发布时间 : 星期三 文章电力信息网络安全防护系统设计方案更新完毕开始阅读
国网公司 电力三级网 FW3(增加) FW2(增加) FW1(增加) F5 ISP1 Internet 华东二级网 FW4(增加) ISP2 合肥地区单位 FW5(增加) 防火墙 防火墙 FW6(增加) 移动用户 1G光纤 DMZ区 可供外网访问的DNS,Mail,IMS服务器群 局域网 100M五类线 集成安全网关
各部门局域网 各部门局域网 省信息中心机房 网管工作站 OA服务器 认证服务器 Web服务器 省公司防火墙和集成安全网关部署示意图(老大楼)
2.省公司防火墙和集成安全网关部署示意图(新大楼)
部署说明:
1、在省公司与“INTERNET、华东公司、国网公司、各地市公司信息三级网”相连 的网络边界采用两层异构防火墙系统,外层防火墙为已经部署的专业安全设备,用于阻挡来自互联网、国网公司、华东公司等网络攻击和设置访问控制策略。内层防火墙系统采用集成安全网关。其中互连网安全网关采用双机热备工作方式,即高可用性HA方式,任何一台设备出现问题,备机均可以迅速替换工作,网络仍能正常运转。在内层集成安全网关上启用相应的安全策略,控制内部用户的对外访问,并开启防病毒功能以保证内部用户的对外访问不受病毒侵害。另外,启用反垃圾邮件技术,保护内部的邮件服务器免受垃圾邮件的攻击,并根据网络的具体应用在集成安全网关上启用入侵检测和入侵防护攻击(IDS/IPS)功能,保护互联网网关处系统免受来自系统内外的攻击。
20
2、远程访问虚拟通道(VPN)防火墙,其已采用PIX防火墙,在方案中通过在将PIX VPN防火墙之后增加集成安全网关,用于移动用户对内网访问解密后的数据进行防病毒、内容过滤等。
3、通过在信息三级网路由系统前增加集成安全网关过滤掉病毒等混合式威胁进入到信息三级网,从而保护各地市公司的网络安全。
4、通过在合肥城域网之前部署集成安全网关过滤掉合肥地区单位病毒等混合式威胁进入省公司内网。
5、在省公司两台服务器区三层交换机上分别增加1块FWSM防火墙模块,用于对服务器的安全访问控制。
防火墙管理中心OA服务器服务器群省公司防火墙模块和集成安全网关部署图增加防火墙模块集成安全网关新大楼核心交换机老大楼核心交换机32 Gbps环楼层无线接入楼层有线接入集成安全网关系统可供外网访问的DNS,Mail,IMS服务器群合肥城域网万兆以太网集成安全网关系统千兆以太网百兆以太网防火墙系统综合数据网Internet华东网络集成安全网关系统地市客户端路由CR国网网络
21
注:结合省公司老大楼和新大楼的部署情况,建议总共增加6台集成安全网关(其中5台千兆集成安全网关,1台百兆集成安全网关);2块思科FWSM防火墙模块。 6.2地市公司防火墙和集成安全网关的部署
对公司系统各地市公司来说,其中一大威胁就是县公司的防御比较脆弱,一旦某县公司局部网络出现安全事件如蠕虫病毒蔓延等,势必将导致该威胁在整个大网中进行蔓延和传播,通过将县公司的广域网连接路由器与地市公司连接省公司的路由器隔离开来,将各县公司纳入到地市公司的安全管理范围内,确保各县公司网络不对信息三级网构成威胁。
部署说明:
1、在地市公司与县公司相连的路由器前增加集成安全网关,防止县公司网络安全威胁到信息网,并通过在集成安全网关上启用相应的安全策略,控制县公司用户的对信息网的访问,并开启防病毒功能以防止县公司的病毒侵害到信息网。另外,在集成安全网关上启用防攻击入侵检测/入侵防护(IDS/IPS)功能,使信息网络系统免受来自县公司的攻击。
2、在地市公司与省公司相连的路由器后增加千兆防火墙,隔离各地市公司网络的相 互威胁,并通过防火墙设置访问控制。
3、地市公司与银行相连的前置机后增加集成安全网关,通过设置访问策略,仅允许银行访问前置机IP地址和数据应用端口号。
22
四级网新增设备百兆集成安全网关县公司三级网新增设备省公司千兆防火墙百兆集成安全网关DMZ 区服务器银行千兆防火墙银电联网新增设备集成安全网关服务器集群市公司办公区域市公司千兆防火墙、集成安全网关部署图
备注:1.在市公司与银行相连的集成安全网关可以采用市公司与省公司相连的退下来的百兆防火墙代替。
23