法院网络安全规划建设设计方案

*********************发展有限公司第I页****************************************法院网络安全规划方案*****************发展有限公司2011年11月*********************发展有限公司第II页目录1方案综述...........................................................................................................32网络出口安全....................................................................................................42.1法院网络出口安全设计............................................................................42.1.1网络出口定义.................................................................................42.1.2网络出口安全定义..........................................................................42.1.3出口主干安全设计..........................................................................52.1.4DMZ区域安全...............................................................................93内网与外网安全隔离.......................................................................................133.1.1防火墙的部署...............................................................................133.1.2安全隔离及数据交换系统.............................................................134安全管理区.....................................................................................................145互联网用户区..................................................................................................155.1网络管理系统........................................................................................165.2可信运维系统........................................................................................166高可用集群软件..............................................................................................17**********发展有限公司第3页1方案综述法院网络安全整体规划图如下：入侵防御链路负载负载均衡接入交换机核心交换机审计监控服务器网络防病毒服务器网页防篡改发布系统管理服务器（安装网络管理系统）安全管理区路由器防火墙SiSiSiSi抗DDos攻击WEB防火墙SSLVPN双机网站服务器网页防篡改系统网站服务器网页防篡改系统ISP1ISP2上网行为管理透明桥接（bypass）接入交换机DMZ区防火墙网络出口网闸交换机内部专网OA系统数字庭审IDSIDSIDS可信运维系统数据库………互联网用户区将*****法院分为四个区域：网络出口区域、内部专网区域、安全管理区域、互联网用户区，其中网络出口区包含DMZ区。另外采用高可用集群软件保障服务器及盘阵的稳定运行。各个区域网络安全设计在下面章节详细介绍。**********发展有限公司第4页2网络出口安全2.1法院网络出口安全设计2.1.1网络出口定义如上图所示：网络出口是指企事业单位网络与外部网络（如互联网、教育网、银行专网）连接的网络边界区域，其范围一般是指从企事业单位网络核心交换到连接外部网络边界的部分，一个单位可能存在一个或多个网络出口。网络出口是一个单位网络连接外界网络的纽带，是对外提供服务的窗口，面对的环境非常复杂，变化多端，此网络区域面临的安全风险最大，需要重点保护。2.1.2网络出口安全定义网络出口安全是指通过一些安全措施和管理措施的实施，制止企事业单位内部人员的反动、虚假言论等非法上网行为，确保员工的上网行为符合国家、上级主管单位及本单位要求；防范来自外部网络的各种攻击行为，确保对外业务的正常运行，维护企事业单位的形象。**********发展有限公司第5页2.1.3出口主干安全设计入侵防御链路负载负载均衡接入交换机核心交换机路由器防火墙SiSiSiSi抗DDos攻击WEB防火墙SSLVPN双机网站服务器网页防篡改系统网站服务器网页防篡改系统ISP1ISP2上网行为管理透明桥接（bypass）DMZ区IDS在出口主干部署负载均衡、抗DDos攻击、入侵防御系统、防火墙、上网行为管理、VPN网关设备，以上设备均采用双机部署模式，其中上网行为管理具有审计功能。