HL市政府整体网络结构由内部网络和外部网络两部分组成,内网和外网已实现了物理隔离。其中内网部分包括:内部办公网络通过核心交换机连接后台数据库系统,并且通过政务专网系统向上连接上级(省)政务专网,向下通过VPN线路连接各乡镇街道,横向通过光纤线路连接市委、市政协、市人大及各市直机关。外网部分包括:外部办公网络通过交换机连接服务器区,并通过专线接入Internet。
网络结构
安全部署
通过对网络结构、网络安全风险、安全目标的整体分析,天融信公司为HL市政府提供了完整的网络安全解决方案。HL政府行政中心信息网络系统由政务内网及外部网络两部分组成,内、外网采用物理隔离方式。因此,我们将分别对内网和外网的安全进行设计。
外网部分:在HL市政府网络系统的外网中重点保护对象是外部办公网及服务器区,采用一台天融信NG FW4000-UF型千兆防火墙(配置了3个端口),放置于外部办公网核心交换机、Internet、服务器区之间,分别独立的对外部办公网和Internet等各安全区域进行隔离并做访问控制。由于考虑到服务器区数据的重要性,在各服务器与防火墙之间再设置一台隔离网闸进行物理隔离。同时,在服务器区布置一台入侵检测设备,用来监测所有对服务器区的访问数据,及时发现内网对服务器的攻击行为。
内网部分:内网部分通过核心交换机与后台数据库系统相联,并且各乡镇街道通过VPN专网与内网中的后台数据库系统交换数据。我们在服务器区交换机和政务专网、各市直机关内网、远程乡镇单位之间放置一台天融信4端口NGFW4000-UF-VPN千兆防火墙(集成VPN模块),在内部办公网与各市直机关、后台数据库服务器之间进行隔离并做访问控制。并在内部服务器区与防火墙之间设置一台隔离网闸进行网络隔离,同时,在服务器区布置一台入侵检测设备,用来检测所有对服务器区的访问数据。对于市直机关单位以及各乡镇城区,配置天融信公司的小型VPN防火墙或VPN客户端软件实现与市政府内部网的数据安全传输。
项目点评
这是一个典型的市政府内网、外网物理隔离的应用案例。并且无论内网还是外网,都采用了强度较高的安全防护与响应体系。