|
政府信息化網(wǎng)絡規(guī)劃及網(wǎng)絡安全管理方案
資源天下 2019/8/21 17:34:27
(接上頁)聯(lián)動��,可以對用戶的網(wǎng)絡流量進行分析���,并通過內(nèi)置的安全事件庫對網(wǎng)路安全事件進行及時的檢測和上報,并通過后臺系統(tǒng)的聯(lián)動處理來自動的處理發(fā)生的網(wǎng)絡安全事件。
4.3.4. 端到端安全訪問通道
針對傳統(tǒng)解決方案安全域粗粒度劃分�����,數(shù)據(jù)在終端接入?yún)^(qū)域有交叉的問題�,此次在辦公局域網(wǎng)采用VPN技術(shù),針對不同業(yè)務的資源服務器及相關(guān)部門的終端機進行不同MPLS VPN的劃分�����,將相關(guān)資源服務器及相關(guān)主機與非相關(guān)業(yè)務及主機進行邏輯隔離����,以克服終端接入?yún)^(qū)數(shù)據(jù)交叉帶來的安全隱患問題�����。
終端在訪問應用系統(tǒng)時�,在接入交換機上即被劃分在相應的VRF中,使該邏輯網(wǎng)絡中僅存在該終端和該應用系統(tǒng)兩個主體��,從而避免了數(shù)據(jù)交叉的問題�。
4.3.5. 安全系統(tǒng)訪問權(quán)限劃分
傳統(tǒng)解決方案在對應用系統(tǒng)訪問做授權(quán)時,采用的是應用層授權(quán)的方式����,即通過用戶的賬號及密碼來決定是否可以獲取相關(guān)的資源�����,沒有相關(guān)權(quán)限的用戶則無法獲取權(quán)限以外的資源�。但這種方式在應用層面解決授權(quán)問題時���,忽略了非授權(quán)用戶也可以在網(wǎng)絡層面訪問服務器�,這樣存在對服務器造成網(wǎng)絡攻擊的可能性��。
針對傳統(tǒng)安全域解決方案中對于用戶身份認證及授權(quán)存在的漏洞���,銳捷網(wǎng)絡建議在數(shù)據(jù)鏈路層進行認證��,通過認證的賬戶在入網(wǎng)時就確定了身份�,確定了身份也就隨之確定了可以到達網(wǎng)絡的權(quán)限���,即使在同一個MPLS VPN中��,也嚴格區(qū)分了針對不同等級安全域的訪問權(quán)限�����。真正做到了依照身份管理���,依照應用授權(quán)�����。
認證后由網(wǎng)絡設備直接隔離用戶和業(yè)務系統(tǒng)���,不再依靠業(yè)務系統(tǒng)自身實現(xiàn)。即使非法用戶知道敏感信息的位置����,但是該非法用戶無法嗅探到該服務器的存在���。
4.3.6. 同一時間訪問同一安全域
傳統(tǒng)解決方案中�����,用戶終端可以訪問自己所屬部門的資源服務器����,同時也可以通過Internet出口訪問����,這樣存在非常嚴重的安全隱患����,一旦終端用戶被互聯(lián)網(wǎng)黑客植入木馬���,則黑客可通過“肉雞”主機竊取高等級安全域中的信息數(shù)據(jù)���。
針對網(wǎng)絡中可能存在的“肉雞”主機問題,應用安全域解決方案通過對用戶主機的認證授權(quán)模式�����,確����?蛻糁鳈C在同一時間段只能訪問某一個區(qū)域,如訪問互聯(lián)網(wǎng)區(qū)域����,則不能訪問其他的安全域中的服務器,若訪問安全域中的服務器��,則不能訪問互聯(lián)網(wǎng)���,保證了即使被植入木馬的主機����,在訪問服務器資源時也不會被外界控制,從而降低網(wǎng)絡中的信息泄漏的概率��。
同一時間只允許訪問一個區(qū)域�����,防止終端被外網(wǎng)木馬控制導致泄密��。
五�����、方案特點總結(jié)
綜合以上論述��,本方案具有以下特點:
5.1高性能��、高穩(wěn)定的外網(wǎng)出口設計
本方案出口采用了銳捷高端千兆防火墻RG-Wall�、NPE和流控ACE設備��,作為整個網(wǎng)絡的千兆出口����,該設備的高速NAT性能既能滿足目對出口設備的性能需求�����,又能提供今后幾年內(nèi)的擴展���。
5.2高性能、高穩(wěn)定�、高安全的核心設計
方案采用雙核心雙鏈路架構(gòu),確保了網(wǎng)絡骨干鏈路的穩(wěn)定����,實現(xiàn)了網(wǎng)絡7*24小時不間斷服務。
同時�,采用全萬兆的骨干鏈路設計,可以確保全網(wǎng)的高性能�。
本方案核心設備采用的銳捷網(wǎng)絡新一代多業(yè)務萬兆核心路由交換機RG-S8614提供8T背板帶寬,高達2360Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的數(shù)據(jù)交換���。NP+ASIC構(gòu)架的設計方式利用ASIC芯片高速處理各種傳統(tǒng)的業(yè)務�����,如二層交換���、三層路由��、ACL��、QOS以及組播處理等等�,滿足核心交換機對于交換機處理性能的需求�����,而利用NP實現(xiàn)各種非傳統(tǒng)或未成熟的業(yè)務���,滿足核心交換機對于業(yè)務按需疊加的需求�,同時NP接近ASIC的高效特性又保障了多業(yè)務提供的高性能���,依然保持了核心交換機對于強大處理能力的需求��。為網(wǎng)絡的建設提供高性能的核心的同時提供了對多業(yè)務的支持�。
RG-S8614支持包括802.1D��、802.1W����、802.1S在內(nèi)的多種生成樹協(xié)議以及虛擬路由協(xié)議VRRP,提供完善的雙核心保障技術(shù)�����;RG-S8614采用了獨特的SPOH設計保證核心設備在開啟ACL和QOS等安全功能之后不影響核心設備的CPU��,保障核心設備在提供安全功能的同時穩(wěn)定性不受影響�;RG-S8614的三平面分離技術(shù),通過采用數(shù)據(jù)平面�、控制平面、管理平面相互分離的結(jié)構(gòu)模型�,保證了數(shù)據(jù)處理不影響管理和控制,而在路由和環(huán)境復雜條件下�����,控制平面不影響管理平面����,高度保證了系統(tǒng)穩(wěn)定性。
RG-S8614除了提供高速轉(zhuǎn)發(fā)性能���,提供穩(wěn)定性的保障之外����,還提供了豐富的接入、數(shù)據(jù)和設備本身管理的安全�����。如提供SSHv1/v2的加密登陸和管理功能����,在遠程登錄設備的時候發(fā)送的數(shù)據(jù)都是經(jīng)過機密的,避免管理信息明文傳輸引發(fā)的潛在威脅�����;Telnet/Web登錄的(未完����,下一頁)
|