云平台安全等级保护建设项目安全技术方案详细设计（完整版）

1、云平台安全等级保护建设项目安全技术方案详细设计 天融信在本项目的整改方案设计中，针对 XX 的三级等级保护整改建设，依据一个中心三重防护的思路展开详细设计。具体设计面向以下的几个方面：1.1.1信息安全拓扑设计aiit幵发区FG爭U存诵QSP肖賣田IF-S4Np#14耐11汕IIIrj i互联网接入区安全设计联通ISP接入路由器A/SDMZ区防病毒过滤网关A/S互 联 网 接 入 区-一抗DDoS系统A/SA/SII1Il /r-3ck1 II111 11防火墙X1 II（Cisco ）11 1A/S1 2入侵防御系统核心交换区互联网接入区作为云平台发布门户网站，用户接入，以及将

2、来与各下属单位数据中心通过虚拟专网连接的重要接入区域，是XX的对外唯一通路。担负着重要的边界防护使命。?本期方案计划部署如下安全产品：抗DDoS系统：部署两台千兆级别的抗 DDoS系统，以A/S模式，透明方式部署；对入站方向的DDoS攻击流 量进行清洗，保护内网直接对外服务的网站防病毒过滤网关： 部署两台千兆级别的防病毒过滤网 关，以 A/S 模式，透明方式部署； 对入站方向的 HTTP、SMTP POP3 IMAP等流量进行防病毒过滤清洗，主要 保护内网中直接对外提供服务的网站，邮件系统，以 及各办公终端。入侵防御系统：部署两台千兆级别的入侵防御系统，以 A/S 模式，透明方式部署；对入站方

3、向的数据包进 行包还原，检测攻击行为，攻击特征，若发现攻击行 为则进行阻断。接入防火墙：利用现有Cisco ASA5555防火墙，以A/S模式，路由方式部署； 负责入站方向 IP 包的访问控制，对DM亦的WE删站进行端口访问控制；另外开启VPN功能，对接下属机构数据中心，进行虚拟专网连接，同时第三方运维人员可借由VPN远程登入。此处接入防火墙作为纵深防御体系的第一道屏障，与内网各重 要边界防火墙异构 DMZ区安全设计DMZ区WEB实体服务器WEB发布服务器网页防篡改 系统互联网接入区WEB应用防火墙A/SDMZ区承载XX的对外服务网站，担负着XX门户的重要使命。本区域中的安全设计

4、主要针对WEB网站防护，网页防 篡改等 ?本期方案计划部署如下安全产品:WEB应用防火墙：部署两台千兆级别的 WEB应用防火墙，以A/S模式，反向代理方式部署；对WEE访问流量进行针对性防护。网页防篡改系统： 部署一套网页防篡改软件系统（需安装在一台服务器中），通过文件驱动级监控 +触发器的方式，监控所有对 WEB实体服务器中网页内容的修 改行为，只有来自 WEB发布服务器的修改行为会被放 行，其他一切修改行为将被阻断。 核心交换区安全设计核心交换区主要由两台高性能核心交换机组成，作为整个内 网的核心，负责所有内网区域间流量的交换转发。在此区域 主要部署审计类安全产品，对网络中的

5、流量进行行为审计和 入侵检测。?本期方案计划部署如下安全产品:网络审计系统：部署一台万兆级别的网络审计系统，以旁路方式，对接两台核心交换机的镜像端口；核心交换机需将其他安全域的流量镜像至网络审计系统，供网络审计系统审计记录；审计记录可通过报表展示给用户，并可发送至安全管理平台，进行综合的安全 态势分析和展示。入侵检测系统： 部署一台万兆级别的入侵检测系统， 以旁路方式，对接两台核心交换机的镜像端口；核心 交换机需将其它安全域的流量镜像至入侵检测系统， 供入侵检测系统进行入侵行为检测；审计记录可通过 报表展示给用户，并可发送至安全管理平台，进行综 合的安全态势分析和展示。 测试开发

6、区安全设计测试开发！测试开发区是对自研应用系统和新上线设备进行测试的区 域，其中还包含重要的开发文档，对该区域的安全设计主要 体现在边界访问控制（需筛选可建立连接的条件）?本期方案计划部署如下安全产品：测试开发区边界防火墙：部署两台千兆级别的防火墙系统，以A/S模式，透明方式部署；筛选可以建立的 连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问 控制。 安全管理运维区安全设计日志审安全管 计系统理平台管理 运维终端安 I安I全:管 I理vSphere Update Manager 服务器AD域控服务器防病毒系统认证中心云平台管终端安

7、全漏洞扫文档安理系统管理系统描系统全管理系统vCenter 花服务器备份管理 服务器LDAP服务器安全管理运维区 边界防火墙核心交换区安全管理运维区是整个 XX内网负责安全管理、安全运维和 与之相关的用户管理、云平台管理、备份管理等各个组件的 集合区域。是维系云平台正常运转，制定各类安全策略的核 心区域。? 本期方案计划部署如下安全产品：安全管理运维区边界防火墙： 部署两台千兆级别的防 火墙系统，以 A/S 模式，透明方式部署；筛选可以建 立的连接（规定内网中哪些 IP 地址可以访问本区域， 规定区域内的应用系统端口开放策略） ，通过策略完成 访问控制。日志审计系统：需新购置一台服务器级存储，安装日志审计软件，收集数据中心内其他各类 IT 组件的日志，并集中存储；另应提供备份存储空间，通过备份服务器将日志进行备份。安全管理