企业系统 -湖北中网科技有限公司 体彩220期开奖直播

解决方案

  网络安全解决方案
        电子政务
        电力行业
        教育行业
        保险行业
        企业系统
        税务行业
        网闸应用案例
        网闸应用测试
        政府门户网站安全方案
  软件解决方案
        门户解决方案
        协同管理解决方案
        中网IT调度综合管理系统
        经济数据分析解决方案
        仲裁行业解决方案
        在线交易管理解决方案
        应急指挥解决方案
        数据整合解决方案
 
    电话:027-87367829
    邮箱:support@hbzw.net

  地址:

湖北省武汉市中北路1号楚天都市花园B座16楼
   
   

您的当前位置:首页 > 解决方案 > 网络安全解决方案

企业系统

企业系统

1、概况

      某集团公司信息业务的主要范围集中在集团公司本部的数据中心,数据中心存储?#21496;?#22823;部分集团的信息资产。 30多台服务器构成了核心服务器区,服务器的类型和服务的类型比较多,有只对内发布的生产系统、人事系统,有对外发布的WWW网站,内外都使用的网上业务系统,还有网络正常业务需要的邮件、域名、代理等系统,还有数量不少的各系统使用的后台,如数机库、目录系统等;集团公司新办公楼所承载的信息系统除了数据中心的重要服务器外,还包括分布于各个楼层的内部办公网,和部分出租楼层的办公网;数据中心对外有互连网出口和内部广域网出口。

    

 

2.安全区划分

      合理的安全区划?#36136;?#20026;了更清晰的定义和区?#20013;?#24687;资产,同时也更利于我们对安全需求进行分析,进而更有针对性的进行安全建设。

      为了更清晰地描绘出集团公司网络的逻辑分布,参照IATF3.1标准,我们根据安全需求的不同,将集团公司网络信息系统划分为以下的安全域结构。

 

      集团公司安全区划分

      通过对各个安全区进行分析,我们可以将集团公司的安全需求归纳为如下::

分类

内容

防火墙

Internet边界设立防火墙

在出租边界设立防火墙

在广域网边界设立防火墙

在服务器区边界设立防火墙

入侵检测

在集团公司内部网中设置IDS,检测来自于互连网和内部之间的攻击行为

邮件网关

在集团公司邮件服务器?#23433;?#32626;邮件网关,用于防止垃圾邮件和过滤邮件病毒

SSL VPN系统

在集团公司与互连网边界部署SSL VPN系统,用于实现集团移动办公用户的访?#24066;?#27714;

3、解决方案

   3.1、访问控制解决解决方案

      集团企业网整体安全的建设是一个系统工程,我们在制定安全网络策略时首先考虑到的就是边界的访问控制,在网络层对计算机通信?#26696;?#31181;应用访?#24335;?#34892;严格的控制,保障合法的访问,同时杜绝非法或非授权的访?#30465;?#36890;常我们采用合理的划分VLAN和部署防火墙这两个措施来实现边界访问控制,从而保障集网络边界安全和访问控制。

   3.1.1、VLAN

      为了克服以太网的广播问题,除?#31246;?#29031;物理位?#23186;?#32593;络隔离外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,通过VLAN隔离,VLAN间采用访问控制策略,能够加强网络的整体安全。

      通过VLAN技术,可以将集团新办公楼的网络信息节点根据访问特点和应用系统的不同,划分为多个虚拟子网,对各个子网共享资源进行限定。

   3.1.2、防火墙解决方案

      在不同安全域之间安装防火墙设备是实现边界访问控制一个非常重要的技术手段,防火墙利用IPTCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据企业的安全政策来控制(?#24066;懟?#25298;绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审记与实时告警等功能。由于这?#22336;?#28779;墙安装在被保护网络与路由器之间的通道上,因此也对被保护网络和外部网络起到隔离作用。

      为保证集团广域网接入的安全,在广域网接入区域和集团公司内部网区域设?#20204;?#20806;防火墙,实现集团总公司和广域网的隔离,保证集团企业广域网数据的安全性和高速的数据交换。

