芜湖地税城域网项目解决方案.docx

芜湖地税城域网项目解决解决方案芜湖地税城域网项目解决方案北京天融信科技有限公司2011年4月目 录第一章 项目背景3第二章 系统现状描述4第三章 需求分析53.1 稳定性53.2 安全性5第四章 安全规划64.1 稳定性规划64.2 安全性规划64.2.1 防病毒网关64.2.2 入侵防御系统（TopIDP）64.2.3 防火墙74.2.4 安全拓扑8第一章 项目背景如今，以Internet为代表的全球性信息化浪潮迅猛发展，信息网络技术的应用日益普及和广泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，随着网络的普及，越来越多的企业、个人通过互联网进行重要数据的传输、商务活动的实现，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求，如何使信息网络系统不受黑客、工业间谍及其他未授权用户的入侵，已成为政府机构、企事业单位信息化健康发展所必需考虑及解决的重要问题。加快政府机关系统的信息化建设，利用现代计算机技术和通讯技术等手段，建立全省地税信息系统。改善地税行政管理工作，提高各项地税行政业务的管理水平，为各级地税行政机关的决策提供快速、准确的地税信息服务，已成为一项重要的任务。第二章 系统现状描述目前芜湖地税城域网通过一台天融信防火墙经过网闸到两台思科4006核心交换机形成对外出口。内网方面，出口防火墙下挂了网上申报、12366web、短信服务器和双平台服务器等重要服务器。核心交换下连接到省局、各分局、广电宽带网、银行、财政部等网络。其中只有连接到银行、财政部和省局的网络有防火墙保护。安全设备匮乏。拓扑如下：第三章 需求分析3.1 稳定性在连接Internet出口处目前共有四台设备，分别是一台防火墙，一台网闸，和两台核心交换机。其中网闸是不影响网络稳定性，弱其故障也不会导致网络中断，两台交换机已经做了HSRP热备，但是防火墙在网络的最前线，并且作肩负着路由的功能，在没有备份的情况下，一旦其故障将会影响这个网络的使用，影响正常办公，甚至导致网络的瘫痪。3.2 安全性目前整个城域网内安全设备数量少，只有两台防火墙，一台是总出口处的防火墙，一台是保护各银行、省局、视频会议系统等网络的防火墙安全防护能力单薄。另外，安全设备的种类单一，防火墙的功能有限，不能全方位保护城域网内的信息安全。第四章 安全规划4.1 稳定性规划在Internet出口处，建议添加一台防火墙，形成双机热备。在双机热备模式下，任何时刻都只有一台防火墙（主墙）处于工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高的防火墙接替主墙的工作，进行数据转发。 两台台网络卫士防火墙之间各通过一个物理接口（心跳口）相连，用于两台防火墙之间的状态和配置信息的同步。4.2 安全性规划4.2.1 防病毒网关在互联网出口处部署一台防病毒网关，过滤进入城域网的病毒。天融信网络卫士过滤网关系统防病毒网关采取了一个与单机防护不同的基于网络的病毒防护方案。它被设计成安装在网络边缘，在病毒侵入网络之前实时的阻止它们，并且没有传统解决方案通常都有的延时。网络卫士防病毒网关具有真正的即插即用能力，只要部署好之后就可以进行网络协议数据的病毒过滤功能；目前过滤网关基本可以支持主要的网络协议，SMTP、IMPA4、POP3、HTTP以及FTP协议。过滤网关采用业界先进的流扫描技术，所以具有优秀的扫描性能，对各协议的处理性能表现优越。4.2.2 入侵防御系统（TopIDP）在服务器前部署入侵防御系统。天融信公司新版本的“网络卫士入侵防御系统 TopIDP”是基于新一代并行处理技术，它通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的安全保护。TopIDP能够阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等，安全地保护内部IT资源。新版本的TopIDP采用多核处理器硬件平台，将并行处理技术融入到天融信自主研发的安全操作系统TOS中，保证了TopIDP产品可以做到更高性能地网络入侵的防护。在原有版本的基础上，新版本在软件的功能上也进行了完善和加强。入侵防御策略库可以防护目前业内所有的入侵攻击行为。TopIDP是集访问控制、透明代理、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析为一体的网络安全设备，为用户提供完整的立体式网络安全防护。与现在市场上的入侵防御系统相比，新版本的TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更完善的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，代表了最新的网络安全设备和解决方案发展方向，堪称网络入侵检测和防御系统的典范。 4.2.3 防火墙在涉外分局、征管分