政府网络拓扑

某市政府网络系统现状分析《某市电子政务工程总体规划方案》主要建设内容为：一个专网〔政务通信专网，一〔电子政务根底平台〔安全监控和备份中心〔经济信息数据库、法人单位根底信息数据库、自然资源和空间地理信息数据库、人口根底信息库信用数据库、海洋经济信息数据库、政务动态信息数据库，十二大系统〔政府办公业务资源系统、经济治理信息系统、政务决策效劳信息系统、社会信用信息系统、多媒体增值效劳信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统。主要包括：政务通信专网电子政务根底平台安全监控和备份中心政府办公业务资源系统政务决策效劳信息系统综合地理信息系统多媒体增值效劳信息系统图1某市政府中心机房网络拓扑图某市政府中心网络安全方案设计安全系统建设目标本技术方案旨在为某市政府网络供给全面的网络系统安全解决方案。将安全策略、硬件及软件等方法结合起来，构成一个统一的防范系统，有效阻挡非法用户进入网络，削减网络的安全风险；通过部署不同类型的安全产品，实现对不同层次、不同类别网络安全问题的防护；使网络治理者能够很快重组织被破坏了的文件或应用。使系统重恢复到破坏前的状态。最大限度地削减损失。访问把握；其次，对于通过对网络的流量进展实时监控，对重要效劳器的运行状况进展全面监控。防火墙系统设计方案防火墙对效劳器的安全保护网络中应用的效劳器，信息量大、处理力气强，往往是攻击的主要对象。另外，效劳器供给的各种效劳本身有可能成为“黑客”全进展一系列安全保护。假设效劳器没有加任何安全防护措施而直接放在公网上供给对外效劳，就会面临着“黑客”各种方式的攻击，安全级别很低。因此当安装防火墙后，全部访问效劳器的恳求都要经上的特定效劳，从而防止了绝大部格外界攻击。防火墙对内部非法用户的防范主机的攻击往往发自内部用户，如何对内部用户进展访问把握和安全防范就显得特别重要。网络的每一节点。对于一般的网络应用，内部用户可以直接接触到网络内部几乎全部的效劳。依据国际上流行的处理方法，我们把内部用户跨网段的访问分为两大类：其一，是内部网络用户之间的访问，即单机到单机访问。这一层次上的应用主要有用户共享文件的传输〔NETBIOS〕应用；其次，是内部网络用户对内部效劳器的访问，这一类应用主要发生在击，内部网络主机将无法避开地遭到损害，特别是针对于NETBIOS文件共享协议，已经有“黑客”工具造成严峻破坏。入侵检测系统内。护主机、远程接入效劳器、内部网重点工作站组等。在重点保护区域网络监控系统〔探测引擎在全网使用一个治理器，这种方式便于进展集中治理。在内部应用网络中的重要网段，使用网络探测引擎，监视并记录该网段上的全部操作，以形象地重现操作的过程，可帮助安全治理员觉察网络安全的隐患。需要说明的是，IDS是对防火墙的格外有必要的附加而不仅仅是简洁的补充。某市政府安全系统技术方案依据现阶段的网络及系统环境划分不同的网络安全风险区域，xxx市政府本期网络安全系统工程的需求为：区域部署安全产品内网连接到Internet的出口处安装两台互为双机热备的海信FW3010PF-4000型百兆防火墙；在主干交换机上安装海信千兆眼镜蛇入侵检测系统探测器；在主干交换机上安装NetHawk网络安全监控与审计系统；在内部工作站上安装趋势防毒墙网络版防病毒软件；在各效劳器上安装趋势防毒墙效劳器版防病毒软件。DMZ区在效劳器上安装趋势防毒墙效劳器版防病毒软件；安装一台InterScanVirusWall防病毒网关；安装百兆眼镜蛇入侵检测系统探测器和NetHawk网络安全监控与审计系统。安全监控与备份中心安装FW3010-5000RJ-iTOP榕基网络安全漏洞扫描器；安装眼镜蛇入侵检测系统把握台和百兆探测器；安装趋势防毒墙效劳器版治理效劳器，趋势防毒墙网络版治理效劳器，对各防病毒软件进展集中治理。表格1某市政府网络安全系统产品部署需求防火墙安全系统技术方案某市政府局域网是应用的中心高牢靠性及高性能的防火墙安全保护系统，确保数据和应用万无一失。机上。由于工作站分布较广且全部连接,对中心的效劳器及应用构成了极大的威逼，尤其是使用百兆防火墙就完全可以满足要求。如以以下图，我们在中心机房的DMZ效劳区上安装两台互为冗余备份的海信FW3010PF-4000百兆防火墙，DMZ口通过交换机与WWW/FTP、DNS/MAIL效劳器连接。同时，安装一台Fw3010PF-5000千兆防火墙，将安全与备份中心与其他区域规律隔离开来。通过安装防火墙，实现以下的安全目标：利用防火墙将内部网络、Internet外部网络、DMZ效劳区、安全监控与备份中心进展有效隔离，避开与外部网络直接通信；利用防火墙建立网络各终端和效劳器的安全保护措施，保证系统安全；利用防火墙对来自外网的效劳恳求进展把握，使非法访问在到达主机前被拒绝；利用防火墙使用IP与MAC用户正常访问的根底上将用户的访问权限把握在最低限度内；利用防火墙全面监视对效劳器的访问，准时觉察和阻挡非法操作；利用防火墙及效劳器上的审计记录，形成一个完善的审计体系，建立其次条防线；依据需要设置流量把握规章，实现网络流量把握，并设置基于时间段的访问把握。图2某市政府中心机房防火墙安全系统网络拓扑图入侵检测系统技术方案器，DMZ区交换机上安装一台海信眼镜蛇入侵检测系统百兆探测器，用以实时检测局域网〔统一大事库升级、统一安全防护策略、统一上报日志生成报表。图3某市政府中心机房入侵检测系统网络拓扑图其中，海信眼镜蛇网络入侵检测系统还可以与海信FW3010PF防火墙进展联动，一旦安全防护体系。海信眼镜蛇入侵检测系统可以联动的防火墙有：海信FW3010PF防火墙，支持OPSEC协议的防火墙。通过使用入侵检测系统，我们可以做到：对网络边界点的数据进展检测，防止黑客的入侵；对效劳器的数据流量进展检测，防止入侵者的蓄意破坏和篡改；监视内部用户和系统的运行状况，查找非法用户和合法用户的越权操作；对用户的非正常活动进展统计分析，觉察入侵行为的规律；实时对检测到的入侵行为进展报警、阻断，能够与防火墙/系统联动；对关键正常大事及特别行为记录日志，进展审计跟踪治理。通过使用海信眼镜蛇入侵检测系统可以简洁的完成对以下的攻击识别：网络信息收集、网络效劳缺陷