三、解决方案概述
1、网络结构设计
政府部门之间的信息共享和实时通信;政府部门内部的网络化办公以及政府公共信息平台,构成了电子政务网络的主要三个部分。
根据《国家信息化领导小组关于我国电子政务建设指导意见》的规定:电子政务网络由政务内网和政务外网构成,两者之间物理隔离,政务外网与互联网之间逻辑隔离。如图一所示:
#$[*34681.jpg*#图一 电子政务网络结构示意图*#0*#0*#center*]$#
电子政务政府部门之间的信息网络,也就是我们通常所说的政务专网。该网络系统是一个由省、各地市、各区县政府网络组成的三级网络体系结构,根据我们对网络安全的需求分析,电子政务专网是和互联网物理隔离的,同时应在各政府部门之间做相应的安全部署。
政府部门内部的网络化办公和政府公共信息平台,即电子政务外网。从网络安全角度上讲,它们属于不同的网络安全域,因此在各中心的网络边界,以及政务网和Internet边界实施相应的安全部署。
下面是网新易尚安全顾问根据网络系统的安全要求,为电子政务专网及外网设计的网络体系结构,如图二、图三所示。
#$[*34685.jpg*#图二 XX市政务外网安全拓扑示意图*#0*#0*#center*]$#
电子政务外网部署易尚网关防火墙ES2000,利用多CPU和ASIC芯片提供千兆级的网络保护。具有双电源保护,支持负载均衡。线速的反病毒扫描,自带高可用性端口。通过在ES2000配置网络控制策略、网关防病毒、入侵检测、NAT地址转换、Web内容过滤等,来实现对电子政务外网与互联网的逻辑隔离与保护。同时,配置VPN功能,使出差在外的员工,可以方便的访问公司内部资源,而免除信息泄漏的顾虑。通过对DMZ端口的配置,使民众可以访问政务信息平台,对互联网提供网络交互服务。
#$[*34686.jpg*#图三 XX市政务专网安全拓扑示意图*#0*#0*#center*]$#
考虑到电子政务专网的安全问题,我们将互联的政府部门之间,根据具体情况设置ES800/ES903等型号易尚网关防火墙。并根据具体应用和政务专网所使用的信息管理系统,资源管理系统等,在防火墙上做相应的控制策略、病毒防护、入侵检测等设置。
2.解决方案应用特点
网新易尚打破了内容处理障碍,关闭了网络弱点窗口,率先推出了在网络边界处提供网络层和应用层安全的全系列产品线。
网新易尚的ES系列产品结合了专用的硬件和软件,在一个集成的平台上提供了网络层和应用层的服务安全。易尚网关防火墙系列产品充分利用了ASIC芯片的高速处理技术,基于ASIC芯片的内容扫描引擎能够在应用层实时地进行内容分析。易尚网关防火墙能够提供应用层的安全服务,独特的结构使得易尚系列防火墙在高速的网络环境中提供了基于策略的病毒保护,内容过滤,防火墙,VPN,入侵检测和流量控制服务等。
以下是易尚网关防火墙部分特性的列表:
- 蠕虫保护:扫描所有的进行出邮件附件和WEB内容,清除象Code Red和Nimda这样的蠕虫攻击。自动更新的蠕虫数据库,在网关处阻塞最新的和最危险的病毒攻击(强于主机防御)
- 病毒保护:对所有的邮件附件、web内容和下载文件实行病毒特征码和宏病毒扫描,只需要扫描一次,强于单机的多次扫描处理,易尚系列产品可以检测和消除Wild List 病毒组织所公布的所有病毒
- 高级的防火墙策略配置,有效控制 VPN 流量, 提供基于策略的病毒和蠕内容过滤,阻塞象 ActiveX, Java Applets, 和 Cookies的危险内容
- 基于网络的入侵检测系统可以实时检测上千种的入侵攻击
- IP/MAC绑定,防止内部用户的IP欺骗,限制用户的IP地址和网卡的MAC地址对应
- 高可用的集群功能,提供了设备的负载共享
- 基于状态检测的系统事件检测
- 工业标准的IPSec, PPTP, and L2TP在网络和客户间提供了高强度的DES 和3DES 加密
- 简单易用的图形管理界面,使配置和维护工作量降到最低
- 硬件加速处理保证了实时的性能
- 多安全域和VLAN 特性通过组合物理网段和逻辑内部网络到不同的安全域内,控制不同部门间的安全
- 扫描VPN 数据流量 ,阻止远程用户访问校园网络和企业网络而带来的威胁
- 动态IP地址池可以进行灵活地址翻译
- 基与URL地址和关键字的内容过滤, 自然语言表达式的理解和基于用户组的内容过滤