保险行业
一、 整体目标
通过安放和合理地配置防火墙,有效地防止外部攻击和内部越权访问与蓄意破坏,确保全网所承载的各项业务的正常运行,具体包括:
1.阻止对未开放端口的非法访问;
2.合理设置不同的安全权限,有效隔离不同层次的安全级别;
3.隐藏内部网络拓扑结构;
4.抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击;
5.强化对网络的控制,确保关键业务的网络带宽。
二、 部署原则
根据该保险公司的网络状况,同时考虑到防火墙作为分割不同安全域的设备,必须部署在不同安全等级安全域的边界处,现确定以下部署原则。
㈠ 与互联网连接的边界必须部署防火墙
根据有关规定,该保险公司内部网必须与互联网物理断开,同时我们也无法回避访问互联网的需求,因此,在保证内部网与互联网物理断开的原则下,与互联网相连接边界必须部署防火墙,使得内部用户可以访问互联网,同时最大限度地屏蔽互联网用户对内部网络的危害。
㈡ 内部网与银行等其它单位网络连接的边界必须部署防火墙
与银行等其它单位相连接,可以使保险业务更加迅速高效,但是公司内部网同时也暴露在其它单位网络用户面前,使其它单位网络用户具备了攻击公司内部网的可能性。因此必须设置防火墙,针对其它单位网络用户对内部网的访问,进行实时的监控、限制与管理。
三、 配置方案
实施地市级分公司的具体配置方案如下:
1. 在地市级分公司与互联网连接边界、内部网与银行等外联单位相联的网络出口处,统一配置至少一台防火墙,用于公司内部网与外部网之间的安全隔离;
2. 在地市级级分公司内部网对省级公司和对区县级分公司的网络出口处,配置防火墙,用于公司内部网不同安全域之间的安全隔离。
在工程实施过程中,如需局部调整网络结构或添置网络设备,在编制实施计划时一并考虑解决。其具体配置方案如下图所示。
保险公司地市级分公司(数据集中模式)防火墙配置示意图
四、 安全策略
㈠ 与互联网隔离的安全策略
在配置相应防火墙的规则时,允许内部员工以隐藏后的IP地址访问互联网;互联网用户不能访问保险业务网络的服务。
㈡ 与省级公司网络隔离的安全策略
在配置相应防火墙的规则时,允许该分公司服务器向总公司特定服务器上传数据;允许该分公司与省级分公司相互间访问特定的服务;限制互联网服务的带宽;保证关键业务应用的带宽;网络的其它服务均被禁止。
㈢ 与区县级分公司网络隔离的安全策略
在配置相应防火墙的规则时,只允许下连的区县级分(支)公司的特定服务器可以向本分公司的特定服务器上传数据;对于本地无服务器的下连分公司,只允许特定的工作主机访问本公司特定服务器的特定服务;限制互联网服务的带宽;保证关键业务应用的带宽;网络的其它服务均被禁止。
㈣ 与银行等外联单位隔离的安全策略
在配置相应防火墙的规则时,只允许本公司服务器同其它单位的特定服务器之间可以互传数据,并且只能相互访问特定的服务,网络的其它服务均被禁止
五、部署产品说明
根据该保险公司各级分公司的实际网络环境,我们推荐三款防火墙供用户选择。
| 产品名称 | 部署网络环境 |
| 中网百兆防火墙产品 | 适用于百兆网络环境 |
| 中网千兆防火墙产品 | 适用于准千兆网络环境 |
| 中网线速千兆防火墙产品 | 适用于线速千兆网络环境 |
|
部署位置
|
部署方式
|
部署数量
|
部署方式
|
部署数量
|
| 地市级分公司与互联网连接边界 |
单机模式
|
1
|
双机热备
|
2
|
| 地市级分公司与银行等外联单位边界 |
单机模式
|
1
|
双机热备
|
2
|
| 地市级分公司与省级公司网络边界 |
单机模式
|
1
|
双机热备
|
2
|
| 地市级分公司与区县级分公司网络边界 |
单机模式
|
1
|
双机热备
|
2
|
| 合计 |
|
4
|
|
8
|