广西邮政综合网边界网络隔离和防病毒方案Word文档下载推荐.docx
- 文档编号:13685605
- 上传时间:2022-10-12
- 格式:DOCX
- 页数:16
- 大小:84.37KB
广西邮政综合网边界网络隔离和防病毒方案Word文档下载推荐.docx
《广西邮政综合网边界网络隔离和防病毒方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《广西邮政综合网边界网络隔离和防病毒方案Word文档下载推荐.docx(16页珍藏版)》请在冰豆网上搜索。
在邮政综合网上,由于历史等原因,骨干网络上有两个相对独立的IP网,即邮政综合网、邮政储蓄系统,它们的安全级别从高到低依次是邮政储蓄系统、邮政综合网,再加上INTERNET(互联网)。
在国家邮政局没有修改邮政综合网网络技术体制之前,骨干网络仍维持目前的网络结构,并在此基础上,根据实际需要进行扩充。
同时,增加INTERNET作为新的数据通信渠道。
网络隔离的基本思路是:
按照应用的特点和安全性要求,对网络进行分区域隔离,不同区域之间采用防火墙进行网络隔离,在区域内可以根据实际需要,再隔离成子区域、子子区域直到VLAN(虚拟局域网);
并在此基础上,在区域内部部署防病毒系统、入侵检测系统等。
本方案就是针对目前邮政综合网运行和建设过程中最突出的问题,围绕与INTERNET、第三方合作伙伴连接的网络边界防护及OA系统、量收系统等有特殊通讯要求的系统而编制,旨在抑制病毒、加强安全,保证系统稳定运行。
应该看到,网络隔离和防病毒只是全网安全技术体系中的一部分,随着邮政综合网的建设和发展,安全措施必将进一步加强,安全技术体系必将得到进一步地完善。
二、边界网络隔离方案
(一)区局机关办公网络连接方案
目前,区局办公网络与邮政综合网之间是两网分离的。
邮运指挥调度系统、名址信息系统、OA系统和量收系统等上线运行后,区局机关办公人员将需要访问互连网能访问生产网。
为确保综合网网络的安全和防止病毒蔓延,根据《纲要》的要求,并结合区局机关办公局域网的实际情况,现提出如下解决方案:
方案一:
防火墙
见图1,按照《纲要》推荐使用的方案A调整网络结构。
方案有4个区域,其中,区域O为互联网接入区域,主要功能是完成互联网接入,部署为边界路由器R1、MODEM等网络接入设备,是安全级别最低的区域。
区域E是非军事区之一,主要功能是透过防火墙F1与INTERNET用户或用户服务器进行通信,透过路由器R2进行必要的、受限的通信访问生产网,使用具有第三层交换功能的局域网交换机S1,划分成不同的VLAN。
该区域可以部署用于INTERNET用户的WEB服务器、MAIL服务器、DNS服务器、FTP服务器、支付网关服务器、VPN服务器及其它直接与用户或用户服务器通过INTERNET通信的前端服务器。
其安全级别高于区域O。
防火墙F1应具有VPN功能,为移动办公用户和各市、县局用户通过INTERNET访问OA服务提供虚拟访问通道(VPN)。
区域D是非军事区之二,主要功能是非军事区的第二梯队,可以透过防火墙F1防问区域E中的服务器,并可访问区域O中的服务器,同时,可以透过路由器R2受限地访问区域I中的服务器,使用具有第三层交换功能的局域网交换机S2。
在该区域可以部署OA系统的PC服务器,内部使用的文件服务器等。
其安全级别略高于区域E。
区域I是内部网络,可以视为邮政综合网。
主要功能是承担企业内部生产、经营、管理等系统的数据通信,并为区域E和区域D提供数据。
在方案中安全级别最高。
方案要求网络隔离安全策略要求如下:
Ø
只允许区域O中的IP访问区域E中的指定IP的指定端口;
只允许区域D和区域E中的指定IP访问区域O中的IP;
只允许区域D和区域E中的指定IP访问区域I中的指定IP的指定端口;
区域I中的指定IP的指定端口只允许被区域D、区域E中的指定IP访问;
除上述条件以后的所有通讯是禁止的。
在使用上述安全策略时,应与具体的系统结合起来,进行细化和加强。
根据纲要要求,方案中要求新增
(1)专用VPN服务器(可利旧),部署在E区域,安全上要有充分的保证;
(2)新增一台具有VPN功能的边界防火墙F1和两台三层交换机;
(3)加密算法符合有关法规,有足够的加密强度,有密钥管理的组织保证和纪律保证。
方案二:
防火墙+隔离卡
在方案一的基础上,为区域D中的需要访问互连网又需要访问生产网的计算机增加一张隔离卡,通过隔离卡实现计算机不能同时访问互联网和生产网,见图2。
区域D,只有OA系统的邮件服务器能够通过路由器R2访问国家邮政局放在综合网内部的邮件服务器,装有隔离卡的计算机也能够访问区域I。
