专外网信息交互关键技术专项方案修正.doc

专网和外网 信息交互技术方案 目 录 一、 安全隔离和信息交换系统（网闸）处理方案 3 1.1 技术实现 3 1.2 功效描述 5 1.3 产品介绍 5 1.4 产品特征 5 1.5 处理方案 6 二、 外网防火墙处理方案 10 1.1税局需求说明 10 1.2安全处理方案 10 1.2.1网络拓扑图 10 1.2.2网络安全处理方案陈说 11 一、 安全隔离和信息交换系统（网闸）处理方案 专网业务涉密网和办公业务非涉密网间，依据业务及应用特点，以需求为导向，以应用为关键，以方便税务人员为最终目标，利用优异理念和技术，以提升工作效率，充足利用现有资源和技术力量，实现系统计算机网络化处理和应用，依据实际存在数据内外网交换需求和国家相关主管部门要求，在充足做到安全确保前提下，许可非涉密数据在两个网络间交换。 1.1 技术实现 安全隔离和信息交换系统（网闸）工作基于人工信息交换操作模式，即由内外网主机模块分别负责接收来自所连接网络访问请求，两模块间没有直接物理连接，形成一个物理隔断，从而确保可信网和非可信网之间没有数据包交换，没有网络连接建立。在以前提下，经过专有硬件实现网络间信息实时交换。这种交换并不是数据包转发，而是应用层数据静态读写操作，所以可信网用户能够经过安全隔离和信息交换系统（网闸）放心访问非可信网资源，而无须担心可信网安全受到影响。 信息经过网闸传输需经过多个安全模块检验，以验证被交换信息正当性。当访问请求抵达内外网主机模块时，首先由网闸实现TCP连接终止，确保TCP/IP协议不会直接或经过代理方法穿透网闸；然后，内外网主机模块会依据安全策略对访问请求进行预处理，判定是否符合访问控制策略，并依据RFC或定制策略对数据包进行应用层协议检验和内容过滤，检验其有效载荷正当性和安全性。一旦数据包经过了安全检验，内外网主机模块会对数据包进行格式化，将每个正当数据包传输信息和传输数据分别转换成专有格式数据，存放在缓冲区等候被隔离交换模块处理。这种“静态”数据形态不可实施，不依靠于任何通用协议，只能被网闸内部处理机制识别及处理，所以可避免遭受利用多种已知或未知网络层漏洞威胁。图5－51所表示： 图示 一51安全隔离和信息交换系统（网闸）原理示意图 安全隔离和信息交换系统（网闸）经过专有隔离交换卡实现内外网主机模块缓冲区内存映射功效，将指定区域数据复制到对端对应区域，完成数据交换。隔离交换卡内嵌安全芯片，采取高速全双工流水线设计，内部吞吐速率达2Gbps，完全能够满足高速数据交换需要。 隔离交换模块固化控制逻辑，和内外网模块间只存在内存缓冲区读写操作，没有任何网络协议和数据包转发。隔离交换子系统采取互斥机制，在读写一端主机模块数据前先中止对另一端操作，确保隔离交换系统不会同时对内外网主机模块数据进行处理，以确保在任意时刻可信网和非可信网间不存在链路层通路，实现网络安全隔离。 当内外网主机模块经过隔离交换模块接收到来自另一端格式化数据，可依据本端安全策略进行深入应用层安全检验。经检验合格，则进行逆向转换，将格式化数据转换成符合RFC标准TCP/IP数据包，将数据包发送到目标计算机，完成数据安全交换。 1.2 功效描述 本方案设计严格遵照总局内外网中要求税务专网和外界物理隔离设计标准，同时为确保正确性和立即性，我们采取税局现在承载天融信防火墙实现网闸功效，作为处理安全物理隔离处理方案。 1.3 产品介绍 防火墙做为内部网络安全屏障，其关键目标是保护内部网络资源，强化网络安全策略；预防内部信息泄露和外部入侵；提供对网络资源访问控制；提供对网络活动审计、监督等功效。 