三 外联业务平台设计

　　1、外联业务平台的网络架构

　　业务外联平台包括边界区、边界防火墙区、IDS区、DMZ区、内部路由器、业务前置区、内部防火墙。架构如下图：

　　2、外联业务平台的安全部署

　　边界区

　　边界区包括三台接入路由器，全部支持IPSec功能。一台是专线接入的主路由器；一台是拨号接入的备路由器，当主线路故障或客户有拨号接入需求时客户可通过此拨号路由器接入，拨号接入要有身份认证机制；还有一台是VPN接入方式的路由器。将IPSec部署在边界路由器上是保证端对端数据传输的完整性和机密性，保护TCP/IP通信免遭窃听和篡改。对于INTERNET的VPN接入方式,可并入分行INTERNET统一出口进行VPN隧道的划分，连接有VPN接入需求的外联单位。

　　边界防火墙区

　　边界防火墙区设置两台防火墙互为热备份。在防火墙的内侧和外侧分别有一台连接防火墙的交换机，从安全的角度出发，连接两台防火墙采用单独的交换机，避免采用VLAN造成的安全漏洞。两台防火墙之间的连接根据设备的不同而不同，以能够可靠地为互相备份的防火墙提供配置同步和心跳检测为准。

　　入侵检测IDS

　　能够实时准确地捕捉到入侵，发现入侵能够及时作出响应并记录日志。对所有流量进行数据分析，过滤掉含有攻击指令和操作的数据包，保护网络的安全，提供对内部攻击、外部攻击和误操作的实时保护。

　　DMZ区

　　建立非军事区（DMZ）, 是为不信任系统提供服务的孤立网段，它阻止内网和外网直接通信，以保证内网安全，在非军事区上设置并安装基于网络的实时安全监控系统,所有对外提供公开服务的服务器一律设置在DMZ,其中WWW、E-mail、FTP、DNS服务器置于非军事区（DMZ）

　　内部路由器区

　　内部路由器区设置一台用于连接业务外联平台和业务前置区的路由器。

　　业务前置区

　　设立独立的网络区域与业务外联平台的交换信息，并采取有效的安全措施保障该信息交换区不受非授权访问。

　　内部防火墙

　　内部防火墙可以精确制定每个用户的访问权限，保证内部网络用户只能访问必要的资源，内部防火墙可以记录网段间的访问信息，及时发现误操作和来自内部网络其他网段的攻击行为。

　　病毒防范和漏洞扫描

　　在服务器、前置机上安装网络版防病毒软件，及时在线升级防病毒软件，打开防病毒实时监控程序，设定定期查杀病毒任务，及时抵御和防范病毒。定期对网络设备进行漏洞扫描，及时打系统补丁。

　　路由

　　采用静态路由，边界的主、备路由器采用浮动静态路由，当主链路不通时，通过备份链路建立连接。

　　网管

　　从安全的角度考虑，业务外联平台的网管采用带外网管。网管服务器和被管理设备的通讯通过单独的接口。用PVLAN使被管理设备只能通过网管专用的接口与网管服务器连接，而被管理设备之间不能互通。为了防备网管服务器被控制的可能性，规划独立的网管服务器为业务外联平台服务。网管平台能够对业务外联平台进行状态管理、性能管理、配置管理、故障管理。带外网管平台采用单独的交换机，以保证系统的安全。

　　QOS

　　在数据包经过内层防火墙进入管理区域后立即打上QOS标记，使外联平台的数据包按照规定的优先级别占用网络资源。