智慧园区-网络安全设备部署方案2023 .pdf

智慧园区 网络安全设备部署方案 XXX 科技有限公司 2023 年 XX 月 XX 日 1 根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同 的网段或 VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连 接，需要和其他网段隔离，单独划分区域。 根据 XXX 综合保税区整体信息系统实际情况，整体网络架构划分为互联网接 入区、5G 接入网络区、核心交换区、服务器区（云平台和物理集群区）、终端 接入区、园区接入区、安全管理区。 电子政务网互联区边界防护新增安全技术措施如下： 在电子政务网互联区部署一台专线防火墙，通过防火墙安全域划分提供基础 安全隔离，把安全信任网络和非安全网络进行隔离；并提供从数据链路层、网络 层到传输层的安全，包括 ARP 欺骗、扫描攻击、多种畸形报文攻击、端口过滤、 抗 IP分片攻击和防病毒等基础防御，同时应用NAT 隐藏数据中心网络拓扑结构。 在电子政务网政务外网区部署一台网闸，通过网闸将政务外网区与 XX 园区 做物理隔离，确保数据交换安全合规。 外联区、安全管理区、物联网区、办公接入区边界防护新增安全技术措施如 下： 在外联区部署两台园区接入防火墙，通过策略放通相关的合规流量；在物联 网区、办公接入区各部署两台防火墙，将物联网区与核心交换区、办公接入区与 核心交换区做逻辑隔离，通过策略放通相关的合规流量；在安全管理区与核心交 换区之间部署两台防火墙，通过策略放通相关的合规流量。以上安全区域边界通 过防火墙安全域划分提供基础安全隔离，把安全信任网络和非安全网络进行隔离； 并提供从数据链路层、网络层到传输层的安全，包括 ARP 欺骗、扫描攻击、多种 畸形报文攻击、端口过滤、抗 IP 分片攻击和防病毒等基础防御，同时应用 NAT 隐藏数据中心网络拓扑结构。 在外联区部署一台网闸，通过网闸将 XX 园区与接入区做物理隔离，确保数 据交换安全合规。 数据中心区边界防护新增安全技术措施如下： 在数据中心区边界部署两台防火墙，将数据中心区与核心交换区做逻辑隔离， 通过策略放通相关的合规流量。 2 在数据中心区边界部署两台 web 应用防火墙，可以有效地缓解网站及 Web 应 用系统面临如 0WASP TOP 10 中定义的常见威胁；可以快速地应对恶意攻击者对 Web 业务带来的冲击，让网站免遭Web 攻击侵扰并对网站代码进行合理加固。 互联网出口区边界防护新增安全技术措施如下： 在互联网出口区部署两台防火墙和两台上网行为管理，将互联网与XX 园区 做逻辑隔离，通过策略放通相关的合规流量，对内网业务系统形成有效的安全防 护，以满足外网对业务系统的访问；上网行为管理主要是针对内网终端对外访问 的行为有效的控制，将不合规连接外网的异常行为进行阻断，以提升内网终端设 备的安全性。 物联网区、园区接入区网络安全新增安全技术措施如下： 在核心交换机处部署一台流量探针和一台物联网终端准入设备，通过流量探 针检测、筛查出网络流量当中是否存在威胁攻击的行为，将检测数据推送到态势 感知平台做综合的分析研判，从而发现内网整体的攻击态势；终端准入设备则是 通过 IP、MAC 绑定、打标签等方式判断前端接入节点是否能安全合规的接入到内 网当中，从而规避一些非法终端接入内网，对内网造成网络威胁。 安全管理区新增安全技术措施如下： 在安全管理区部署一套态势感知平台结合智能检测算法可进行多维度海量 数据关联分析，主动实时的发现各类安全威胁事件，还原出整个APT 攻击链攻击 行为。同时可采集和存储多类网络信息数据，帮助用户在发现威胁后调查取证以 及处置问责。以发现威胁、阻断威胁、取证、溯源、响应、处置，完成全流程威 胁事件闭环。 部署一套运维审计系统，通过集中管理、监控与审计所有运维人员的操作行 为，有效降低网络设备、服务器、数据库、业务系统等资源的内部运维风险，完 善 IT 管理体系，同时满足相关法规、标准要求。 部署一套漏洞扫描系统，智能主机服务发现，智能化爬虫和 SQL 注入状态检 测等技术，并以智能便利规则库为基础，深度主机服务探测、Web