法院网络安全规划建设设计方案.docxVIP

法院网络安全规划建设设计方案 目 录 1 方案综述 3 2 网络出口安全 4 2.1 法院网络出口安全设计 4 2.1.1 网络出口定义 4 2.1.2 网络出口安全定义 4 2.1.3 出口主干安全设计 5 2.1.4 DMZ区域安全 9 3 内网与外网安全隔离 13 3.1.1 防火墙的部署 13 3.1.2 安全隔离及数据交换系统 13 4 安全管理区 14 5 互联网用户区 15 5.1 网络管理系统 16 5.2 可信运维系统 16 6 高可用集群软件 17 方案综述 法院网络安全整体规划图如下： 将*****法院分为四个区域：网络出口区域、内部专网区域、安全管理区域、互联网用户区，其中网络出口区包含DMZ区。 另外采用高可用集群软件保障服务器及盘阵的稳定运行。 各个区域网络安全设计在下面章节详细介绍。 网络出口安全 法院网络出口安全设计 网络出口定义 如上图所示：网络出口是指企事业单位网络与外部网络（如互联网、教育网、银行专网）连接的网络边界区域，其范围一般是指从企事业单位网络核心交换到连接外部网络边界的部分，一个单位可能存在一个或多个网络出口。 网络出口是一个单位网络连接外界网络的纽带，是对外提供服务的窗口，面对的环境非常复杂，变化多端，此网络区域面临的安全风险最大，需要重点保护。 网络出口安全定义 网络出口安全是指通过一些安全措施和管理措施的实施，制止企事业单位内部人员的反动、虚假言论等非法上网行为，确保员工的上网行为符合国家、上级主管单位及本单位要求；防范来自外部网络的各种攻击行为，确保对外业务的正常运行，维护企事业单位的形象。 出口主干安全设计 在出口主干部署负载均衡、抗DDos攻击、入侵防御系统、防火墙、上网行为管理、VPN网关设备，以上设备均采用双机部署模式，其中上网行为管理具有审计功能。 下面介绍主要设备的功能特点。 负载均衡 简介： 负载均衡是建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。 功能： 全面的负载均衡 包括动态速率、最少连接和观察模式的动态平衡，这些方法用于以整体方式跟踪服务器的动态性能。这保证了始终选择最佳的资源，以提高性能。可支持所有基于TCP/IP协议的服务器负载均衡。可支持最小连接数、轮询、比例、最快响应、哈希、预测、观察、动态比例等负载均衡算法。 应用状态监控 用于检查设备、应用和内容的可用性，包括适合多种应用的专用监视器(包括多种应用服务器、SQL、SIP、LDAP、XML/SOAP、RTSP、SASP、SMB等)，以及用于检查内容和模拟应用调用的定制监视器。 高可用性和交易保障 无论出现何种系统、服务器或应用故障，都能保证它是一个高可用的解决方案。BIG-IP LTM可以主动检测和响应任何服务器或应用错误。 支持NAT地址转换 提供NAT地址转换功能，能够实现动态或静态地址转换。 支持访问控制列表 能够实现防火墙的基本功能，建立访问控制列表，拒接IP网段或端口号吗。 支持路由 该功能为多数设备中基本功能，但只支持静态路由，如果使用较为高级的OSPF路由协议，需要购买单独的模块来支持。 抗Ddos攻击 DDoS攻击一般通过Internet上那些“僵尸”系统完成，由于大量个人电脑联入Internet，且防护措施非常少，所以极易被黑客利用，通过植入某些代码，这些机器就成为DDoS攻击者的武器。当黑客发动大规模的DDoS时，只需要同时向这些将僵尸机发送某些命令，就可以由这些“僵尸”机器完成攻击。随着Botnet的发展，DDoS造成的攻击流量的规模可以非常惊人，会给应用系统或是网络本身带来非常大的负载消耗。 针对目前流行的DDoS攻击，包括未知的攻击形式，绿盟科技提供了自主研发的抗拒绝服务产品——NSFOCUS Anti-DDoS System，简称NSFOCUS ADS。通过及时发现背景流量中各种类型的攻击流量，NSFOCUS ADS可以迅速对攻击流量进行过滤或旁路，保证正常流量的通过。产品可以在多种网络环境下轻松部署，不仅能够避免单点故障的发生，同时也能保证网络的整体性能和可靠性。 入侵防御系统 近年来，企业所面临的安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、垃圾邮件、网络资源滥用（P2P下载、IM即时通讯、网游、视频）等，极大地困扰着用户，给企业的信息网络造成严重的破坏。 能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行便成为企业所面临的一个重要问题。针对日趋复杂的应用安全威胁和混合型网络攻击，绿盟科技提供了完善的安全防护方案。绿盟网络入侵防护系统（以下简称“NSFOCU