引言:“部署深信服的下一代防火墙解决方案,实现了我局网络系统安全防护的高安全性和稳定性。下一代防火墙的上线部署,解决了传统防火墙应对不了的网络安全威胁,对我局的邮件系统及门户网站服务器,以及内网用户上网产生的安全威胁实现了全面有效的安全防护。方案具有针对性,设备运行较为稳定,性能表现良好。”——贵阳市地方税务局信息中心
贵阳市地方税务局门户网站承载着宣传地方经济发展、加强对外交流、公开税务信息等重要功能,是纳税服务的重要窗口。根据贵阳市地方税务局要求,Web服务器应该进行严格的安全防护,避免任何手段对Web服务器进行攻击。此外,由于贵阳市地方税务局网络规划初期本着“简化组网,节约投资”的原则,内网办公区域互联网的出口与现网网站规划同一互联网出口。由于内网办公区终端的不可控性,很容易导致位于同一互联网出口的Web门户网站的安全及响应速度问题。总体而言,贵阳市地税局互联网出口可能面临的风险如下:
一、门户网站安全问题
1、Web网站的安全问题,如常见的Web攻击:SQL注入攻击、xss跨站脚本攻击、CSRF攻击等;
2、Web网站发布系统安全问题,贵阳地税采用Apache发布系统发布网站,Apache服务器存在大量底层漏洞,黑客可以很容易的在网上找到相应的漏洞攻击工具对网站发布系统进行攻击;
3、底层操作系统的安全问题,通常承载网站以及发布系统的底层操作系统都都存在大量的底层漏洞。而贵阳地税门户网站是基于windows平台的架构操作系统,针对该系统的攻击也会导致门户网站出现安全问题。
二、内网办公区终端风险问题
1、非法应用占用大量网络资源,并且影响办公效率;
2、门户网站带宽资源得不到有效保障;
3、办公区终端频繁的互联网活动很容易感染病毒木马成为黑客攻击的跳板。
因此如何选择安全非常好的、功能最全、投资最优的互联网出口统一防护解决方案成为贵阳地税信息中心网络规划的核心问题。
深信服解决之道:
根据贵阳地税的特殊网络环境和需求,深信服为贵阳地税信息中心提供下一代应用防火墙互联网一体化安全解决方案。通过在核心交换机前端部署深信服下一代应用防火墙设备,将Web门户网站服务器与内网终端进行隔离管控和安全防护。有效的解决了贵阳地税面临的门户网站安全问题以及内网办公区终端风险的问题。
部署收益:
强化的网站web安全加固:
深信服下一代应用防火墙为贵阳地税门户网站提供基于Web攻击过程的统一安全防护,提供针对黑客攻击过程的完整Web系统安全防护,即针对黑客入侵三步曲即扫描、入侵、破坏进行统一的安全防护。有效的保障了贵阳地税门户网站的安全,从底层操作系统、到发布系统再到Web网站应用程序提供了L2-L7层的Web安全加固,减少了Web门户面临的安全风险。
可视化的应用管控:
内网终端上网与门户网站共用同一互联网出口势必引入内网非法应用占用资源,上网缓慢、网站访问缓慢等问题。通过深信服下一代应用防火墙的可视化应用管控,使贵阳地税内网上网终端的非法应用得到有效的控制,保障了带宽资源,同时减少非法应用带来的安全风险。
可靠的带宽保障:
贵阳地税目前互联网出口的带宽有限仅有100M的资源,同属该出口的网站流量如何保障成为贵阳地税重点考虑的问题。通过深信服下一代应用防火墙流量保障功能,给DMZ区Web服务器划分合理的带宽资源,有效的保证了网站访问的速度,为当地纳税人提供良好的访问体验。
完整的终端安全防护:
深信服下一代应用防火墙为贵阳地税内网终端提供完整的终端安全防护,提供终端病毒防护、基于终端的漏洞防护、危险插件过滤、恶意脚本过滤等功能,全面保障内网终端上网的安全风险,同时防止了终端被利用为跳板入侵Web服务器的风险。
深信服下一代应用防火墙的部署,不仅为贵阳地税互联网出口提供7层的一体化纵深安全防护,同时从最优投资的角度减少了多余安全设备的投资。达到了贵阳地税最初投资利益最大化,安全维护最简化的要求。