保險行業
一(yī)、 整體(tǐ)目标
通過安放(fàng)和合理地配置防火(huǒ)牆,有效地防止外(wài)部攻擊和内部越權訪問與蓄意破壞,确保全網所承載的各項業務的正常運行,具體(tǐ)包括:
1.阻止對未開(kāi)放(fàng)端口的非法訪問;
2.合理設置不同的安全權限,有效隔離(lí)不同層次的安全級别;
3.隐藏内部網絡拓撲結構;
4.抵擋木馬攻擊、蠕蟲攻擊、後門攻擊、利用漏洞攻擊和拒絕服務攻擊;
5.強化對網絡的控制,确保關鍵業務的網絡帶寬。
二、 部署原則
根據該保險公司的網絡狀況,同時考慮到防火(huǒ)牆作爲分(fēn)割不同安全域的設備,必須部署在不同安全等級安全域的邊界處,現确定以下(xià)部署原則。
㈠ 與互聯網連接的邊界必須部署防火(huǒ)牆
根據有關規定,該保險公司内部網必須與互聯網物(wù)理斷開(kāi),同時我(wǒ)們也無法回避訪問互聯網的需求,因此,在保證内部網與互聯網物(wù)理斷開(kāi)的原則下(xià),與互聯網相連接邊界必須部署防火(huǒ)牆,使得内部用戶可以訪問互聯網,同時最大(dà)限度地屏蔽互聯網用戶對内部網絡的危害。
㈡ 内部網與銀行等其它單位網絡連接的邊界必須部署防火(huǒ)牆
與銀行等其它單位相連接,可以使保險業務更加迅速高效,但是公司内部網同時也暴露在其它單位網絡用戶面前,使其它單位網絡用戶具備了攻擊公司内部網的可能性。因此必須設置防火(huǒ)牆,針對其它單位網絡用戶對内部網的訪問,進行實時的監控、限制與管理。
三、 配置方案
實施地市級分(fēn)公司的具體(tǐ)配置方案如下(xià):
1. 在地市級分(fēn)公司與互聯網連接邊界、内部網與銀行等外(wài)聯單位相聯的網絡出口處,統一(yī)配置至少一(yī)台防火(huǒ)牆,用于公司内部網與外(wài)部網之間的安全隔離(lí);
2. 在地市級級分(fēn)公司内部網對省級公司和對區縣級分(fēn)公司的網絡出口處,配置防火(huǒ)牆,用于公司内部網不同安全域之間的安全隔離(lí)。
在工(gōng)程實施過程中(zhōng),如需局部調整網絡結構或添置網絡設備,在編制實施計劃時一(yī)并考慮解決。其具體(tǐ)配置方案如下(xià)圖所示。
保險公司地市級分(fēn)公司(數據集中(zhōng)模式)防火(huǒ)牆配置示意圖
四、 安全策略
㈠ 與互聯網隔離(lí)的安全策略
在配置相應防火(huǒ)牆的規則時,允許内部員(yuán)工(gōng)以隐藏後的IP地址訪問互聯網;互聯網用戶不能訪問保險業務網絡的服務。
㈡ 與省級公司網絡隔離(lí)的安全策略
在配置相應防火(huǒ)牆的規則時,允許該分(fēn)公司服務器向總公司特定服務器上傳數據;允許該分(fēn)公司與省級分(fēn)公司相互間訪問特定的服務;限制互聯網服務的帶寬;保證關鍵業務應用的帶寬;網絡的其它服務均被禁止。
㈢ 與區縣級分(fēn)公司網絡隔離(lí)的安全策略
在配置相應防火(huǒ)牆的規則時,隻允許下(xià)連的區縣級分(fēn)(支)公司的特定服務器可以向本分(fēn)公司的特定服務器上傳數據;對于本地無服務器的下(xià)連分(fēn)公司,隻允許特定的工(gōng)作主機訪問本公司特定服務器的特定服務;限制互聯網服務的帶寬;保證關鍵業務應用的帶寬;網絡的其它服務均被禁止。
㈣ 與銀行等外(wài)聯單位隔離(lí)的安全策略
在配置相應防火(huǒ)牆的規則時,隻允許本公司服務器同其它單位的特定服務器之間可以互傳數據,并且隻能相互訪問特定的服務,網絡的其它服務均被禁止
五、部署産品說明
根據該保險公司各級分(fēn)公司的實際網絡環境,我(wǒ)們推薦三款防火(huǒ)牆供用戶選擇。
産品名稱 | 部署網絡環境 |
中(zhōng)網百兆防火(huǒ)牆産品 | 适用于百兆網絡環境 |
中(zhōng)網千兆防火(huǒ)牆産品 | 适用于準千兆網絡環境 |
中(zhōng)網線速千兆防火(huǒ)牆産品 | 适用于線速千兆網絡環境 |
部署位置
|
部署方式
|
部署數量
|
部署方式
|
部署數量
|
地市級分(fēn)公司與互聯網連接邊界 |
單機模式
|
1
|
雙機熱備
|
2
|
地市級分(fēn)公司與銀行等外(wài)聯單位邊界 |
單機模式
|
1
|
雙機熱備
|
2
|
地市級分(fēn)公司與省級公司網絡邊界 |
單機模式
|
1
|
雙機熱備
|
2
|
地市級分(fēn)公司與區縣級分(fēn)公司網絡邊界 |
單機模式
|
1
|
雙機熱備
|
2
|
合計 |
|
4
|
|
8
|