一、 背景介绍
某省财政厅属于省级政府机关,对于网络的安全性和业务应用的保护、识别、控制具有很高的要求。由于应用服务器区具有较高的等保级别要求,有需要与运营商网络进行互联,作为两个互不信任网络进行互联的安全设备,如何做好网络安全隔离,确保应用服务器的安全,同时又要保障业务可持续性进行,就变得尤为重要。因此高性能、高稳定性、应用管控、漏洞扫描、木马过滤、间谍软件防护、防御攻击、智能报表等方面成为选择安全产品的重要条件。
二、 需求分析
客户网络与服务商接入网络相连的位置主要是两个,一个是应用服务器区,向银行、市县级单位提供财务应用服务,一个是政务外网接入区,连接电子政务外网为政务外网用户提供财务信息服务。其中政务外网部分已经采用传统防火墙配合ips等设备进行部署,在应用服务器区域也要部署针对应用识别、访问控制的安全设备。经过分析,在应用服务区域边界安全方面主要需要以下保护
应用服务管理控制:随着网络应用的不断增多,企事业单位内部应用的专业化程度的不断提高,对网络安全设备管控应用的需求也日益迫切,传统的IPS、上网行为管理从性能或者功能上又不能完全满足网络边界安全管控需求,仍然要与传统防火墙配合使用,不但加大了成本,也加大了单点故障的隐患。
系统漏洞扫描:操作系统、数据库管理系统和应用服务中存在的漏洞,有可能被黑客利用进行攻击、传播病毒和种植木马;服务器开放的一些不必要端口和服务,也会给黑客攻击提供了潜在的途径;系统管理存在疏漏,如系统管理员账户口令过于简单等问题。因此,需要通过有效手段对服务器区进行漏洞方面的扫描,以便管理员及早进行分析和处理
病毒威胁:病毒威胁已经成为服务器区域一项重要威胁,从外网或移动介质等途径进入内网,有的会攻击服务器破坏数据或植入木马进而窃取机密数据。无论是病毒攻击还是人为攻击,大都以破坏、窃密或传播病毒为目的。如何保证服务器区域免受病毒侵扰,也是网络安全设备的一项重要要求
恶意DDoS攻击:由于地市级网络安全防护相对较弱,一旦有网络被侵入就很容易造成严重的DDoS攻击,进而形成网络资源大量浪费、链路带宽堵塞、服务器资源耗尽而业务中断。业务网络充斥着大量的无用的数据包。如今,利用DDoS攻击手段敲诈勒索已经形成了一条完整的产业链,一旦服务区被攻破将为企业带来不可估量的业务损失。所以,网络安全设备的抗DDoS攻击能力尤为重要。
三、 解决方案
在网络安全需求要求较高的应用服务器区域以及核心交换机区域与运营商网络间接入网御万兆下一代防火墙。网御下一代防火墙肩负起将隔离核心交换区域以及应用服务器区域的安全防护任务。,主要实施内容如下:
·设置外网到应用服务区的严格包过滤策略
·设置面向特定应用的访问控制策略,包括URL过滤、挂马网站、网络应用管控等
·对应用服务器群配置DoS/DDoS 防御策略,检测并阻止攻击,避免大规模网络瘫痪
·开启漏洞扫描模块,对应用服务区域进行漏洞扫描
|