電子政务外网师级网络调整优化探讨.pptVIP

城域网专网接入（团级） 熟悉专网接入方式，便于各部门接入咨询 城域网专网接入（团级） 熟悉专网接入方式，便于各部门接入咨询 机关局域网 接入方式：团级机关部门专网位于机关大楼内，将其部门划分到一个VLAN，二层透传到兵团电子政务外网核心路由器，网关落在核心路由器上，并封装到专网VPN中。 设备配置：机关部门专网位于机关大楼内，大楼已部署接入交换机，无需配置额外网络设备。（信息点多加交换机） 分散单位 接入方式：专线接入，BD3928E 设备配置：推荐交换机（网关落到团核心MSR5040上） 接入方式：非专线接入，接入师互联网防火墙（东软） 设备配置：防火墙（IPSEC VPN） 接入方式：移动客户端，接入互联网防火墙（东软） 设备配置：软客户端，CA证书（KEY） 第四部分 互联网调整优化 互联网调整 1、师级VPN改造（外网、互联网） 互联网防火墙 互联网服务区 核心交换机 互联网服务区 服务器 外网数据中心 核心交换机 BD8506 城域网核心路由器 SR6616 公用网服务区 专网服务区 互联网VPN 外网VPN 互联网调整 2、加强现有安全设备策略配置 1、加强出口防火墙安全策略配置，关闭不对外提供服务的端口等 2、更新补丁、防病毒软件，防止弱口令等安全隐患 3、建立日志服务器，将重要设备日志保存至日志服务器 互联网增加安全设备示意图 3、增加互联网安全保护设备（IPS，行为管理、带宽管理，终端管理等） 安全设备推荐部署 序号 产品名称 描述 部署位置 解决风险 数量 1 防病毒网关系统 用于访问控制、网络边界恶意代码防范、应用层综合防御 互联网出口与核心交换区边界 结构安全 1 2 上网行为管理系统 用于访问控制、应用层的控制与审计 互联网出口与核心交换区边界 行为审计 1 3 入侵防御系统 用于应用层综合防御 互联网服务区边界 入侵防范 1 4 运维保垒主机系统 用于日常运维操作行为审计 综合管理区 抗抵赖、运维操作审计、防止审计日志被非法删除 1 5 统一身份管控系统 用于全局业务系统的身份管理、认证管理、权限分配、应用审计 综合管理区 身份签别、应用安全、应用审计 2 6 SOC安全管理平台 用于网络设备、服务器设备的统一安全管理，海量日志信息的采集、存储、管理、分析等 综合管理区 系统建设管理、系统安全运维 1 7 数据备份与恢复系统 用于主机设备、数据库、应用程序数据备份与恢复 综合管理区 数据完整性、备份与恢复 1 8 终端准入系统 用于终端设备的安全准入、补丁更新、资产管理等 综合管理区 主机安全 1 9 网络版防病毒软件 用于终端设备的恶意代码防护 综合管理区 主机安全 1 IT运维系统 建议使用各师部署的IT运维系统，实现运行监控和运维管理 完善身份认证系统和单点登录 第五部分 数据中心调整优化 数据中心调整优化 1、完善数据中心结构，增强数据中心安全性 1、补充完善数据中心结构，增加公用服务区交换机，部署公用网服务区防火墙 2、要求各专网接入均需部署防火墙等安全设备 数据中心调整优化 2、共享数据服务区的重点建设（各专网均能访问） 城域网核心路由器SR6616上配置 acl number 3000 rule 5 permit ip vpn-instance intranet destination 59.0.0.0 0.255.255.255 rule 12 permit ip vpn-instance jianshehuanbaoju destination 59.0.0.0 0.255.255.255 rule 14 permit ip vpn-instance VPN_tongji destination 59.0.0.0 0.255.255.255 rule 15 permit ip vpn-instance VPN_guotu destination 59.0.0.0 0.255.255.255 rule 16 permit ip vpn-instance VPN_xinfang destination 59.0.0.0 0.255.255.255 rule 17 permit ip vpn-instance VPN_shenji destination 59.0.0.0 0.255.255.255 rule 19 permit ip vpn-instance VPN_caiwu destination 59.0.0.0 0.255.255.255 nat address-group 0 59.223.X.1 59.223.X.1 interface GigabitEthernet2/2/6.600 nat outbound 3000 address-group 0 v