信息中心
曙光天羅防火墻社保、地稅聯網系統解決方案
方案內容
本項目需要連接兩個不同的政府部門的內網,雖然社保內網和地稅內網都已經部署了完善的安全系統,但是由于內網外網的概念變得越來越模糊,70%的安全問題都是由內網攻擊引起的。因此面對兩個不同的政府部門,在網絡設計上我們還是嚴格按照較高的安全標準來設計,徹底消除雙方互聯引起的威脅。
防火墻在本項目中就變得尤為關鍵,它不僅能夠控制防范互聯網對內網的威脅,對于控制兩個不同部門網絡之間的訪問同樣也是最有效的工具。
在本方案中我們在社保和地稅的網絡邊緣各設置一臺千兆防火墻,兩臺防火墻通過光纖專線直接互聯。
網絡拓撲結構圖如下:
技術架構
數據流設計
社保和地稅互聯最主要的是要實現數據交換,我們首先來看看數據流設計。雙方是通過前置服務器來進行數據交換的,雙方的前置服務器均放置在防火墻的DMZ區。社保的數據先由內網轉向社保前置服務器,然后社保前置服務器和地稅前置服務器進行數據交換,最后地稅前置服務器再將數據轉向地稅的內網,反之亦然。這種數據流設計是一種標準的數據交換方式。是可以保證雙方網絡安全的前提。
防火墻DMZ區設計
(1)什么是DMZ區
DMZ(Demilitarized Zone)即俗稱的非軍事區,與軍事區和信任區相對應,作用是把WEB、e-mail等允許外部訪問的服務器單獨接在該區端口,使整個需要保護的內部網絡接在信任區端口后,不允許任何訪問,實現內外網分離,達到用戶需求。DMZ可以理解為一個不同于外網或內網的特殊網絡區域,DMZ內通常放置一些不含機密信息的公用服務器,比如Web、Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在內網中的公司機密或私人信息等,即使DMZ中服務器受到破壞,也不會對內網中的機密信息造成影響。
(2)為什么需要DMZ
在實際的運用中,某些主機需要對外提供服務,為了更好地提供服務,同時又要有效地保護內部網絡的安全,將這些需要對外開放的主機與內部的眾多網絡設備分隔開來,根據不同的需要,有針對性地采取相應的隔離措施,這樣便能在對外提供友好的服務的同時最大限度地保護了內部網絡。針對不同資源提供不同安全級別的保護,可以構建一個DMZ區域,DMZ可以為主機環境提供網絡級的保護,能減少為不信任客戶提供服務而引發的危險,是放置公共信息的最佳位置。在一個非DMZ系統中,內部網絡和主機的安全通常并不如人們想象的那樣堅固,提供給Internet的服務產生了許多漏洞,使其他主機極易受到攻擊。但是,通過配置DMZ,我們可以將需要保護的Web應用程序服務器和數據庫系統放在內網中,把沒有包含敏感數據、擔當代理數據訪問職責的主機放置于DMZ中,這樣就為應用系統安全提供了保障。DMZ使包含重要數據的內部系統免于直接暴露給外部網絡而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設置的新的障礙。
(3)DMZ網絡訪問控制策略
當規劃一個擁有DMZ的網絡時候,我們可以明確各個網絡之間的訪問關系,可以確定以下六條訪問控制策略。
1)內網可以訪問外網:內網的用戶顯然需要自由地訪問外網。在這一策略中,防火墻需要進行源地址轉換。
2)內網可以訪問DMZ:此策略是為了方便內網用戶使用和管理DMZ中的服務器。
3)外網不能訪問內網:很顯然,內網中存放的是公司內部數據,這些數據不允許外網的用戶進行訪問。
4)外網可以訪問DMZ:DMZ中的服務器本身就是要給外界提供服務的,所以外網必須可以訪問DMZ。同時,外網訪問DMZ需要由防火墻完成對外地址到服務器實際地址的轉換。
5)DMZ不能訪問內網:很明顯,如果違背此策略,則當入侵者攻陷DMZ時,就可以進一步進攻到內網的重要數據。
6)DMZ不能訪問外網:此條策略也有例外,比如DMZ中放置郵件服務器時,就需要訪問外網,否則將不能正常工作。
在網絡中,非軍事區(DMZ)是指為不信任系統提供服務的孤立網段,其目的是把敏感的內部網絡和其他提供訪問服務的網絡分開,阻止內網和外網直接通信,以保證內網安全。
(4)本方案安全規則設計
根據用戶的實際情況,本方案網絡訪問控制策略設計如下:
社保這邊:
1) 社保內網與社保DMZ區可以相互訪問;
2) 社保內網和社保外網不能相互訪問;
3) 社保DMZ區和社保外網可以相互訪問。
地稅那邊:
1) 地稅內網與地稅DMZ區可以相互訪問;
2) 地稅內網與地稅外網不能相互訪問;
3) 地稅DMZ區和地稅外網可以相互訪問。
通過上面的拓撲圖可以看出社保外網和地稅外網是同一網絡。
(5)DMZ服務配置
DMZ提供的服務是經過了地址轉換(NAT)和受安全規則限制的,以達到隱蔽真實地址、控制訪問的功能。首先要根據將要提供的服務和安全策略建立一個清晰的網絡拓撲,確定DMZ區應用服務器的IP和端口號以及數據流向。通常網絡通信流向為禁止外網區與內網區直接通信,DMZ區既可與外網區進行通信,也可以與內網區進行通信,受安全規則限制。
1)地址轉換
DMZ區服務器與內網區、外網區的通信是經過網絡地址轉換(NAT)實現的。網絡地址轉換用于將一個地址域(如專用Intranet)映射到另一個地址域(如Internet),以達到隱藏專用網絡的目的。DMZ區服務器對內服務時映射成內網地址,對外服務時映射成外網地址。采用靜態映射配置網絡地址轉換時,服務用IP和真實IP要一一映射,源地址轉換和目的地址轉換都必須要有。
2)DMZ安全規則制定
安全規則集是安全策略的技術實現,一個可靠、高效的安全規則集是實現一個成功、安全的防火墻的非常關鍵的一步。如果防火墻規則集配置錯誤,再好的防火墻也只是擺設。在建立規則集時必須注意規則次序,因為防火墻大多以順序方式檢查信息包,同樣的規則,以不同的次序放置,可能會完全改變防火墻的運轉情況。如果信息包經過每一條規則而沒有發現匹配,這個信息包便會被拒絕。一般來說,通常的順序是,較特殊的規則在前,較普通的規則在后,防止在找到一個特殊規則之前一個普通規則便被匹配,避免防火墻被配置錯誤。
DMZ安全規則指定了非軍事區內的某一主機(IP地址)對應的安全策略。由于DMZ區內放置的服務器主機將提供公共服務,其地址是公開的,可以被外部網的用戶訪問,所以正確設置DMZ區安全規則對保證網絡安全是十分重要的。
曙光TLFW-1000H防火墻可以根據數據包的地址、協議和端口進行訪問控制。它將每個連接作為一個數據流,通過規則表與連接表共同配合,對網絡連接和會話的當前狀態進行分析和監控。其用于過濾和監控的IP包信息主要有:源IP地址、目的IP地址、協議類型(IP、ICMP、TCP、UDP)、源TCP/UDP端口、目的TCP/UDP端口、ICMP報文類型域和代碼域、碎片包和其他標志位(如SYN、ACK位)等。
DMZ無疑是網絡安全防御體系中重要組成部分,再加上入侵檢測和基于主機的其他安全措施,將極大地提高公共服務及整個系統的安全性。
文章作者:比特網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