法院网络安全规划建设设计方案

法院网络安全****************************************规划方案进展202311目录TOC\o“1-3“\h\z\u\l“_TOC_250014“方案综述 4\l“_TOC_250013“网络出口安全 5\l“_TOC_250012“法院网络出口安全设计 5\l“_TOC_250011“网络出口定义 5\l“_TOC_250010“网络出口安全定义 5\l“_TOC_250009“出口主干安全设计 6\l“_TOC_250008“DMZ区域安全 10\l“_TOC_250007“内网与外网安全隔离 14\l“_TOC_250006“防火墙的部署 14\l“_TOC_250005“安全隔离及数据交换系统 14\l“_TOC_250004“安全治理区 15\l“_TOC_250003“互联网用户区 16\l“_TOC_250002“网络治理系统 17\l“_TOC_250001“可信运维系统 17\l“_TOC_250000“高可用集群软件 18方案综述法院网络安全整体规划图如下：ISP1ISP1ISP2网络出口路由器网站效劳器网页防篡改系统网站效劳器网页防篡改系统………链路负载OA系统数据库数字庭审抗DDos攻击交换机接入交换机入侵防范IDSIDS网闸负载均衡WEB防火墙防火墙DMZ区上网行为治理透亮桥接〔bypass〕防火墙内部专网Si核心交换机SiSSLVPN双机接入交换机系统IDS审计监控效劳器网络防病毒效劳器互联网用户区安全治理区网页防篡 治理效劳器改公布系 〔安装网络统 统〕将*****法院分为四个区域：网络出口区域、内部专网区域、安全治理区域、互联DMZ区。各个区域网络安全设计在下面章节具体介绍。**********进展 第4页网络出口安全法院网络出口安全设计网络出口定义〔如互联网、教育网、银行专网部网络边界的局部，一个单位可能存在一个或多个网络出口。环境格外简单，变化多端，此网络区域面临的安全风险最大，需要重点保护。网络出口安全定义企事业单位的形象。**********进展 第5页**********进展**********进展第10页出口主干安全设计ISP1ISP1ISP2网站效劳器网页防篡改系统网站效劳器网页防篡改系统路由器链路负载抗DDos攻击接入交换机入侵防范IDS负载均衡WEB防火墙防火墙DMZ区上网行为治理透亮桥接〔bypass〕Si核心交换机SiSSLVPN双机在出口主干部署负载均衡、抗DDos攻击、入侵防范系统、防火墙、上网行为治理下面介绍主要设备的功能特点。2.1.3.1简介：

负载均衡可用性。功能：全面的负载均衡效劳器的动态性能。这保证了始终选择最正确的资源，以提高性能。可支持全部基于推测、观看、动态比例等负载均衡算法。应用状态监控用于检查设备、应用和内容的可用性，包括适合多种应用的专用监视器(包括多种应用效劳器、SQL、SIP、LDAP、XML/SOAP、RTSP、SASP、SMB等)，以及用于检查内容和模拟应用调用的定制监视器。高可用性和交易保障BIG-IPLTMNAT支持访问掌握列表能够实现防火墙的根本功能，建立访问掌握列表，拒接IP网段或端口号吗。支持路由该功能为多数设备中根本功能，但只支持静态路由，假设使用较为高级的OSPF路由协议，需要购置单独的模块来支持。Ddos攻击DDoS攻击一般通过Internet上那些“僵尸”系统完成，由于大量个人电脑联入就成为DDoSDDoSBotnet，DDoS消耗。针对目前流行的DDoS攻击，包括未知的攻击形式，绿盟科技供给了自主研发的。通过准时觉察ADS的发生，同时也能保证网络的整体性能和牢靠性。入侵防范系统业的信息网络造成严峻的破坏。攻击，绿盟科技供给了完善的安全防护方案。绿盟网络入侵防护系统〔以下简称“NSFOCUSNIPS”〕是绿盟科技拥有完全自主学问产权的一代安全产品，作为一种解决方案。下一代应用防火墙*****NGAF系列产品是一款以应用安全需求动身而设计的下一代应用防火墙。弥UTM功能堆砌，性能瓶颈的弱点。通过单次解析引擎真正做到将防火墙、VPN、入侵防范、效劳器防护、病毒防护、内容过滤、流量掌握等多种安全技术有机的融合到一应用供给更完整的可视化内容安全防护。NGAF继承了传统防火墙的优秀品质，能够适应各种简单的网络环境，同时通过单次解析引擎、应用可视化引擎、灰度威逼关联分析引擎三大创引擎技术，供给2-7安全防护解决方案。VPN网关IT临的重大挑战。*****VPN1SSLVPN，远程办公和移动用户可以随时访问内部办公正台，猎取、提交信息格外便捷；2、*****SSLVPNUSBKey、短信口令、软键盘、动CA、硬件特征码等，最大程度上确保接入用户身份的合法性；3、*****SSLVPN能够对内网的访问权限进展细致地设定，对不同的用户安排不同的权限规章，避开内部消灭安全隐患；4、*****SSLVPNIT上网行为治理系统**********记录、上网安全等多个方面为您供给最有效的解决方案。DMZ区域安全网站效劳器网站效劳器网站效劳器接入交换机IDS网络审计探针负载均衡WEB防火墙DMZ区DMZ区域部署WEB防火墙、负载均衡、IDS。下面介绍主要设备的功能特点。2.1.4.1简介：

