云安全产品配置与应用 产品配置与实践 10政府（财政）x省金财工程.docVIP

J省金财工程网络安全项目 J省金财工程是由省厅、10多个地市、30多个县（区）网络组成，各级网络都提供VPN遂道给银行、外连单位对厅局内的前置服务器进行上报数据，并在各市局启用SCM服务器。 未架安全设备前各外连单位上报数据时，先通过MODEM拨号到路由器（路由器中已经做了访问控制：只允许外连单位访问前置机），由路由器分配地址，得到地址后通过路由器将访问包转发给核心交换机，再由核心交换机转给前置机。在进行安全设计时，用户要求架上和撤消防火墙对外连单位访问前置机不受任何影响。 网络结构 安全部署 在所有地市、县区财政局与外部单位连接处，部署带有VPN功能的防火墙以及VPN集中管理系统SCM；外部接入单位部署VPN客户端系统ET-VRC。 各财政局通过防火墙实现了与外部接入单位的隔离与访问控制，并通过VPN实现了与接入单位数据的安全加密传输。 防火墙采用透明模式架结在核心交换机与路由器中间，在ETH1口上设了地址，ETH0设置一个地址与SCM服务器同一网段，路由器原配置不变，另增加一条将SCM服务器网段地址转发给防火墙，外连单位通过MODEM拨号到路由器后，路由器将包转发给防火墙，通过防火墙的访问控制只允许访问SCM服务器，这时外连单位再启用ET-VRC客户端与SCM服务器建立起VPN遂道连接，通过防火墙的访问控制允许外连单位用VPN遂道与前置机进行连接。移除防火墙后外连单位还是采用原来的方法与前置机进行连接。 项目点评 J省金财工程是全省规模的系统工程之一，系统对安全设备的网络适应性要求很高，尤其是安全设备的加入和撤出都不能影响网络的原有结构。用户的网络设备数量大，对安全设备的集中管理要求也很严格。本项目中的天融信防火墙很好的满足了上述两个要求，在不改动用户网络的情况下提高了整网的安全水平。