      另外,利用此防火墙的DMZ区接口与广域网DMZ区相连,保证一个防火墙同时连接 3个不同的安全区域,在各个区域之间进行访问控制,基本原则如下:

  • 各楼层办公网可以访问集团公司广域网;
  • 各楼层办公网可以访问广域网 DMZ ;
  • 广域网 DMZ 不可以访问各楼层办公网;
  • 集团公司广域网可以访问广域网 DMZ ;
  • 集团公司广域网不可以访问内部办公网。

      为保证集团总公司内网安全接入互联网,在集团总公司内网区域与互联网区域边界设置百兆防火墙,实现公网区域服务器的保护以及集团总公司内网安全接入,基本配置原则如下:

  • 内部办公网用户可以访问互联网;
  • 服务器区用户可以访问互连网;
  • 互连网用户不可以访问内部办公网;
  • 互连网用户不可以访问服务器区。

      为了保证出租网与集团总公司内网数据的安全性,在出租网区域和互联网区域边界设置百兆防火墙,同时通过互连网路由器限制出租网对内部网的访问,基本配置原则如下:

  • ?#24066;?#20986;租网访问互连网;
  • 不?#24066;?#20114;连网访问出租网。

      为了保证核心数据区域的安全性,在核心数据区与内网办公区边界设?#20204;?#20806;防火墙,保证核心数据业务服务器和数据的安全性,基本配置原则如下:

  • 办公网对服务器区的访问只?#24066;?#24320;放必要的端口;
  • 服务器区?#22253;?#20844;网的访问只?#24066;?#24320;放必要的IP
  • 其他区域对服务器区的访问全部禁止。

   3.2、入侵检测系统解决方案

      利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者?#37096;?#33021;就在防火墙内。

      在集团总公司新办公楼局域网部署基于网络的入侵检测探测器,并利用集中安全管理?#25945;?#36827;行统一的管理,从而实现对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等);入侵检测分系统与防火墙分系统进行联动,形成多层次的防御体系,一旦攻击者在突破前道防线后,利用后道的防护手段可以延缓或阻断其到达攻击目标。

   3.3、邮件网关解决方案

      垃圾电子邮件是指用户未主动请求或同意接收的电子刊物、电子广告和各?#20013;?#24335;的电?#26377;?#20256;品等电子邮件,没有明确发信人、发信地址、退信方式、发信人和收信人之间没有任何可识别关系的电子邮件,含有伪造信息源、发信地址、路由信息或收信人不存在的电子邮件。

      集团公司必须要在邮件服务器之?#23433;?#32626;邮件网关设备对进出邮件系统的邮件进行过滤,部署如下:

      邮件网关逻辑上必须架设在邮件系统前端,防火墙的后端。邮件必需先经过邮件网关再投递到后端的邮件系统。

   3.4、SSL VPN系统解决方案

      虚拟专用网络(Virtual Private Net)可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用internet或其它公?#19981;?#32852;网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。

      在集团公司的实?#20351;?#20316;中,部分员工经常需要移动办公,而这些移动办公人员的上网形式?#25351;?#19981;相同,有的用宽带接入、有的用拨号、用的用NAT方式等,他们随时需要访问公司内部信息,就像坐在办公室一样。

      为了保证移动办公用户能够随时随地访问内部网,并且确保数据传输的安全,最有效的办法是采用SSL VPN的实现方式。

      在内网交换机上部署一台SSL VPN网关,移动办公用户不需要安装任何客户端,只要能上网就可以访问 VPN网关,并通过VPN网关来访问内部网,所有访?#20351;?#31243;中信息确保?#29992;?#20256;输。

 

 

体彩220期开奖直播 上海时时乐分布图-非凡彩票网 二肖中特二肖二马中特 河南快赢481玩法介绍 四川金7乐基本走势图 德州扑克游戏规则 亿豪彩票首页 北京快三预测号 河南22选5开奖结果走势图 安徽十一选五开奖结果走势图 北京pk10赛车开奖