(ān)全需求的不同,将集團公(gōng)司網絡信息系統劃分(fēn)為(wèi)以下的安(ān)全域結構。
集團公(gōng)司安(ān)全區(qū)劃分(fēn)
通過對各個安(ān)全區(qū)進行分(fēn)析,我們可(kě)以将集團公(gōng)司的安(ān)全需求歸納為(wèi)如下::
分(fēn)類 | 内容 |
防火牆 | 在Internet邊界設立防火牆 |
在出租邊界設立防火牆 | |
在廣域網邊界設立防火牆 | |
在服務(wù)器區(qū)邊界設立防火牆 | |
入侵檢測 | 在集團公(gōng)司内部網中(zhōng)設置IDS,檢測來自于互連網和内部之間的攻擊行為(wèi) |
郵件網關 | 在集團公(gōng)司郵件服務(wù)器前部署郵件網關,用(yòng)于防止垃圾郵件和過濾郵件病毒 |
SSL VPN系統 | 在集團公(gōng)司與互連網邊界部署SSL VPN系統,用(yòng)于實現集團移動辦(bàn)公(gōng)用(yòng)戶的訪問需求 |
3、解決方案
集團企業網整體(tǐ)安(ān)全的建設是一個系統工(gōng)程,我們在制定安(ān)全網絡策略時首先考慮到的就是邊界的訪問控制,在網絡層對計算機通信及各種應用(yòng)訪問進行嚴格的控制,保障合法的訪問,同時杜絕非法或非授權的訪問。通常我們采用(yòng)合理(lǐ)的劃分(fēn)VLAN和部署防火牆這兩個措施來實現邊界訪問控制,從而保障集網絡邊界安(ān)全和訪問控制。
為(wèi)了克服以太網的廣播問題,除了按照物(wù)理(lǐ)位置将網絡隔離外,還可(kě)以運用(yòng)VLAN(虛拟局域網)技(jì )術,将以太網通信變為(wèi)點到點通信,通過VLAN隔離,VLAN間采用(yòng)訪問控制策略,能(néng)夠加強網絡的整體(tǐ)安(ān)全。
通過VLAN技(jì )術,可(kě)以将集團新(xīn)辦(bàn)公(gōng)樓的網絡信息節點根據訪問特點和應用(yòng)系統的不同,劃分(fēn)為(wèi)多(duō)個虛拟子網,對各個子網共享資源進行限定。
在不同安(ān)全域之間安(ān)裝(zhuāng)防火牆設備是實現邊界訪問控制一個非常重要的技(jì )術手段,防火牆利用(yòng)IP和TCP包的頭信息對進出被保護網絡的IP包信息進行過濾,能(néng)根據企業的安(ān)全政策來控制(允許、拒絕、監測)出入網絡的信息流。同時可(kě)實現網絡地址轉換(NAT)、審記與實時告警等功能(néng)。由于這種防火牆安(ān)裝(zhuāng)在被保護網絡與路由器之間的通道上,因此也對被保護網絡和外部網絡起到隔離作(zuò)用(yòng)。
為(wèi)保證集團廣域網接入的安(ān)全,在廣域網接入區(qū)域和集團公(gōng)司内部網區(qū)域設置千兆防火牆,實現集團總公(gōng)司和廣域網的隔離,保證集團企業廣域網數據的安(ān)全性和高速的數據交換。
另外,利用(yòng)此防火牆的DMZ區(qū)接口與廣域網DMZ區(qū)相連,保證一個防火牆同時連接 3個不同的安(ān)全區(qū)域,在各個區(qū)域之間進行訪問控制,基本原則如下:
為(wèi)保證集團總公(gōng)司内網安(ān)全接入互聯網,在集團總公(gōng)司内網區(qū)域與互聯網區(qū)域邊界設置百兆防火牆,實現公(gōng)網區(qū)域服務(wù)器的保護以及集團總公(gōng)司内網安(ān)全接入,基本配置原則如下:
