四川XX集团网络安全升级方案

2019-01-13 21:56:00
admin
原创
141

1. 背景及现状

四川 XX集团经过 20多年的发展,企业规模庞大,下辖四川 XX塑胶、 XXXX房地产、四川 XX包装、金华 XX塑胶包装、清远 XX塑胶包装、四川 XX物业管理等 6家企业。业务稳步发展是 XX本地知名企业。

在创业过程中, IT系统从无到有,逐步建立和完善,在因地制宜,从需求本身出发的指导方针下,集团公司已完成覆盖总部各单位的园区网,其中包含财务系统、 ERP系统、视频监控等重要应用。各下辖子公司通过互联网直接访问集团公司的业务系统。

本方案不考虑国内等级保护、分级保护那些乱七八糟花架子,完全 从客户实际需求出发,因地制宜,花最少的钱解决问题。

2. 风险分析

经过调研和访谈,我们认为 XX集团信息系统目前存在以下风险及弱点:

2.1. 缺乏统一规划

由于企业发展不是一蹴而就,信息系统也是跟随企业发展进度逐步完成的,各个系统各自为政,没有统一规划和管理措施,集团信息部门希望尽快改变这一局面。

2.2. 安全措施和手段不足

在系统建设之初考虑的更多的是业务相关的特性,比如说 ERP系统的各项功能是否符合企业的需要,而从安全性上考虑较少,先用起来再说,经过访谈和机房参观,我们发现目前只有一台防火墙作为安全设备对重要服务器进行了防护,办公网、视频监控网都没有相应的安全设施。

这不但会造成系统信息可能丢失、被篡改,严重情况下可能会带来一些法律风险。

分支机构通过金万维实现到集团公司互联,这种方式适用于小型企业和分支机构,但是已经不适应于 XX集团这种大型企业,从业务稳定性和安全性来说,金万维都不适合在 XX集团使用。

2.3. 系统可靠性比较低

目前集团网络有 3条互联网出口,但是这 3条出口是各自独立的,没有进行整合。分别对应办公网、服务器和视频监控 3个主要部分。假设服务器链路中断,那么全集团将不能访问到 ERP等,对集团生产科研工作开展将产生非常大的影响。

办公网如果需要访问到服务器,也需要通过互联网中转,数据通过互联网极易被篡改和监听,导致企业机密信息失窃。

3. 建议方案

3.1. 总体思路

首先,企业管理层需要认识到信息系统不是可有可无的,信息系统已经深入到企业生产管理的每个角落,信息部门需要同企业管理层保持紧密沟通,从专业的角度给管理层提出建议,避免企业在信息化发展上走弯路,花冤枉钱。

其次,信息部门需要立足自身企业的特点,结合同行业和其他先进单位的案例,与国内外知名厂商展开合作和深入沟通,为管理决策层提供正确的意见和方向。

根据目前 XX集团目前的现状,我们认为信息部门的首要任务是正确识别安全风险,统一思想,统一规划,统一实施。

3.2. 建议方案

3.2.1.网络改造

首先我们建议将现有的三条互联网出口统一到一套设备上来,通过路由策略部署实现多出口冗余,保证在任意两条链路失效的情况下业务系统还可以完全正常工作。

其次,通过防火墙设备实现访问控制策略,将重要服务器单列于防火墙 DMZ区,所有需要访问业务系统的流量必须经过防火墙审查,同时将访问控制策略作用于防火墙,屏蔽无关或非法攻击。

由于视频监控内部流量较大,建议将视频监控单列一个安全区域,使从摄像机到 NVR的流量不穿越防火墙,否则防火墙负担过重,需要选用高端设备,浪费钱。只需要将需要出局的流量(比如领导在外要观看视频这类流量)通过防火墙并做访问控制,就可以有效的降低核心防火墙负载。

为了提高系统可靠性,建议防火墙采用双机热备的方式组网,同时将 3条外网线路通过交换机集中到一起接入到防火墙。这样可以保证核心出口的可靠性和稳定性。

建议每个分支机构部署防火墙,通过与集团本部防火墙建立端到端 VPN隧道,实现安全和加密的业务通道。分支机构到互联网的流量从本地运营商出局,到集团公司流量则通过 VPN加密,防止被公网恶意攻击者窃听和篡改。

企业网安全建设方案

3.2.2.安全策略

安全策略主要有以下几个方面:

1、禁止从互联网访问办公网。

2、只允许访问视频服务的某些 IP和端口,杜绝针对视频监控系统漏洞的溢出攻击。

3、只允许访问内部服务器的某些特定端口和应用,杜绝非法访问和溢出。同时禁止服务器主动向外发起连接。

4. 投资预算

4.1. 预算清单

型号

描述

单价

数量

小计

备注

SRX340-SYS-JB

SRX340 服务网关包括硬件( 16GE, 4x MPIM插槽, 4G RAM, 8G闪存,电源,电缆和 RMK)和 Junos软件基。ǚ阑鹎, NAT, IPSec,路由, MPLS和交换)。


6


分支机构可选

SRX345-SYS-JB

SRX345 服务网关包括硬件( 16GE, 4x MPIM插槽, 4G RAM, 8G闪存,电源,电缆和 RMK)和 Junos软件基。ǚ阑鹎, NAT, IPSec,路由, MPLS和交换)。


2


SRX345-IPS-3

IPS 入侵防护三年授权


2


核心防火墙可选配

EX2300-24T

EX2300 24 端口 10/100 / 1000BaseT, 4 x 1 / 10G SFP / SFP +


3


EX-SFP-1GE-LX

SFP ?