Web防火墙/SWeb应用供给保护的一款产品。功能：特别检测协议Web应用防火墙会对的恳求进展特别检测，拒绝不符合标准的恳求。一些Web应用防火墙还可以严格限定协议中那些过于松散或未被完全制定的选项。增加的输入验证Web准时补丁WAF威逼，但我们在没有选择的状况下，任何保护措施都比没有保护措施更好。基于规章的保护和基于特别的保护企业的应用具有格外透彻的了解才可能做到，可现实中这是格外困难的一件事情。状态治理测出特别大事〔比方登陆失败，并且在到达极限值时进展处理。这对暴力攻击的识别和响应是格外有利的。其他防护技术的问题。比方：隐蔽表单域保护、抗入侵躲避技术、响应监视和信息泄露保护。2.1.4.2简介：

入侵检测系统入侵检测系统〔IDS〕就是依照肯定的安全策略，通过软、硬件，对网络、系统络系统资源的机密性、完整性和可用性。功能：攻击检测和防护DoS虫/病毒/木马、BackDoor、缓冲区溢出、DoS/DDoS大事响应SNMPTrap、Linktrust〔SLP数据库、MailSSHSyslog系统治理IDS在治理上应支持串口治理、集中治理平台、安全运行中心〔SOC、在线/地升级、与第三方治理系统集成。故障探测对于故障探测需支持通信链路故障、设备故障、应用效劳故障、监控链路故障。抗躲避保护IP分段重组、TCP流重组、Unicode解析、应用层协议状态追踪。安全性通讯加密、签名升级包/本地数据加密。内网与外网安全隔离…………OA系统数据库数字庭审交换机IDS网闸防火墙内部专网测系统〔IDS〕进展旁路部署，通过以上部署实现立体和多方位的安全防范，保证内部网络业务安全及数据安全。防火墙的部署到防火墙的外网接口上，通过相应的策略来保护和掌握内部网络不受外来的攻击。安全隔离及数据交换系统依据*****〔以下简称网闸示：外部网络交换机网闸内部网络外部网络交换机网闸交换机TCP/IP会话穿透，和上层应用的安全，真正实现了网络的隔离，同时，通过网闸的数据库同步模块、web访问模块、邮件模块、文件同步模块、tcp代理模块、udp代理模块等实现内外网之间特定的数据交换。安全治理区接入交换机接入交换机系统IDS效劳器安全治理区网络防病毒效劳器统治理效劳器〔安装网络治理系统〕维系统、IDS、审计数据效劳器、网络治理系统等。**********进展 第15页**********进展**********进展第16页互联网用户区互联网用户区互联网用户区融证券等单位中超过80%薄弱环节。因此，网络安全呈现出了的进展趋势，对于各政府企业网络来说，安全战场已经逐步由核心与主干的防护，转向网络内部的每一个终端。通过部署桌面安全治理系统来解决互联网用户区的安全隐患和治理难题。桌面安全治理系统部网络始终处于安全、牢靠、保密的环境下运行，帮助用户各类业务统一优化、标准治理，保障各类业务正常安全运行。网络治理系统*****网络治理系统〔*****〕是针对解决各行业中、小型企事业单位，目前在IT31〔即内、外部客户满足度、本钱掌握与系统安全之间的挑战；IT系统日益增长的简单性与运维人数、专业学问构造之间的冲突*****安全设备、存储设备、通讯设备、传输设备、数据库应用及中间件应用等治理，它结ITITIT效率。可信运维系统，ITIT而，随着IT系统规模的扩大，以及IT系统资产价值的增加，系统面临的安全威逼也随之增加。这些威逼中除了来自外部的黑客攻击以外，更多的是由于内部运维治理单位或者企业造成更大的负面影响，其所能造成的损失往往是不行估量。ITIT求，已经成为全部信息部门急需解决的问题。上海金电网信运维治理系统就是一代运维安全审计产品，它能够对运维人IT维治理水平。高可用集群软件等自然灾难的影响对提高系统的高可用性、保证企业业务连续性的需求逐年递增。以前，具有高信任性的高可用容错集群系统多用于UNIXWindows/Linux系统的需求增长，消灭对UNIX系统需求削减的趋势。能够适应于SI