保險行業
一、 整體(tǐ)目标
通過安(ān)放和合理(lǐ)地配置防火牆,有(yǒu)效地防止外部攻擊和内部越權訪問與蓄意破壞,确保全網所承載的各項業務(wù)的正常運行,具(jù)體(tǐ)包括:
1.阻止對未開放端口的非法訪問;
2.合理(lǐ)設置不同的安(ān)全權限,有(yǒu)效隔離不同層次的安(ān)全級别;
3.隐藏内部網絡拓撲結構;
4.抵擋木(mù)馬攻擊、蠕蟲攻擊、後門攻擊、利用(yòng)漏洞攻擊和拒絕服務(wù)攻擊;
5.強化對網絡的控制,确保關鍵業務(wù)的網絡帶寬。
二、 部署原則
根據該保險公(gōng)司的網絡狀況,同時考慮到防火牆作(zuò)為(wèi)分(fēn)割不同安(ān)全域的設備,必須部署在不同安(ān)全等級安(ān)全域的邊界處,現确定以下部署原則。
㈠ 與互聯網連接的邊界必須部署防火牆
根據有(yǒu)關規定,該保險公(gōng)司内部網必須與互聯網物(wù)理(lǐ)斷開,同時我們也無法回避訪問互聯網的需求,因此,在保證内部網與互聯網物(wù)理(lǐ)斷開的原則下,與互聯網相連接邊界必須部署防火牆,使得内部用(yòng)戶可(kě)以訪問互聯網,同時最大限度地屏蔽互聯網用(yòng)戶對内部網絡的危害。
㈡ 内部網與銀行等其它單位網絡連接的邊界必須部署防火牆
與銀行等其它單位相連接,可(kě)以使保險業務(wù)更加迅速高效,但是公(gōng)司内部網同時也暴露在其它單位網絡用(yòng)戶面前,使其它單位網絡用(yòng)戶具(jù)備了攻擊公(gōng)司内部網的可(kě)能(néng)性。因此必須設置防火牆,針對其它單位網絡用(yòng)戶對内部網的訪問,進行實時的監控、限制與管理(lǐ)。
三、 配置方案
實施地市級分(fēn)公(gōng)司的具(jù)體(tǐ)配置方案如下:
1. 在地市級分(fēn)公(gōng)司與互聯網連接邊界、内部網與銀行等外聯單位相聯的網絡出口處,統一配置至少一台防火牆,用(yòng)于公(gōng)司内部網與外部網之間的安(ān)全隔離;
2. 在地市級級分(fēn)公(gōng)司内部網對省級公(gōng)司和對區(qū)縣級分(fēn)公(gōng)司的網絡出口處,配置防火牆,用(yòng)于公(gōng)司内部網不同安(ān)全域之間的安(ān)全隔離。
在工(gōng)程實施過程中(zhōng),如需局部調整網絡結構或添置網絡設備,在編制實施計劃時一并考慮解決。其具(jù)體(tǐ)配置方案如下圖所示。
保險公(gōng)司地市級分(fēn)公(gōng)司(數據集中(zhōng)模式)防火牆配置示意圖
四、 安(ān)全策略
㈠ 與互聯網隔離的安(ān)全策略
在配置相應防火牆的規則時,允許内部員工(gōng)以隐藏後的IP地址訪問互聯網;互聯網用(yòng)戶不能(néng)訪問保險業務(wù)網絡的服務(wù)。
㈡ 與省級公(gōng)司網絡隔離的安(ān)全策略
在配置相應防火牆的規則時,允許該分(fēn)公(gōng)司服務(wù)器向總公(gōng)司特定服務(wù)器上傳數據;允許該分(fēn)公(gōng)司與省級分(fēn)公(gōng)司相互間訪問特定的服務(wù);限制互聯網服務(wù)的帶寬;保證關鍵業務(wù)應用(yòng)的帶寬;網絡的其它服務(wù)均被禁止。
㈢ 與區(qū)縣級分(fēn)公(gōng)司網絡隔離的安(ān)全策略
在配置相應防火牆的規則時,隻允許下連的區(qū)縣級分(fēn)(支)公(gōng)司的特定服務(wù)器可(kě)以向本分(fēn)公(gōng)司的特定服務(wù)器上傳數據;對于本地無服務(wù)器的下連分(fēn)公(gōng)司,隻允許特定的工(gōng)作(zuò)主機訪問本公(gōng)司特定服務(wù)器的特定服務(wù);限制互聯網服務(wù)的帶寬;保證關鍵業務(wù)應用(yòng)的帶寬;網絡的其它服務(wù)均被禁止。
㈣ 與銀行等外聯單位隔離的安(ān)全策略
在配置相應防火牆的規則時,隻允許本公(gōng)司服務(wù)器同其它單位的特定服務(wù)器之間可(kě)以互傳數據,并且隻能(néng)相互訪問特定的服務(wù),網絡的其它服務(wù)均被禁止
五、部署産(chǎn)品說明
根據該保險公(gōng)司各級分(fēn)公(gōng)司的實際網絡環境,我們推薦三款防火牆供用(yòng)戶選擇。
| 産(chǎn)品名(míng)稱 | 部署網絡環境 |
| 中(zhōng)網百兆防火牆産(chǎn)品 | 适用(yòng)于百兆網絡環境 |
| 中(zhōng)網千兆防火牆産(chǎn)品 | 适用(yòng)于準千兆網絡環境 |
| 中(zhōng)網線(xiàn)速千兆防火牆産(chǎn)品 | 适用(yòng)于線(xiàn)速千兆網絡環境 |
|
部署位置
|
部署方式
|
部署數量
|
部署方式
|
部署數量
|
| 地市級分(fēn)公(gōng)司與互聯網連接邊界 |
單機模式
|
1
|
雙機熱備
|
2
|
| 地市級分(fēn)公(gōng)司與銀行等外聯單位邊界 |
單機模式
|
1
|
雙機熱備
|
2
|
| 地市級分(fēn)公(gōng)司與省級公(gōng)司網絡邊界 |
單機模式
|
1
|
雙機熱備
|
2
|
| 地市級分(fēn)公(gōng)司與區(qū)縣級分(fēn)公(gōng)司網絡邊界 |
單機模式
|
1
|
雙機熱備
|
2
|
| 合計 |
|
4
|
|
8
|