十三张牌小游戏

解決方案

  網絡安全解決方案
        電子政務
        電力行業
        教育行業
        保險行業
        企業系統
        稅務行業
        網閘應用案例
        網閘應用測試
        政府門戶網站安全方案
  軟件解決方案
        門戶解決方案
        協同管理解決方案
        中網IT調度綜合管理系統
        經濟數據分析解決方案
        仲裁行業解決方案
        在線交易管理解決方案
        應急指揮解決方案
        數據整合解決方案
 
    電話:027-87367829
    郵箱:support@hbzw.net

  地址:

湖北省武漢市中北路1號楚天都市花園B座16樓
   
   

您的當前位置:首頁 > 解決方案 > 網絡安全解決方案

企業系統

企業系統

1、概況

      某集團公司信息業務的主要范圍集中在集團公司本部的數據中心,數據中心存儲了絕大部分集團的信息資產。 30多臺服務器構成了核心服務器區,服務器的類型和服務的類型比較多,有只對內發布的生產系統、人事系統,有對外發布的WWW網站,內外都使用的網上業務系統,還有網絡正常業務需要的郵件、域名、代理等系統,還有數量不少的各系統使用的后臺,如數機庫、目錄系統等;集團公司新辦公樓所承載的信息系統除了數據中心的重要服務器外,還包括分布于各個樓層的內部辦公網,和部分出租樓層的辦公網;數據中心對外有互連網出口和內部廣域網出口。

    

 

2.安全區劃分

      合理的安全區劃分是為了更清晰的定義和區分信息資產,同時也更利于我們對安全需求進行分析,進而更有針對性的進行安全建設。

      為了更清晰地描繪出集團公司網絡的邏輯分布,參照IATF3.1標準,我們根據安全需求的不同,將集團公司網絡信息系統劃分為以下的安全域結構。

 

      集團公司安全區劃分

      通過對各個安全區進行分析,我們可以將集團公司的安全需求歸納為如下::

分類

內容

防火墻

Internet邊界設立防火墻

在出租邊界設立防火墻

在廣域網邊界設立防火墻

在服務器區邊界設立防火墻

入侵檢測

在集團公司內部網中設置IDS,檢測來自于互連網和內部之間的攻擊行為

郵件網關

在集團公司郵件服務器前部署郵件網關,用于防止垃圾郵件和過濾郵件病毒

SSL VPN系統

在集團公司與互連網邊界部署SSL VPN系統,用于實現集團移動辦公用戶的訪問需求

3、解決方案

   3.1、訪問控制解決解決方案

      集團企業網整體安全的建設是一個系統工程,我們在制定安全網絡策略時首先考慮到的就是邊界的訪問控制,在網絡層對計算機通信及各種應用訪問進行嚴格的控制,保障合法的訪問,同時杜絕非法或非授權的訪問。通常我們采用合理的劃分VLAN和部署防火墻這兩個措施來實現邊界訪問控制,從而保障集網絡邊界安全和訪問控制。

   3.1.1、VLAN

      為了克服以太網的廣播問題,除了按照物理位置將網絡隔離外,還可以運用VLAN(虛擬局域網)技術,將以太網通信變為點到點通信,通過VLAN隔離,VLAN間采用訪問控制策略,能夠加強網絡的整體安全。

      通過VLAN技術,可以將集團新辦公樓的網絡信息節點根據訪問特點和應用系統的不同,劃分為多個虛擬子網,對各個子網共享資源進行限定。

   3.1.2、防火墻解決方案

      在不同安全域之間安裝防火墻設備是實現邊界訪問控制一個非常重要的技術手段,防火墻利用IPTCP包的頭信息對進出被保護網絡的IP包信息進行過濾,能根據企業的安全政策來控制(允許、拒絕、監測)出入網絡的信息流。同時可實現網絡地址轉換(NAT)、審記與實時告警等功能。由于這種防火墻安裝在被保護網絡與路由器之間的通道上,因此也對被保護網絡和外部網絡起到隔離作用。

      為保證集團廣域網接入的安全,在廣域網接入區域和集團公司內部網區域設置千兆防火墻,實現集團總公司和廣域網的隔離,保證集團企業廣域網數據的安全性和高速的數據交換。

      另外,利用此防火墻的DMZ區接口與廣域網DMZ區相連,保證一個防火墻同時連接 3個不同的安全區域,在各個區域之間進行訪問控制,基本原則如下:

