云平台安全等级保护建设项目安全技术方案详细设计.docxVIP

云平台安全等级保护建设项目安全技术方案详细设计 天融信在本项目的整改方案设计中，针对 XX 的三级等级保护整改建设，依据一个中心三重防护的思路展开详细设计。 具体设计面向以下的几个方面： 信息安全拓扑设计 」一令 ＿＿＿ ＿工1 寻 」 一令 ＿＿＿ ＿工1 寻 f \ I I II lI I r ＿ - － - 血 - 9 测试 开发区 ｀ 互瑕网接入区活r 一．i实i 互瑕网接入区 活 r 一． i 实 i 云笠j＿日 云笠 j ＿日计 r 安全笞理运 控区 ，  一无言乐-K, h 一 无 言 乐 -K , h l ll lI I I_l F 孚芯 i ． － 云11气l 云 11气 l 庄瘛粤恩还 纭 令 ； 五lrIl 五 l ｀芒3 实 码 心 兰 丑牢＿、｀ 码 心 兰 丑 牢  1 1 . ． -t -t---_ --l」 . + －芯志 朵一一， 运 “ 二..:O] 茫心 _ _ __ , - , - 红入正 恪｛－－核－ 一一一 一一一一一 一一一 恪 i－一，一一已l i － 一， 一一 已 l- -－－ ， r 一． 一 ． } -  JL＿l-－－－－－＿ J L ＿ l-－－ －－ －＿－ ＿－ －－ ，} J  －＿－＿＇一一数霖 －＿ －＿ ＇一一数霖 安全交 换区 rr ＿｀．三· --..,, ＿ ｀． ｛办 公 0l 迼竺 嘈 0  已｀ J ＿ ＿ ＿ ＿ ＿ 芒 二 l 刃立务为五 Il 运 过 I 一、 兀 I 区 念吁哩蒂云孚句实 一 I , $l存 勹一己－------------ - - - - - -- - - , $l 存 勹一己－ IP--:5A N存恃 匼 亟 ｝ ＇．— ] : ＇ ． 孟严丸了 －＿ －＿江平台应用 区 ! .._＿＿＿＿＿＿＿＿ 竺 ----------------.. 区悦 ｝ 丢 i务 、＿＿＿＿，I 、 ＿ ＿＿ ＿ ， I ＿ ＿  .....－. ...－..些. 、 _ _ _ _l _ _ _ _ l_l_ _ ＿ r - l 芒户 L.I I ；二，：已 尸 ＿＿ ； 二 ， I I I I I I I I I II I I I l P ＿ I-H 品 1I I II I I I I I I j  竺芦 I I l 、－－－－－－－－－－－－－－－霞一一一一一一一一一 ） I 1_ --- -- -- --- _- _ _, -- -_ _ _ _, -- - --- - - -- --- - --- --- - --- _,J 互联网接入区安全设计 电信ISP 电信ISP 联通ISP 互联网接入区 接入路由器 抗DDoS系统 A/S 负载均衡 A/S 防病毒过滤网关 A/S 入侵防御系统 A/S 防火墙 （Cisco） A/S DMZ区 核心交换区 互联网接入区作为云平台发布门户网站，用户接入，以及将 来与各下属单位数据中心通过虚拟专网连接的重要接入区域，是 XX 的对外唯一通路。担负着重要的边界防护使命。 本期方案计划部署如下安全产品： 抗 DDoS 系统：部署两台千兆级别的抗 DDoS 系统，以A/S 模式，透明方式部署；对入站方向的DDoS 攻击流量进行清洗，保护内网直接对外服务的网站。 防病毒过滤网关： 部署两台千兆级别的防病毒过滤网关，以 A/S 模式，透明方式部署；对入站方向的 HTTP、SMTP、POP3、IMAP 等流量进行防病毒过滤清洗，主要保护内网中直接对外提供服务的网站，邮件系统，以及各办公终端。 入侵防御系统： 部署两台千兆级别的入侵防御系统， 以 A/S 模式，透明方式部署；对入站方向的数据包进行包还原，检测攻击行为，攻击特征，若发现攻击行为则进行阻断。 接入防火墙：利用现有 Cisco ASA5555 防火墙，以A/S 模式，路由方式部署；负责入站方向 IP 包的访问控制， 对DMZ 区的WEB 网站进行端口访问控制；另外开启 VPN 功能，对接下属机构数据中心，进行虚拟专网连接， 同时第三方运维人员可借由 VPN 远程登入。此处接入防火墙作为纵深防御体系的第一道屏障，与内网各重要边界防火墙异构。 DMZ 区安全设计 DMZ区 DMZ区 WEB 实体服务器 WEB 发布服务器 网页防篡改系统 WEB应用防火墙A/S 互联网接入区 DMZ 区承载 XX 的对外服务网站，担负着 XX 门户的重要使命。本区域中的安全设计主要针对 WEB 网站防护，网页防篡改等。 本期方案计划部署如下安全产品： WEB 应用防火墙：部署两台千兆级别的 WEB 应用防火墙，以 A/S 模式，反向代理方式部署；对 WEB