1.4 产品特征 l 采取自主版权专用安全操作系统，确保了防火墙本身安全性：通常建立在通用操作系统之上防火墙，它安全性很大程度上依靠操作系统本身 安全，采取专用操作系统防火墙，极大提升了防火墙本身和所保护网络 安全性。 l 模块化结构设计，可扩展性好，方便用户定制和升级：网络卫士防火墙使用模块化设计，可依据用户特定安全需求定制。 l 采取面向对象管理：面向对象管理方法，极大提升了管理方便性和灵活性。 l 可选VPN模块：防火墙拥有VPN模块，能够愈加安全地实现对企业网保护。 l 全状态检测技术：状态检测技术是任何一个高性能防火墙必需采取技术，能确保最高水平网络安全和性能。 l 采取独创透明路由混合工作模式，方便灵活接入和布署：网络卫士防火墙支持多个工作模式，能够透明接入和透明连接，不影响原有网络设计和配置；也能够路由模式接入，提供路由功效；还有独创混合工作模式，使透明模式和路由模式同时工作，极大提升网络应用灵活性。 l 高性能，高吞吐率：防火墙接入不影响原来网络性能，消除了传统防火墙网络带宽瓶颈，有效确保了用户使用高效性和安全性。 l 专用硬件设计：高集成度，高可靠性。 l 采取多接口设计，最大可扩展 12 个接口模块：防火墙多接口设计首先 能够灵活适用用户网络改变，另一个更为关键方面是能够形成多个网 络，并将其中一个网络作为 SSN，即把这个网络（通常是对外公共服务器网 络）作为一个独立网络来处理。 l SSN 方法提供安全性要比传统“隔离区（DMZ） ”方法好得多，因为DMZ 网络只起到了将公共服务器和内部网相分离作用，并没有起到隔离 子网作用。而 SSN 愈加好达成了一个保护子网作用。对 SSN 上主机 既可单独管理，也可设置成经过 FTP、Telnet 等方法从内部网上进行管理。 l 多个安全灵活管理方法，确保了管理灵活性：当地、远程多个管理方法，安全策略定义现有 GUI 模式、又可采取命令行形式，确保了整个网络高性能、可伸缩性和灵活管理控制。在进行远程管理时，管理机和防火墙之 间通讯可进行加密以确保安全，真正实现远程管理。 l 提供负载均衡功效，确保系统在安全环境中达成最高性能。 l 提供双机热备份功效，增加系统运行中安全性。 1.5 处理方案 针对我处大企业税收管理平台网络和业务系统需求和特点，总局对网络安全要求,天融信防火墙提供了经过设置访问策略及映射方法实现网闸功效来实现内外网安全交互处理方案，使外网用户能够经过INTERNET指定端口访问内网指定IP段内容。 方案分析 如方案图所表示，由天融信网闸为基础防御体系保护着税局专网网络中各个关键应用系统运行①。在互联网络一侧税务人员能够依据实际条件首先经过防火墙安全认证连接四处于外网大企业税收管理平台服务器然后，外网服务器再把业务请求发到数据中转服务器，经过中转服务器跟安全隔离网闸外部处理单元建立连接②，而税务专网内部应用数据库服务器跟安全隔离网闸内部处理单元建立连接，两台服务器经过网闸建立起通信管道，经过此管道交换消息③。 税务人员经过互联网络发送提交业务查询等请求发送四处于互联网方应用服务器，由此服务器经过中转服务器来实现查询及写入，再经过安全隔离网闸递交到在安全隔离网闸内网一侧应用数据服务器，由此服务器将请求再发送给税务大企业关键服务器，验证无误后再把返回信息层层传输给外网税务人员最终完成整个业务查询或现场审计。 本方案中包含技术原理以下： ① .防火墙经过访问控制模块、认证和授权模块、安全服务网络模块（SSN）实现对内网环境安全保护。在内网日常利用中，能够经过天融信防火墙访问控制设置，实现不一样人员对于不一样网段访问，经过认证和授权，使内网用户能够根据设置权限分门别类对不一样APP有不一样权限访问。 