  • 各樓層辦公網可以訪問集團公司廣域網;
  • 各樓層辦公網可以訪問廣域網 DMZ ;
  • 廣域網 DMZ 不可以訪問各樓層辦公網;
  • 集團公司廣域網可以訪問廣域網 DMZ ;
  • 集團公司廣域網不可以訪問內部辦公網。

      為保證集團總公司內網安全接入互聯網,在集團總公司內網區域與互聯網區域邊界設置百兆防火墻,實現公網區域服務器的保護以及集團總公司內網安全接入,基本配置原則如下:

  • 內部辦公網用戶可以訪問互聯網;
  • 服務器區用戶可以訪問互連網;
  • 互連網用戶不可以訪問內部辦公網;
  • 互連網用戶不可以訪問服務器區。

      為了保證出租網與集團總公司內網數據的安全性,在出租網區域和互聯網區域邊界設置百兆防火墻,同時通過互連網路由器限制出租網對內部網的訪問,基本配置原則如下:

  • 允許出租網訪問互連網;
  • 不允許互連網訪問出租網。

      為了保證核心數據區域的安全性,在核心數據區與內網辦公區邊界設置千兆防火墻,保證核心數據業務服務器和數據的安全性,基本配置原則如下:

  • 辦公網對服務器區的訪問只允許開放必要的端口;
  • 服務器區對辦公網的訪問只允許開放必要的IP
  • 其他區域對服務器區的訪問全部禁止。

   3.2、入侵檢測系統解決方案

      利用防火墻技術,經過仔細的配置,通常能夠在內外網之間提供安全的網絡保護,降低了網絡安全風險,但是入侵者可尋找防火墻背后可能敞開的后門,或者入侵者也可能就在防火墻內。

      在集團總公司新辦公樓局域網部署基于網絡的入侵檢測探測器,并利用集中安全管理平臺進行統一的管理,從而實現對特定網段、服務建立的攻擊監控體系,可實時檢測出絕大多數攻擊,并采取響應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等);入侵檢測分系統與防火墻分系統進行聯動,形成多層次的防御體系,一旦攻擊者在突破前道防線后,利用后道的防護手段可以延緩或阻斷其到達攻擊目標。

   3.3、郵件網關解決方案

      垃圾電子郵件是指用戶未主動請求或同意接收的電子刊物、電子廣告和各種形式的電子宣傳品等電子郵件,沒有明確發信人、發信地址、退信方式、發信人和收信人之間沒有任何可識別關系的電子郵件,含有偽造信息源、發信地址、路由信息或收信人不存在的電子郵件。

      集團公司必須要在郵件服務器之前部署郵件網關設備對進出郵件系統的郵件進行過濾,部署如下:

      郵件網關邏輯上必須架設在郵件系統前端,防火墻的后端。郵件必需先經過郵件網關再投遞到后端的郵件系統。

   3.4、SSL VPN系統解決方案

      虛擬專用網絡(Virtual Private Net)可以實現不同網絡的組件和資源之間的相互連接。虛擬專用網絡能夠利用internet或其它公共互聯網絡的基礎設施為用戶創建隧道,并提供與專用網絡一樣的安全和功能保障。

      在集團公司的實際工作中,部分員工經常需要移動辦公,而這些移動辦公人員的上網形式又各不相同,有的用寬帶接入、有的用撥號、用的用NAT方式等,他們隨時需要訪問公司內部信息,就像坐在辦公室一樣。

      為了保證移動辦公用戶能夠隨時隨地訪問內部網,并且確保數據傳輸的安全,最有效的辦法是采用SSL VPN的實現方式。

      在內網交換機上部署一臺SSL VPN網關,移動辦公用戶不需要安裝任何客戶端,只要能上網就可以訪問 VPN網關,并通過VPN網關來訪問內部網,所有訪問過程中信息確保加密傳輸。

 

 

三张牌的游戏 中原风采25最新开奖号 录像黄色片 江苏7位数每晚几点开奖 山西快乐十分电视走 今天体彩6十1预测号 闲聊卡五星群 管家婆四肖八吗期期中2019 欢乐斗牛棋牌 支付宝天天扫码领红包 各地麻将app 二分彩开奖直播 打自动麻将机必胜技 黑龙江36选7开奖结果查询 日本女优三级片dvd播放 股票开户数据 850棋牌下载最新版ios