20



总计


4.2. 产品选型及说明

本方案中涉及到以下几款产品:

4.2.1. SRX340SRX345

SRX300业务网关产品线由一系列安全路由器组成,它们提供很高的性能和业已验证的部署支持,企业可以利用它们构建连接数千个站点的全球网络。为通过 WAN或互联网连接站点提供 Ethernet、 serial、 T1/E1、 xDSL3G/4G LTE无线选项。业内最好的高性能 IPsec VPN解决方案,提供全面的加密和身份验证功能来保护站点间的通信安全。多种规格和自带 GbE端口上的以太网交换支持,为关键任务型部署提供了经济有效的选择。瞻博网络的自动化和脚本编写功能以及 Junos Space SecurityDirector,能够降低运行的复杂性,简化新站点的预置。

SRX300产品线能够识别 3500多种 L3-7应用,包括 Web 2.0P2P应用,如 Skype、 torrent等。通过结合使用应用信息和用户上下文信息, SRX300产品线能够生成带宽使用报告,实施接入控制策略,并为 WAN接口的出站流量分配优先级和限速。这优化了分支办事处的资源利用,改善了应用和用户的体验。

SRX300产品线为网络边界提供一整套应用安全服务、威胁防护和情报服务。这些服务包括:入侵防御系统 (IPS)、基于用户角色的防火墙控制、基于设备和基于云的防病毒、防垃圾邮件和增强的 Web过滤,从而保护你的网络远离内容传播的

最新威胁。瞻博网络 Spotlight Secure提供全面的安全情报,针对与命令和控制 (C&C)相关的僵尸网络提供自适应的威胁防护,并基于 GeoIP执行策略?突Щ箍梢岳盟亲远ㄒ宓牡谌酵ㄖ捶乐垢呒抖褚馊砑推渌。 SRX300业务网关运行瞻博网络 Junos操作系统,这种业已验证的操作系统目前已经应用于全球前 100家服务提供商的核心互联网路由器。其经过严格测试的运营商级 IPv4/IPv6、 OSPF、 BGP路由特性和多播特性,已经在 15年以上的全球部署中得到了验证。

SRX345业务网关将安全服务、路由、交换和 WAN连接性整合到一个 1U设备中,适合于大中型分布式企业。 SRX345是一种经济高效的集成化网络和安全平台,最多支持 5Gbps防火墙和 800Mbps IPsec VPN。

Juniper SRX345防火墙

SRX340业务网关将安全服务、路由、交换和 WAN连接性整合到一个 1U设备中,能够安全地连接用户的中型分布式企业。 SRX340是一种经济高效的集成化网络和安全平台,最多支持 3Gbps防火墙和 500Mbps IPsecVPN。

Juniper SRX340防火墙

在本方案中,我们在集团本部采用 SRX345作为核心安全设备,搭配 SRX345-IPS-3IPS选件实现集团信息中心的安全性。

在分支机构采用 SRX340作为安全设备,与集团中心 SRX345实现 VPN互联。

4.2.2. EX2300

EX2300 以太网交换机提供小巧、高密度、经济高效的解决方案,适合高度注重节约空间和能源的网络环境。 EX2300外形小巧,仅需占用 1U空间,因此极为适合工作组环境中的访问层部署,以及规模较大的网络中的融合网络访问。

有两种 EX2300 交换机型号可用,在单个平台中提供 24 48 10/100/1000BASE-T 端口。两种型号均有支持 /不支持 IEEE 802.3af 以太网供电 ( PoE) 802.3at PoE+(用于为所连接的网络设备供电)的选项?裳〉那懊姘 10GbE 上行链路端口支持连接到更高层的设备。

EX2300 交换机支持瞻博网络的集群交换技术,允许最多四个平台互连为单个逻辑设备进行管理。交换机还可配置为 Junos Fusion Enterprise 部署中的卫星设备,此类部署将大量接入交换机聚合到一个逻辑管理平台之中。

Juniper EX2300交换机

发表评论
评论通过审核后显示。
文章分类
联系我们
联系人: 牟经理
电话: 028-85666248
传真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二环路西一段80号金科双楠天都2号楼
购买咨询: 销售咨询 技术咨询: 技术咨询 阿里旺旺: 点击这里给我发消息
www.yaji-bio.com