為(wèi)了保證出租網與集團總公(gōng)司内網數據的安(ān)全性,在出租網區(qū)域和互聯網區(qū)域邊界設置百兆防火牆,同時通過互連網路由器限制出租網對内部網的訪問,基本配置原則如下:
為(wèi)了保證核心數據區(qū)域的安(ān)全性,在核心數據區(qū)與内網辦(bàn)公(gōng)區(qū)邊界設置千兆防火牆,保證核心數據業務(wù)服務(wù)器和數據的安(ān)全性,基本配置原則如下:
利用(yòng)防火牆技(jì )術,經過仔細的配置,通常能(néng)夠在内外網之間提供安(ān)全的網絡保護,降低了網絡安(ān)全風險,但是入侵者可(kě)尋找防火牆背後可(kě)能(néng)敞開的後門,或者入侵者也可(kě)能(néng)就在防火牆内。
在集團總公(gōng)司新(xīn)辦(bàn)公(gōng)樓局域網部署基于網絡的入侵檢測探測器,并利用(yòng)集中(zhōng)安(ān)全管理(lǐ)平台進行統一的管理(lǐ),從而實現對特定網段、服務(wù)建立的攻擊監控體(tǐ)系,可(kě)實時檢測出絕大多(duō)數攻擊,并采取響應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等);入侵檢測分(fēn)系統與防火牆分(fēn)系統進行聯動,形成多(duō)層次的防禦體(tǐ)系,一旦攻擊者在突破前道防線(xiàn)後,利用(yòng)後道的防護手段可(kě)以延緩或阻斷其到達攻擊目标。
垃圾電(diàn)子郵件是指用(yòng)戶未主動請求或同意接收的電(diàn)子刊物(wù)、電(diàn)子廣告和各種形式的電(diàn)子宣傳品等電(diàn)子郵件,沒有(yǒu)明确發信人、發信地址、退信方式、發信人和收信人之間沒有(yǒu)任何可(kě)識别關系的電(diàn)子郵件,含有(yǒu)僞造信息源、發信地址、路由信息或收信人不存在的電(diàn)子郵件。
集團公(gōng)司必須要在郵件服務(wù)器之前部署郵件網關設備對進出郵件系統的郵件進行過濾,部署如下:
郵件網關邏輯上必須架設在郵件系統前端,防火牆的後端。郵件必需先經過郵件網關再投遞到後端的郵件系統。
虛拟專用(yòng)網絡(Virtual Private Net)可(kě)以實現不同網絡的組件和資源之間的相互連接。虛拟專用(yòng)網絡能(néng)夠利用(yòng)internet或其它公(gōng)共互聯網絡的基礎設施為(wèi)用(yòng)戶創建隧道,并提供與專用(yòng)網絡一樣的安(ān)全和功能(néng)保障。
在集團公(gōng)司的實際工(gōng)作(zuò)中(zhōng),部分(fēn)員工(gōng)經常需要移動辦(bàn)公(gōng),而這些移動辦(bàn)公(gōng)人員的上網形式又(yòu)各不相同,有(yǒu)的用(yòng)寬帶接入、有(yǒu)的用(yòng)撥号、用(yòng)的用(yòng)NAT方式等,他(tā)們随時需要訪問公(gōng)司内部信息,就像坐(zuò)在辦(bàn)公(gōng)室一樣。
為(wèi)了保證移動辦(bàn)公(gōng)用(yòng)戶能(néng)夠随時随地訪問内部網,并且确保數據傳輸的安(ān)全,最有(yǒu)效的辦(bàn)法是采用(yòng)SSL VPN的實現方式。
在内網交換機上部署一台SSL VPN網關,移動辦(bàn)公(gōng)用(yòng)戶不需要安(ān)裝(zhuāng)任何客戶端,隻要能(néng)上網就可(kě)以訪問 VPN網關,并通過VPN網關來訪問内部網,所有(yǒu)訪問過程中(zhōng)信息确保加密傳輸。
上一篇:網閘應用(yòng)案例
下一篇:保險行業