搜索
1海南电子政务外网项目A.用户概述海南省电子政务外网(一期)工程将建设政务外网传输网络,统一硬件平台,操作系统与数据库平台,共享数据平台,基础业务在线办理与跨部门综合应用等内容。B.问题挑战互联网边界防火墙位于省数据中心互联网边界,作用于省数据中心所有安全域;控制进出外网的所有数据流量,阻止各类非法应用内部安全域防火墙位于除办公终端区意外所有内部安全域边界,作用于省数据中心内部各安全域;对内部各安全域进行独立防护,进行访问控制、攻击防御VPN网关位于省数据中心互联网边界,在防火墙一侧旁路部署,作用于VPN接入区,为各接入单位提供VPN接入服务C.解决方案拓扑示意图2对于外部安全边界来说,需要在国家电子政务外网接入安全域、专线接入安全域(中心端)、VPN接入安全域(中心端)、互联网服务器区安全域、远程专线各接入单位、远程VPN接入单位这六个安全域的安全边界上部署防火墙。专线接入安全域(中心端)与VPN接入安全域(中心端)是数据中心与海南省各单位采用专线或VPN进行连接的区域。在专线接入安全域(中心端)和VPN接入安全域(中心端)安全边界上部署防火墙,可以对外部接入的访问进行访问控制,保证只有合法的用户可以访问授权的资源。对非法的访问行为,将拒绝访问,从而达到保护内部服务和系统的目的。同时,可以在防火墙上对访问行为进行记录和审计,对入侵和非法访问进行跟踪以及事后分析。远程专线各接入单位、远程VPN接入单位的外部边界上部署防火墙,可以通过制定严格的访问策略、保证接入单位访问行为的合法性以及数据中心与接入单位进行数据交互行为的合法性。在互联网服务器区安全域的安全边界部署防火墙,将对外提供服务的服务器部署在防火墙的DMZ区,通过制定访问控制策略,来对对外的业务服务器进行专门的保护,可以对来自互联网的用户访问请求进行访问控制。同时,可以通过防火墙上集成的入侵检测功能,对来自互联网的入侵行为,进行检测并阻断。由于互联网服务器区安全边界面临的安全风险较多,需要通过严格执行安全策略发挥防火墙最佳功效:1)集中放置面向Internet服务的主机,在一个集中、受控的环境下监控网络流量2)关闭不必要的服务3)严格限制进、出网络的ICMP流量和UDP流量4)允许网络管理流量进局域网系统5)严格制定防火墙策略,限制所有无关访问在国家电子政务外网接入安全域,部署一台防火墙,控制进出国家电子政务外网的数据流量。由于面对的是外部复杂的网络环境,因此这些边界防火墙需要具备更多的深度过滤功3能:能够阻止常见的蠕虫扩散,能够对P2P带宽进行流量管理等。同时能够精细的进行设备管理,减轻管理员管理负担。D.实现效果解决了海南省电子政务外网的外网边界安全问题及各单位的安全接入问题。