网络安全 频道

网御下一代防火墙在某省财政厅典型应用

 网御下一代防火墙在某省财政厅典型应用

  一、 背景介绍

  某省财政厅属于省级政府机关,对于网络的安全性和业务应用的保护、识别、控制具有很高的要求。由于应用服务器区具有较高的等保级别要求,有需要与运营商网络进行互联,作为两个互不信任网络进行互联的安全设备,如何做好网络安全隔离,确保应用服务器的安全,同时又要保障业务可持续性进行,就变得尤为重要。因此高性能、高稳定性、应用管控、漏洞扫描、木马过滤、间谍软件防护、防御攻击、智能报表等方面成为选择安全产品的重要条件。

  二、 需求分析

  客户网络与服务商接入网络相连的位置主要是两个,一个是应用服务器区,向银行、市县级单位提供财务应用服务,一个是政务外网接入区,连接电子政务外网为政务外网用户提供财务信息服务。其中政务外网部分已经采用传统防火墙配合ips等设备进行部署,在应用服务器区域也要部署针对应用识别、访问控制的安全设备。经过分析,在应用服务区域边界安全方面主要需要以下保护

  应用服务管理控制:随着网络应用的不断增多,企事业单位内部应用的专业化程度的不断提高,对网络安全设备管控应用的需求也日益迫切,传统的IPS、上网行为管理从性能或者功能上又不能完全满足网络边界安全管控需求,仍然要与传统防火墙配合使用,不但加大了成本,也加大了单点故障的隐患。

  系统漏洞扫描:操作系统、数据库管理系统和应用服务中存在的漏洞,有可能被黑客利用进行攻击、传播病毒和种植木马;服务器开放的一些不必要端口和服务,也会给黑客攻击提供了潜在的途径;系统管理存在疏漏,如系统管理员账户口令过于简单等问题。因此,需要通过有效手段对服务器区进行漏洞方面的扫描,以便管理员及早进行分析和处理

  病毒威胁:病毒威胁已经成为服务器区域一项重要威胁,从外网或移动介质等途径进入内网,有的会攻击服务器破坏数据或植入木马进而窃取机密数据。无论是病毒攻击还是人为攻击,大都以破坏、窃密或传播病毒为目的。如何保证服务器区域免受病毒侵扰,也是网络安全设备的一项重要要求

  恶意DDoS攻击:由于地市级网络安全防护相对较弱,一旦有网络被侵入就很容易造成严重的DDoS攻击,进而形成网络资源大量浪费、链路带宽堵塞、服务器资源耗尽而业务中断。业务网络充斥着大量的无用的数据包。如今,利用DDoS攻击手段敲诈勒索已经形成了一条完整的产业链,一旦服务区被攻破将为企业带来不可估量的业务损失。所以,网络安全设备的抗DDoS攻击能力尤为重要。

  三、 解决方案

网御下一代防火墙在某省财政厅典型应用

  在网络安全需求要求较高的应用服务器区域以及核心交换机区域与运营商网络间接入网御万兆下一代防火墙。网御下一代防火墙肩负起将隔离核心交换区域以及应用服务器区域的安全防护任务。,主要实施内容如下:

  ■ 设置外网到应用服务区的严格包过滤策略

  ■ 设置面向特定应用的访问控制策略,包括URL过滤、挂马网站、网络应用管控等

  ■ 对应用服务器群配置DoS/DDoS 防御策略,检测并阻止攻击,避免大规模网络瘫痪

  ■ 开启漏洞扫描模块,对应用服务区域进行漏洞扫描

  ■ 开启实时流量统计,智能化显示实时数据,为管理员提供清晰全面的监控

  ■ 开启病毒检查模块,定期在业务流量较低的时间对病毒进行检测

  四、 实施效果

  网御下一代防火墙部署后,为客户网络提供了稳定的、强有力的安全保护,获得了极好的防护效果与客户极大的认可。

  ■ 网御下一代防火墙部署后,大规模扫描应用服务区域多次,发现漏洞及系统威胁十余个,为系统管理员提供了修补漏洞的方向和依据

  ■ 网御下一代防火墙针部署应用攻击策略后,多次发现并阻止了严重攻击行为,及时发出告警,第一时间提醒网络管理员注意网络威胁

  ■ 对应用服务器群配置DoS/DDoS 防御策略,检测并阻止攻击,避免大规模网络瘫痪

  ■ 开启漏洞扫描模块,对应用服务区域进行漏洞扫描

  ■ 开启实时流量统计,智能化显示实时数据,为管理员提供清晰全面的监控

  ■ 开启病毒检查模块,定期在业务流量较低的时间对病毒进行检测

  部署在应用服务器区域边界的网御星云下一代防火墙,与部署在政务外网接入区的传统防火墙相比具有以下优势:

  ■ 提供面向应用层的访问控制,不再只是局限于传统的ACL

  ■ 提供快速的应用保护处理能力,大大提高了应用层保护的性能

  ■ 避免多设备串行,大大减少了网络故障机率

  ■ 提高了应用威胁检查准确率,并且设备性能显著提升

0
相关文章