下面介绍主要设备的功能特点。2.1.3.1负载均衡简介：负载均衡是建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网**********发展有限公司第6页络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。功能：全面的负载均衡包括动态速率、最少连接和观察模式的动态平衡，这些方法用于以整体方式跟踪服务器的动态性能。这保证了始终选择最佳的资源，以提高性能。可支持所有基于TCP/IP协议的服务器负载均衡。可支持最小连接数、轮询、比例、最快响应、哈希、预测、观察、动态比例等负载均衡算法。应用状态监控用于检查设备、应用和内容的可用性，包括适合多种应用的专用监视器(包括多种应用服务器、SQL、SIP、LDAP、XML/SOAP、RTSP、SASP、SMB等)，以及用于检查内容和模拟应用调用的定制监视器。高可用性和交易保障无论出现何种系统、服务器或应用故障，都能保证它是一个高可用的解决方案。BIG-IPLTM可以主动检测和响应任何服务器或应用错误。支持NAT地址转换提供NAT地址转换功能，能够实现动态或静态地址转换。支持访问控制列表能够实现防火墙的基本功能，建立访问控制列表，拒接IP网段或端口号吗。支持路由**********发展有限公司第7页该功能为多数设备中基本功能，但只支持静态路由，如果使用较为高级的OSPF路由协议，需要购买单独的模块来支持。2.1.3.2抗Ddos攻击DDoS攻击一般通过Internet上那些“僵尸”系统完成，由于大量个人电脑联入Internet，且防护措施非常少，所以极易被黑客利用，通过植入某些代码，这些机器就成为DDoS攻击者的武器。当黑客发动大规模的DDoS时，只需要同时向这些将僵尸机发送某些命令，就可以由这些“僵尸”机器完成攻击。随着Botnet的发展，DDoS造成的攻击流量的规模可以非常惊人，会给应用系统或是网络本身带来非常大的负载消耗。针对目前流行的DDoS攻击，包括未知的攻击形式，绿盟科技提供了自主研发的抗拒绝服务产品——NSFOCUSAnti-DDoSSystem，简称NSFOCUSADS。通过及时发现背景流量中各种类型的攻击流量，NSFOCUSADS可以迅速对攻击流量进行过滤或旁路，保证正常流量的通过。产品可以在多种网络环境下轻松部署，不仅能够避免单点故障的发生，同时也能保证网络的整体性能和可靠性。2.1.3.3入侵防御系统近年来，企业所面临的安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、垃圾邮件、网络资源滥用（P2P下载、IM即时通讯、网游、视频）等，极大地困扰着用户，给企业的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行便成为企业所面临的一个重要问题。针对日趋复杂的应用安全威胁和混合型网络攻击，绿盟科技提供了完善的安全防护方案。绿盟网络入侵防护系统（以下简称“NSFOCUSNIPS”）是绿盟科技拥有完全自主知识产权的新一代安全产品，作为一种在线部署的产品，其设计目标旨在准确监测网络异常流量，自动应对各类攻击流量，**********发展有限公司第8页第一时间将安全威胁阻隔在企业网络外部。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵防护解决方案。2.1.3.4下一代应用防火墙*****NGAF系列产品是一款以应用安全需求出发而设计的下一代应用防火墙。弥补了传统防火墙基于端口/IP无法防护应用层安全威胁的缺陷；改善了UTM类设备简单功能堆砌，性能瓶颈的弱点。通过单次解析引擎真正做到将防火墙、VPN、入侵防御、服务器防护、病毒防护、内容过滤、流量控制等多种安全技术有机的融合到一起，提供多功能、高性能的电信级安全设备。与传统安全设备相比它可以针对丰富的应用提供更完整的可视化内容安全防护。NGAF继承了传统防火墙的优秀品质，能够适应各种复杂的网络环境，同时通过单次解析引擎、应用可视化引擎、灰度威胁关联分析引擎三大创新引擎技术，提供强大的网络安全防护、可视化的应用管控、全面的应用安全防护，形成2-7层一体化安全防护解决方案。2.1.3.5VPN网关现在，随着移动存储技术及商务模式的发展，选择远程办公的人越来越多。随着中国经济的腾飞，企事业单位对员工移动办公、远程接入总部内网办公的需求越来越强，特别是WLAN技术、无线技术的发展更加剧了这种趋势。如何实现网络中的数据隔离、服务器隔离，构建安全的业务子网，供组织日常办公，这已成为IT管理者面临的重大挑战。*****VPN网关给远程移动办公所达到的效果1、通过SSLVPN，远程办公和移动用户可以随时访问内部办公平台，获取、提交信息非常便捷；2、*****SSLVPN提供目前最丰富的认证，包括USBKey、短信口令、软键盘、动**********发展有限公司第9页态令牌、CA、硬件特征码等，最大程度上确保接入用户身份的合法性；3、*****SSLVPN能够对内网的访问权限进行细致地设定，对不同的用户分配不同的权限规则，避免内部出现安全隐患；4、*****SSLVPN操作简易，支持多种部署模式，不会对现有网络造成任何影响，各种服务及应用均可正常使用，与中国人民银行的各种IT办公系统结合良好。2.1.3.6上网行为管理系统*****上网行为管理产品作为中国上网行为管理领域的第一品牌，可助您实现对互联网访问行为的全面管理。*****上网行为管理产品凭借强大的功能和简便的操作，可在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。2.1.4DMZ区域安全负载均衡接入交换机WEB防火墙网站服务器网页防篡改系统网站服务器网页防篡改系统DMZ区网络审计探针IDSDMZ区域部署WEB防火墙、负载均衡、IDS。下面