方案三:
配置计算机
在方案一的基础上,为每一位需要访问互联网又需要访问生产网的用户增加一台计算机,要求固定的计算机访问固定的网络。
见图3。
各方案的投资预算如下:
序号
设备名称
单位
数量
单价
投资预算
方案一
NM-1E(利旧CISCO2610使用)
张
2
¥6,000
¥12,000
边界防火墙(带VPN功能)
台
1
¥60,000
48口3层交换机
¥30,000
VPN客户端(在OA系统工程中购置)
个
200
¥0
合计1
¥102,000
方案二
隔离卡(单硬盘隔离卡或双硬盘隔离卡+40G硬盘)
套
24
¥2,000
¥48,000
集线器
12
¥100
¥1,200
合计2
方案二+合计1
¥151,200
方案三
PC
¥7,000
¥168,000
合计3
方案三+合计1
¥270,000
(二)综合网省中心边界网络隔离方案
综合网省中心作为我区邮政综合网的核心,连接电子汇兑、电子化支局、中心局等重要生产系统,并作为绿卡、综合两网省际线路的唯一出口,其安全级别应为最高的区域I。
见图4。
目前综合网省中心连接了区内14个地市、区局、南宁邮区中心局、南宁市局一枢纽、区储汇局汇兑省中心控制台与汇兑会计、南宁11185等,并与移动、联通有第三方接入,与绿卡省中心连接,并作为两网省际共同出口与国家局连接,连接出口众多,网络结构复杂。
目前除与绿卡省中心连接使用了防火墙外,其他接入点均未使用防火墙。
为保证综合网核心网络的安全,并综合数据流量、原有网络结构等因素,提出以下要求:
1、按照方案一,与区局连接使用的防火墙F2,南宁邮区中心局与区局使用同一路由器接入,区局OA、量收、视频均从此防火墙接入,防火墙的性能必须有保障。
2、12个地市汇接的CISCO7507路由器连接的防火墙F2,需要支持MPLSVPN技术,因生产、视频同时上后数据流量很大,防火墙处理能力、稳定性要求很高,否则将成为地市连接省中心的瓶颈。
3、南宁市网络汇接点(包含南宁、崇左及辖县所有生产、视频)、南宁市局一枢纽局域网、区储汇局省中心控制台与汇兑汇兑会计、南宁11185、第三方接入等,经过一台三层交换机汇接后,经过防火墙F1与核心交换机连接,因数据流量大,对三层交换机及防火墙处理能力、稳定性要求高,否则将造成业务的中断。
4、考虑防止省外线路来的攻击(已出现过这样的攻击),出省线路也接入防火墙,需要再增加1台三层交换机。
5、综合网省中心办公上网利用南宁市邮政局办公网的线路上互连网,与生产网实现物理隔离。
生产网应使用专用PC进行系统维护。
方案的投资预算如下:
方案
PIX525E防火墙(利旧)
网络隔离防火墙
¥120,000
Catalyst3560-24口3层交换机
¥20,000
¥40,000
入侵检测(已有)
入侵检测管理,病毒、网络监控PC
¥7000
¥14,000
合计:
¥161,000
(三)绿卡省中心边界网络隔离方案
邮政储蓄系统是邮政综合网上量重要的信息系统。
原则上,储蓄系统不能以任何方式、任何理由直接为INTERNET用户提供服务或直接与第三方式进行连接。
储蓄系统都应部署到区域I中,对核心层区域内要进一步加强隔离与保护。
目前,绿卡省中心机房上互联网和上绿卡网是物理隔离的。
区邮政储汇局的清算会计需要访问绿卡网,汇兑会计需要访问综合网。
为绿卡省中心和区邮政储汇局各配置一台边界防火墙(带VPN功能),为绿卡省中心配置一台网络隔离防火墙,作为网络隔离使用,见图5。
参照区局机关办公网的网络连接方案,提出以下三个解决方案:
方案一是防火墙,方案二是防火墙+隔离卡,方案三是防火墙+新增计算机。
(一)明秀路区储汇局
24口3层交换机
24口普通交换机
¥4,000
PC机(管理控制台)
20
¥140,000
病毒、网络监测PC机
¥14,000
¥68,000
¥208,000
隔离卡隔离卡(单硬盘隔离卡或双硬盘隔离卡+40G硬盘)
11
¥22,000
隔离集线器
¥2,100
方案一+方案二
¥232,100
¥77,000
方案一+方案三
¥285,000
(二)绿卡省中心
新增接入路由器
¥8,000
与第三方连接隔离防火墙(利旧)
入侵检测系统
¥100,000
入侵检测管理/病毒/网络监控PC
3
¥21,000
系统备份/开发后台/国家局监控系统
¥232,000
¥260,000
8
¥16,000
¥278,100
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 广西 邮政 综合 边界 网络 隔离 防病 方案