内容发布更新时间 : 2024/6/3 21:37:40星期一 下面是文章的全部内容请认真阅读。

实用标准文案

链路负载均衡：部署在互联网出口，单位重新申请多条互联网链路，提高链路稳定性的同时，提高带宽利用率，避免单条链路故障。

安全防护：部署**内网防火墙1台于外网互联网后段，针对用户的内网终端及应用服务器提供安全防护功能。

移动人员接入：针对领导及内部员工出差出差办公，采用SSL VPN进行移动接入。

2.2总体建设内容

集团本期网络建设总体内容，主要包括以下4个方面：

1. 优化网络架构：

? 总部向运营商申请多条互联网链路，出口部署链路负载均衡设备，保障链路稳定性，提高链路利用率 2. 建设网络安全系统：

? 内部部署防火墙系统，隔离内网网络，保障内网安全 3. 加固应用系统接入安全：

针对领导及员工需要出差需要访问内部OA及ERP系统，通过sslvpn接入，进行应用系统访问权限的授权和可信访问，防止越权访问。

第3章方案说明

3.1优化网络架构

现有链路出口与其他单位共享，单位申请多条链路之后，出口采用**负载均

精彩文档

实用标准文案

衡设备。主要体现如下优势：

出/入站链路负载均衡：**AD的出站负载均衡技术能够为内部终端上网选择最佳路径，均衡分配上网流量。同时，针对外部用户访问单位的门户网站或者内部员工在外部访问内部oa系统，AD的入站负载均衡技术能够自动为用户选择最优链路进行访问，从而保障外来用户的访问体验快速、稳定。

链路带宽资源合理利用，解决拥塞问题：**AD还具有链路繁忙控制技术，可以为特定链路设定相应的阀值，再结合**AD全面的负载均衡算法，使得当某条链路达到阀值之后，用户的访问请求将会通过事先设定的负载算法分配到其它链路之上。另外，**AD设备的DNS透明代理技术能同时对多条链路同时发起DNS请求探测，然后根据实现设定的负载策略，为用户返回相应的DNS请求结果，避免带宽资源出现闲置的情况，实现对链路带宽资源的合理利用，轻松解决拥塞问题。

健全的链路健康检查：**健全的链路健康检查机制能够保障校园网出口的连续性。当流量流经AD设备时，AD会通过预先设定好的策略判断每条链路的健康状况（链路健康检查），并决定将流量负载均衡到哪条链路，然后数据包的源地址转换成相应ISP网段的公网地址，再将该数据包发出。响应数据包返回到** AD时，**AD将目的地址进行转换之后将数据包发给内部的用户或服务器。

3.2网络安全建设

在互联网出口区域部署**下一代防火墙，对互联网出口流量进行流量过滤，提供L2-L7的安全防护。

通过**下一代防火墙设备能够阻挡大量初级的攻击并实现访问控制、入侵防御、恶意代码过滤和web安全防护。主要体现在以下几方面：

精彩文档

实用标准文案

? 网络边界的应用层访问控制防护

内部系统有OA系统以及ERP系统安全要求比较高，因此，建议采用下一代防火墙设备将内网区域与互联网逻辑隔离，加强访问控制的同时还能够对业务服务器进行NAT地址转换，隐藏其IP地址，避免被攻击。通过部署NGAF产品在数据中心区域安全边界，提供了更加先进的访问控制规则，除了传统的五元组设置，NGAF还设计了基于用户、应用、内容的安全控制策略，实现了更加全面先进的八元组访问控制。NGAF还提供了更精细的应用层安全控制，识别内外网近2000种应用，并支持包括AD域、Radius等8种用户身份识别方式，全面保证数据中心区域区域的权限控制。 ? 网络边界的入侵防御和web防护

在边界防护保障中，网络出口部署的防火墙主要工作在网络层和传输层，防范大部分基础的网络攻击，而对于整个互联网中的攻击分布，70%以上都来自应用层，这些攻击都是防火墙所无法防御的。

目前OA业务系统业务系统是B/S架构的业务，存在比较大的web安全风险，**下一代防火墙NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制，实现双向的内容检测，提供OWASP定义的十大安全威胁的攻击防护能力，有效防止常见的web攻击。（如，SQL注入、XSS跨站脚本、CSRF跨站请求伪造）从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

精彩文档

实用标准文案

? 系统/应用漏洞攻击防护

针对于内部业务系统服务器存在操作系统底层的系统漏洞及业务系统的安全漏洞，**下一代防火墙NGAF提供了实时漏洞发现功能，可以对经过设备的流量进行实时漏洞风险分析，且不会给网络产生额外的流量。实时漏洞检测功能能够发现底层软件漏洞、业务发布软件漏洞、Web应用风险漏洞、插件漏洞、Web不安全配置、弱口令等多种安全缺陷。对于检测到的漏洞信息，NGAF还能提供详细的漏洞说明，如漏洞类型，数量，描述，危害说明等信息。

图7

精彩文档

实用标准文案

图8

**还创新性的将实时漏洞检测和入侵攻击行为进行结合，从海量的攻击日志中快速识别出真正对网站业务应用有危害的“有效攻击”，从而大大减少安全运维的工作，让IT人员将更多的精力放在有效威胁的防护上面。

**下一代防火墙NGAF提供基于操作系统和应用程序的漏洞攻击防护，防止攻击者利用操作系统（如windows sever2003/2007、linux、unix）及发布软件漏洞（如，IIS、Apache等）对网站进行系统提权、系统破坏、信息窃取等攻击。

3.3应用系统接入安全

3.3.1更安全的SSL VPN

在应用系统安全加固方面，采用登录SSL VPN身份验证、权限划分、登录应用身份验证的主线进行保障。SSL VPN接入认证方式可采用用户名密码、USB

精彩文档