一 项目背景
随着政府行业电子政务业务的发展,各个政府部门都有其自己的一套业务系统,然而各个部门之间有数据需要同步,因此该政府部门通过电信的专线把各个区的部门连通了,然而这样反而造成了当有一个部门遭受病毒攻击可能会蔓延到其他部门。那么,在实现业务数据互通的时候,如何保证内网的安全性问题就摆在了一个非常重要的位置。
二 面临的问题
在政府部门通过电信的专线把各个区的部门连通的前提下,衍生出当有一个部门遭受病毒攻击可能会蔓延到其他部门。
百蕴启辰解决方案:
当前的网络拓扑结构:
三 客户需求
由于当前出口路由器配置相对复杂,而且整个网络是采用动态路由协议(OSPF)转发数据的。希望能够在保护内网的前提下尽量不要改动原有的配置。
四 整改内容
针对这种情况,蕴辰主要通过两个方面进行保护:(拓扑结构如下)
1. 通过采用透明模式的双机热备模式部署两台NGFW在网络边界,并且在两台NGFW上开启IPS和AV功能。实时检测省局过来的流量是否为攻击行为。
2. 边界安全已经做好了,但是内部呢?一个小小的U盘也有可能造成内网终端感染病毒。因此在内网零散的服务器区旁路部署了两台防火墙,所有访问特定的服务器的流量都必须先到防火墙进行一次清洗。
五 客户收益
1.有效的从内外两个方面解决业务系统的安全性问题
2.整个方案都是采取双机模式,有效防止单点故障,业务中断的情况。