文档介绍:通信网络安全防护工作总结
为提高网络通讯防护水平,从网络结构安全、网络访问控制、边界完整性几个大方向上采取一系列技术手段保障通信网络安全稳定,总结如下:
(1)网络冗余和备份
使用电信和网通双城域网冗余线路接入,目前电信城域网的接入带宽是20M,。
(2)路由器安全控制
业务服务器及路由器之间配置静态路由,并进行访问控制列表控制数据流向。Qos保证方向使用金(Dscp32),银(Dscp8),铜(Dscp0)的等级标识路由器的Qos方式来分配线路带宽的优先级,保证在网络流量出现拥堵时优先为重要的数据流和服务类型预留带宽并优先传送。
(3)防火墙安全控制
主机房现有配备有主备juniper防火墙和深信服waf防火墙,juniper防火墙具备ips、杀毒等功能模块,深信服waf防火墙主要用于网页攻击防护,可防止sql注入、跨站攻击、黑客***等攻击。
防火墙使用Untrust,Trunst和DMZ区域来划分网络,使用策略来控制各个区域之间的安全访问。
(4)IP子网划分/地址转换和绑定
已为办公区域,服务器以及各个路由器之间划分IP子网段,保证各个子网的IP可用性和整个网络的IP地址非重复性。使用NAT,PAT,VIP,MIP对内外网IP地址的映射转换,在路由器和防火墙上使用IP地址与MAC地址绑定的方式来防止发生地址欺骗行为。服务器及各个路由器之间划分IP子网划分:
(5)网络域安全隔离和限制
生产网络和办公网络隔离,连接生产必须通过连接vpn才能连接到生产网络。在网络边界部署堡垒机,通过堡垒机认证后才可以对路由器进行安全访问操作,在操作过程中堡垒机会将所有操作过程视频录像,方便安全审计以及系统变更后可能出现的问题,迅速查找定位。另外路由器配置访问控制列表只允许堡垒机和备机IP地址对其登陆操作,在路由器中配置3A认证服务,通过TACAS服务器作为认证,授权。
(6)网络安全审记
网络设备配置日志服务,,保证设备日志消息的安全性和完整性。
logging buffered 102400
logging trap debugging
logging source-interface Loopback0
logging (日志服务器IP)
(7)内外网非法连接阻断和定位
,,可在日志服务器匹配端口关键字对其跟踪记录。内部网络用户则采用MAC地址绑定进行有效阻断。已为办公网络划分IP子网