我们建议根据XX市XX区政府各单位的分布状况不同将XX市XX区政府政务网分成不同的级别,制定不同安全策略进行统一监控,分布管理。针对这种情况我们将分别进行方案设计。
1、XX市XX区政府数据交换中心
XX市XX区政府政务网数据中心为XX市XX区政府政务网数据存储中心、管理中心,因此流量及数据安全要求等级应当为最高。另外,其既与各相关所属单位连接,又与XX市政府等上级或平行单位连接、通讯,因此考虑可能的性能瓶颈问题及可靠性,建议采用大会话数防火墙设备,同时使用双击热备份。具体网络拓扑图如。
三星防火墙具有很强的会话处理能力,通过它良好的性能保证数据流量大的数据中心对吞吐量需求,此外可以采用ACTIVE-ACTIVE模式的双机热备份,实现系统可靠性的同时实现对防火墙的负载均衡,且无需使用L4交换机实现负载均衡。
2、XX市XX区政府所属各单位的防火墙解决方案
XX市XX区政府所属各单位的分布状况虽不同,但都在各自局域网络内存放着各自办公数据及重要资料。由于对Internet访问的需求,对上级主管部门通讯的需求及相关机构的信息往来等要求外部接入不可避免。因此要求防火墙除提供必不可少的局域网络保护和控制外,还需要防火墙提供多种配置模式,并且通过路由模式实现内网、外网、DMZ区域的划分,使网络更加安全可靠。同时由于XX市XX区政府所属各单位安全需求不同,又对可能用到的3A认证服务、各代理应用服务、附加功能的支持程度等都成为考虑的因素,这样来保证防火墙产品应用到各单位网络中后可灵活配置、满足各种变化的需求。对于认证服务器的要求可通过路由模式划分两个DMZ区域、一个内网区域,同时支持三个外网接入以满足不同用户的接入需求。具体网络拓扑如下。
对于较为复杂的单位网络环境还可采用简单的网桥透明模式,将防火墙放置在路由器与局域网交换机之间,访问将通过严格认证和控制。通过三星防火墙防火墙卓越的带宽管理功能,针对不同的区域、策略和主机分配带宽。
在路由模式下可对各单位网络的具体环境需求实现服务的负载平衡(Load Balancing)功能,并且合理分配关键主机的访问负载,满足我们实施政务网过程中进行分步投资网络服务器等设备的需求。
因三星防火墙 防火墙将黑客代码库集成在其可升级的防火墙操作系统中,所以它对黑客的多种攻击手段能做出最快的反应,例如著名的DDOS分布式拒绝服务攻击(Distributed Denial-Of Service),三星防火墙能根据客户端主机发出数据报的数量自动判断是否是DDOS 攻击程序攻击,并采取措施过滤掉攻击包或阻止。
3、远程用户的接入
三星防火墙 支持来自Internet等移动用户或访问站点的多种认证接入方式。无论是一次性口令认证访问方式,还是对口令加密的S/Key方式等都可作很好的支持。另外,三星防火墙防火墙还支持第三方的专用认证方式,例如RADUIS、LDAP、SecurID等。对于应用范围较广的拨号用户或相关单位的频繁访问,三星防火墙防火墙还可配置支持“容许支持相同用户名”、“容许用户使用相同IP地址”等方式来灵活应用防火墙并提供服务。
共2页: 1 [2] 下一页 | ||
|