保險行業

發布日期:2011-07-24首頁 > 解決方案

保險行業

一(yī)、 整體(tǐ)目标
      通過安放(fàng)和合理地配置防火(huǒ)牆,有效地防止外(wài)部攻擊和内部越權訪問與蓄意破壞,确保全網所承載的各項業務的正常運行,具體(tǐ)包括:
      1.阻止對未開(kāi)放(fàng)端口的非法訪問;
      2.合理設置不同的安全權限,有效隔離(lí)不同層次的安全級别;
      3.隐藏内部網絡拓撲結構;
      4.抵擋木馬攻擊、蠕蟲攻擊、後門攻擊、利用漏洞攻擊和拒絕服務攻擊;
      5.強化對網絡的控制,确保關鍵業務的網絡帶寬。
二、 部署原則
      根據該保險公司的網絡狀況,同時考慮到防火(huǒ)牆作爲分(fēn)割不同安全域的設備,必須部署在不同安全等級安全域的邊界處,現确定以下(xià)部署原則。
      ㈠ 與互聯網連接的邊界必須部署防火(huǒ)牆
      根據有關規定,該保險公司内部網必須與互聯網物(wù)理斷開(kāi),同時我(wǒ)們也無法回避訪問互聯網的需求,因此,在保證内部網與互聯網物(wù)理斷開(kāi)的原則下(xià),與互聯網相連接邊界必須部署防火(huǒ)牆,使得内部用戶可以訪問互聯網,同時最大(dà)限度地屏蔽互聯網用戶對内部網絡的危害。
      ㈡ 内部網與銀行等其它單位網絡連接的邊界必須部署防火(huǒ)牆
      與銀行等其它單位相連接,可以使保險業務更加迅速高效,但是公司内部網同時也暴露在其它單位網絡用戶面前,使其它單位網絡用戶具備了攻擊公司内部網的可能性。因此必須設置防火(huǒ)牆,針對其它單位網絡用戶對内部網的訪問,進行實時的監控、限制與管理。
三、 配置方案
       實施地市級分(fēn)公司的具體(tǐ)配置方案如下(xià):
      1. 在地市級分(fēn)公司與互聯網連接邊界、内部網與銀行等外(wài)聯單位相聯的網絡出口處,統一(yī)配置至少一(yī)台防火(huǒ)牆,用于公司内部網與外(wài)部網之間的安全隔離(lí);
      2. 在地市級級分(fēn)公司内部網對省級公司和對區縣級分(fēn)公司的網絡出口處,配置防火(huǒ)牆,用于公司内部網不同安全域之間的安全隔離(lí)。
      在工(gōng)程實施過程中(zhōng),如需局部調整網絡結構或添置網絡設備,在編制實施計劃時一(yī)并考慮解決。其具體(tǐ)配置方案如下(xià)圖所示。

 

      保險公司地市級分(fēn)公司(數據集中(zhōng)模式)防火(huǒ)牆配置示意圖
四、 安全策略
      ㈠ 與互聯網隔離(lí)的安全策略
      在配置相應防火(huǒ)牆的規則時,允許内部員(yuán)工(gōng)以隐藏後的IP地址訪問互聯網;互聯網用戶不能訪問保險業務網絡的服務。
      ㈡ 與省級公司網絡隔離(lí)的安全策略
      在配置相應防火(huǒ)牆的規則時,允許該分(fēn)公司服務器向總公司特定服務器上傳數據;允許該分(fēn)公司與省級分(fēn)公司相互間訪問特定的服務;限制互聯網服務的帶寬;保證關鍵業務應用的帶寬;網絡的其它服務均被禁止。
      ㈢ 與區縣級分(fēn)公司網絡隔離(lí)的安全策略
      在配置相應防火(huǒ)牆的規則時,隻允許下(xià)連的區縣級分(fēn)(支)公司的特定服務器可以向本分(fēn)公司的特定服務器上傳數據;對于本地無服務器的下(xià)連分(fēn)公司,隻允許特定的工(gōng)作主機訪問本公司特定服務器的特定服務;限制互聯網服務的帶寬;保證關鍵業務應用的帶寬;網絡的其它服務均被禁止。
      ㈣ 與銀行等外(wài)聯單位隔離(lí)的安全策略
      在配置相應防火(huǒ)牆的規則時,隻允許本公司服務器同其它單位的特定服務器之間可以互傳數據,并且隻能相互訪問特定的服務,網絡的其它服務均被禁止

五、部署産品說明

      根據該保險公司各級分(fēn)公司的實際網絡環境,我(wǒ)們推薦三款防火(huǒ)牆供用戶選擇。

産品名稱 部署網絡環境
中(zhōng)網百兆防火(huǒ)牆産品 适用于百兆網絡環境
中(zhōng)網千兆防火(huǒ)牆産品 适用于準千兆網絡環境
中(zhōng)網線速千兆防火(huǒ)牆産品 适用于線速千兆網絡環境

六、部署産品統計

部署位置
部署方式
部署數量
部署方式
部署數量
地市級分(fēn)公司與互聯網連接邊界
單機模式
1
雙機熱備
2
地市級分(fēn)公司與銀行等外(wài)聯單位邊界
單機模式
1
雙機熱備
2
地市級分(fēn)公司與省級公司網絡邊界
單機模式
1
雙機熱備
2
地市級分(fēn)公司與區縣級分(fēn)公司網絡邊界
單機模式
1
雙機熱備
2
合計
 
4
 
8