访问控制原理 ② .经过屏蔽主机，防火墙作为网闸，实现了内网和外网分离，内网和外网交互只能经过特殊通道，除此之外一切请求将被屏蔽。对外只提供较少服务，来自外部连接也比较少，对内部主机安全性要求较高。 屏蔽主机原理 ③ . 经过屏蔽子网，外部路由器只许可外网对DMZ（不设防区）访问，拒绝全部以内部网络地址为源地址包进入内部网络，拒绝全部不以内部网络地址为源地址包离开网络。内部路由器保护内部网络，使外网只能访问特定主机。 方案特点 此 安全处理方案建立在 天融信防火墙安全体系之上，经过标准、可扩展体系结构，有机集成安全体系中 100％产品和技术，如防火墙、VPN、IDS、防病毒、URL、认证、审计等。构建一个以防火墙为关键和实施中心，多个安全技术和产品协同工作高度集成、高性能、稳定可靠、易于管理、完整、动态、可扩充处理方案，不仅能最大程度提升了网络安全性，确保多种应用安全进行，而且便于管理和维护。 二、 外网防火墙处理方案 1.1税局需求说明 1. 税务人员能正常访问内部大企业税收平台服务器。 2. 不许可病毒和攻击行为进入大企业税收平台服务器。 3. 不许可税务服务器内敏感信息外泄。 4. 不许可税务服务器使用开启高带宽应用程序，如P2P,IM。 5. 防火墙需要提供完全可视化并易于操作管理界面。 6. 网络安全部分需要优良兼容性、优异性和可移植性。 7. 防火墙必需有自主精简内核，不使用linux等开源操作系统。 8. 兼顾到以后可能发展其它内外网平台应用模块扩展。 1.2安全处理方案 1.2.1网络拓扑图 现提供以下图网络拓扑结构简单说明： 1.2.2网络安全处理方案陈说 如上图所表示，税务人员经过ISP链路接入到Internet中，她们经过天融信 (WAN)端口来访问服务器;防火墙对于用户来说是不可见，既黑洞模式，应用服务器连到天融信端口上，这么税务就能够安全进行预约操作了。预约服务器在接收请求后经过防火墙端口连接到中转应用数据库服务器上，经过该服务器把数据请求摆渡到隔离网闸另一端数据库服务器上完成整个操作。 从性能上考虑，1G+Mbps背板处理速率，不会成为网络上瓶颈；从安全性考虑，自主操作系统避免了公众操作系统漏洞成为侵入点可能性，采取全状态检测技术更是实现了对进出数据包双重检测，VPN通道启用，支持DES、3DES、RC4和最新AES加密技术，从真正意义上确保数据传输、互联网访问安全性，从操作简单化考虑，全图形界面管理，并支持远程管理，大大简化管理员管理程序。 经过采取天融信中GAV(网关防病毒)功效让病毒阻止到网关外，根本无法进入到考试服务器中。管理人员经过其VPN功效能够安全地管理远程考试服务器。天融信防火墙采取基于Web管理界面，使得管理员管理网络起来十分简单。天融信防火墙同时能够其它VPN设备建立VPN连接，同时天融信防火墙采取多核处理技术大大提升了防火墙性能。 1.2.3防火墙关键安全规则说明 一、经过防火墙做NAT地址映射，把对应服务端口（如80、443）映射到服务器上，更改应用服务器默认端口。 二、严禁全部到内网访问，开启预约考试服务访问所需协议和端口。 三、严禁外网ping入和一切网络扫描响应 四、启用HTTPS协议进行内网授权访问。 五、严禁全部网络访问到端口中转数据库服务器，只对应用数据库服务器开启数据库连接访问服务。 七、依据实际需要对全部网络访问进行时间段限制。 八、屏蔽全部针对网内多种操作系统和应用程序恶意请求。 九、全部服务器升级操作系统补丁和安装应用程序补丁，安装布署防病毒软件等。 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