网闸典型应用方案范文

网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案

目录

1.前言.......................................... 错误！未定义书签。

2.需求分析................................ 错误！未定义书签。3网络安全方案设计............ 错误！未定义书签。

1.前言

Internet作为覆盖面最广、集聚人员最多的虚拟空间，形成了一个巨大的市场。中国互联网络信息中心（CNNIC）在2002年7月的“中国互联网络发展状况统计报告”中指出，目前我国上网用户总数已经达到4580万人，而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户，为商家提供了无限商机。同时，若通过Internet中进行传统业务，将大大节约运行成本。据统计，网上银行一次资金交割的成本只有柜台交割的13%。

面对Internet如此巨大的市场，以及大大降低运行成本的诱惑，各行各业迫切需要利用Internet这种新的运作方式，以适应面临的剧烈竞争。为了迎接WTO的挑战，实现“以客户为中心”的经营理念，各行各业最直接的应用就是建立“网上营业厅”。

但是作为基于Internet的业务，如何防止黑客的攻击和病毒的破坏，如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性，在人们心中还有很多疑虑，因为很多网络安全技术都是事后技术，即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术，它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障，但它自身却常常被黑客攻破，成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测，不提供基于硬件隔离的安全手段。

所谓“道高一尺，魔高一丈”，面对病毒的泛滥，黑客的横行，我们必须采用更先进的办法来解决这些问题。目前，出现了一种新的网络安全产品——联想安全隔离网闸，该系统的主要功能是在两个独立的网络之间，在物理层的隔离状态下，以应用层的安全检测为保障，提供高安全的信息交流服务。

2.需求分析

2.1 XX的网络现状

XX网上营业厅现行的拓扑图

图2.1 XX网络拓扑示意图

2.2 XX网上营业厅所面临的主要问题

具体分析，XX网上营业厅所面临的主要问题：

1)实时性差

2)工作量大

3)容易造成人为的失误

4)运行费用高

5)很难实现7（天）×24（小时）的不间断服务

6)业务扩展困难

2.3 将内部业务网与外部网络直接连接的安全隐患

若直接将两个网络连接起来，将出现以下安全隐患：

1)来自网络外部非法用户的攻击和越权访问等。

2)网络病毒的破坏。

3)来自内部网络合法用户的无意泄密。

2.4 XX的网络安全需求分析

1)防止内网的主机遭受非法用户的非授权访问或恶意攻击。

2)加强对各种交流信息的检测，其中包括：检测来自内部和外部的数据内

容。

3)加强对各种交流信息的病毒扫描和清除，其中包括：检测来自内部和外

部的数据内容。

4)加强对各种交流信息的日志审计。

2.5 XX网上营业厅的安全目标

XX网上营业厅的业务量越来越多，业务种类越来越多，对业务的性能要求越来越高，为了更好的、更有效的、更方便、更安全地提供网上营业厅服务，是实现XX网上营业厅的目标。实施网络安全系统项目，整体规划网络安全系统，作好以下几个方面的规划和实施：

✧保密性

✧安全性

✧完整性

✧可用性

2.5.1近期目标

目前迫在眉睫的工作是保护整个系统的网络完整性、系统的完整性及系统可用性，建立安全的网络逻辑结构，为今后的实施保密性奠定基础。网络完整性主要是对网络系统的保护，通过设置安全隔离网闸等保证通讯安全，保证系统资源受控可用；系统的完整性是信息系统的保护主要有防病毒、风险评估、入侵检测。

2.5.2远期目标

全面部署XX的全网的整体安全防御系统，巩固和完善网络安全及管理系统，使XX网上营业厅更好的行使职能。

3网络安全方案设计

3.1设计目标

1、将XX内部网与其它外部网络安全隔离，拒绝非法访问，恶意攻击，保护

网络边界的安全。

2、抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击。

3、强化对网络的控制，确保关键业务的网络带宽。

3.2解决方案描述

解决方案一

该方案使用安全隔离网闸的数据库同步方式，实现业务数据库和业务数据库副本之间的同步，使这两个数据库部分或全部内容实时地保持一致，从而实现业务数据的共享。对已有的网上营业厅进行改造是一个非常好的方案。

解决方案二

该方案使用安全隔离网闸的文件交流方式，Web服务器将接收到的请求转换成文件，通过安全隔离网闸传输到业务网，业务网处理完该数据后，再将结果转换成文件通过安全隔离网闸传输给Web服务器，从而实现网上营业厅的业务处理。该方案比方案一成本低，但网上营业厅系统必须针对安全隔离网闸进行开发。对于新建的网上营业厅也是一种很好的方案。

为保证网络系统安全可靠的运行，保障系统资源受控合法的使用，安全隔离

网闸应具有或实现以下功能：

1．物理层安全隔离：在业务网和Internet之间必须实现严格的物理层安全

隔离。防止通过安全隔离网闸从Internet直接与业务网相连。因此选用

的安全隔离网闸产品必须具有严格的物理层隔离功能。

2．关键字过滤：对通过安全隔离网闸的数据，必须经过内容检测，保证进

出内外网信息的合法性。因此选用的安全隔离网闸产品必须具有严格的

关键字过滤功能。

3．查杀病毒：为了防止病毒通过安全隔离网闸从Internet扩散到业务网

中，必须对经过安全隔离网闸的数据进行病毒的扫描和清除。因此选用