-
***
行互联网上网及网络安全
解决方案
广电网
络
**
分公司
二零一九年六月
1
目
录
一、现状分析
.
................................................ .................................................. ................................
3
二、标准化办公用互联网实现方案
.
.......................................
..................................................
.....
4
2.1
标准化内部互联网拓朴图
.
.............................
..................................................
.................
4
< br>2.2
方案描述
..................
..................................................
..................................................
.......
4
三、网络安全解决方案
.
............................................ .................................................. ....................
6
3.1
网络防火墙
.
..................................
..................................................
...................................
6
3.1.1
设备介绍
..................................
..................................................
......................................
6
3.1.2
设备型号及主要参数
.
.............................
..................................................
......................
7
3.2
上网行为管理
.
.................................
..................................................
................................
8
3.2.1
设备介绍
..................................
..................................................
......................................
8
3.2.2
设备型号及主要参数
.
.............................
..................................................
....................
1
0
四、设备及报价
.
< br>............................................... .................................................. ...........................
1
1
4.1
网络硬件设备一次性费用
.
.............................
..................................................
...............
1
1
4.2
VPN
专线链路月租用及运维服务费用
..........
..................................................
...............
1
1
五、成功案例
.
................................................ .................................................. ..............................
1
2
2
一、现状分析
目前,
**
市
*
行分行和各县
*
行支行的办公用互联网都是各自在当
地办理
的互联网接入。各行所选的网络运营商(电信、移动、联通、
广电)不同;各行之间接入
互联网的方式也不相同,例如有的是拨号
上网、
有的专线上网;
各行接入互联网的带宽也不相同,
有
2
0M
、
50M
、
100M
、
200M
等;各行在网络
安全方面没有做系统的防护;各行在网
络行为日志管控及审核方面也没有建立健全。
所以目前分行与各支行
的办公用互联网只能是能满足各地日常办工所
需,
但整个网络没有自
上而下的统一出口、统一防护、统一管理
、统一日志存储与查询、统
一管控与审计、统一接入方式等,不符合省
< br>*
行相关文件的要求,存
在一定的网络瓶颈和网络安全风
险。
3
二、标准化办公用互联网实现方案
2.1
标准化内部互联网拓朴图
根据以上网络现状,
以最大限度发挥原有设备性能为原则,
通过
在原有设备基础上升级和增加必要设备及链路,
我们制定出一张对外
有着统一网络出口的可管、可控、可查询、安全及时高效的办公
用互
联网的实现方案。该方案总体拓扑图如下:
*
行
**
市分行内部互联网拓扑图
2.2
方案描述
**
市
*
行原有的一条广电专线作
为办公上网统一的互联网出口接
入至网络安全防火墙,
预防网络
非法攻击,
以实现对互联网的统一出
口和网络安全的统一实时防
护。
内网中的数据经过网络行为管理设备,
4
上网行为日志数据可得到存储与查询,
网络行为得到实时管控与审计,
以实现网络的统一管理、统一日志存储与查询、统一管
控与审计。市
*
行分行办公用核心交换机接入到网络行为管理设
备下,其下接入至
市分行及各县支行的办公局域网,
以实现统一
接入方式。
需特别说明
的是,在广电城域网中要新建
6
条
VPN
专用隧道打通
各县支行与
**
市分行之间的专用链路,再通过新建
1
条
**
市广电网络机房
到
**
市
*
行
机房的专用千兆链路联通,共计
7
条专线,以实现自上而下的、
安
全的、统一管理的、符合标准的办公用互联网。
综上所述,本方案结构清晰,逻辑明确,符合标准,易于实现,
且最大限度
的用上了原有网络中的设备及链路。
5
三、网络安全解决方案
国家网络安全法的颁布以及内部网络安全管理的需要,
网络安全
体现得越来越重要。就
*
行互联网上网的网络安全
来看,主要是针对
两个方面:
1
、来自
外部的网络威胁;
2
、对内部的上网行为的管理。
所以在此网络安全解决方案中重点考虑了网络防火墙和上网行为管
理两款设备
。
3.1
网络防火墙
3.1.1
设备介绍
目前防火墙都属于下一代防火墙。
下一代防火墙从用户、
应用和
行为的角度出发,重新实现了流量分类、访问控制、攻击防护和
QoS
等所有传统防火墙功能,
并基于这些功能进行了
高级抽象,
提供用户
策略、
应用策略和
行为策略等智能控制手段,
有效解决了传统防火墙
无法解决的问
题。
下一代防火墙具备
APT
防护功能,有别于基于特征的攻击防护,
APT
防护结合了网络行为特征分析技术、
未知文件沙箱分析技术和未
知流量分类技术,可对潜在的
0day
攻击,泄密行为、加密
C&C
流量
等无法通过指纹特征识别的
威胁进行定位、阻断和溯源。
结合云安全管理平台,
下一代防火墙还可提供快速部署、
智能策
略分析
、统一策略管理等功能。
在部署方面,下一代防火墙支持传统
的桥接、路由、旁路和混合
6
-
-
-
-
-
-
-
-
-
上一篇:Boundary Scan测试原理及实现
下一篇:A320电子舱通风系统简述