联举软件政府专网防火墙解决方案

• 关 键 词：
• internet
• 管理信息系统
• 网络安全方案
• ddos攻击
• 安全解决方案

　　需要说明的是，IDS是对防火墙的非常有必要的附加而不仅仅是简单的补充。

　　三、某市政府安全系统技术方案

　　1、防火墙安全系统技术方案

　　某市政府局域网是应用的中心，存在大量敏感数据和应用，因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统，确保数据和应用万无一失。

　　所有的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到主干交换机上。由于工作站分布较广且全部连接,对中心的服务器及应用构成了极大的威胁，尤其是可能通过广域网上的工作站直接攻击服务器。因此，必须将中心与广域网进行隔离防护。考虑到效率，数据主要在主干交换机上流通，通过防火墙流入流出的流量不会超过百兆，因此使用百兆防火墙就完全可以满足要求。

　　我们在中心机房的DMZ服务区上安装两台互为冗余备份的千兆防火墙，DMZ口通过交换机与WWW/FTP、DNS/MAIL服务器连接。同时，安装一台FW1000千兆防火墙，将安全与备份中心与其他区域逻辑隔离开来。

　　通过安装防火墙，实现下列的安全目标:

　　利用防火墙将内部网络、Internet外部网络、DMZ服务区、安全监控与备份中心进行有效隔离，避免与外部网络直接通信;

　　利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全;

　　利用防火墙对来自外网的服务请求进行控制，使非法访问在到达主机前被拒绝;

　　利用防火墙使用IP与MAC地址绑定功能，加强终端用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;

　　利用防火墙全面监视对服务器的访问，及时发现和阻止非法操作;

　　利用防火墙及服务器上的审计记录，形成一个完善的审计体系，建立第二条防线;

　　根据需要设置流量控制规则，实现网络流量控制，并设置基于时间段的访问控制。

　　2、入侵检测系统技术方案

　　我们建议在局域网中心交换机安装一台IDS千兆探测器，DMZ区交换机上安装一台海信眼镜蛇入侵检测系统百兆探测器，用以实时检测局域网用户和外网用户对主机的访问，在安全监控与备份中心安装一台IDS百兆探测器和IDS控制台，由系统控制台进行统一的管理(统一事件库升级、统一安全防护策略、统一上报日志生成报表)。

　　通过使用入侵检测系统，可以做到:

　　对网络边界点的数据进行检测，防止黑客的入侵;

　　对服务器的数据流量进行检测，防止入侵者的蓄意破坏和篡改;

　　监视内部用户和系统的运行状况，查找非法用户和合法用户的越权操作;

【深 度 阅 读】 相 关 文 章

• 下载Flash播放插件
• 如何重装xp系统图解
• 如何利用路由器设置局域网
• 巧妙清除Windows 2000/XP登录密码