网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　互联网接口区：互联网接口区里的系统，根据所属业务平台的不同，可再划分“业务平台互联网接口子域”，这些子域可能分布在不同的机房。

　　内部互联接口区：内部互联接口区里的系统，根据所属业务平台的不同，可再划分“业务平台内部互联接口子域”，这些子域可能分布在不同的机房。另设“内部安全管理子域”，用于安全管理。

　　核心交换区：核心交换区不再划分任何子域。

　　核心生产区：核心生产区里的系统，根据所属业务平台的不同，可再划分为“业务平台核心生产子域”，这些子域可能分布在不同的机房。

　　边界整合方案

　　重新划分后的安全域，需考虑到联通业务平台分布在不同物理位置的机房（假设有3个机房），给出具体的边界整合方案：

　　选择一个机房作为主机房（如机房1），根据安全域划分的结果，将该机房内所有业务平台的组成理清，将属于通过联通169网与互联网互连的系统、属于通过联通IP承载网与内部互联的系统、属于核心生产的系统分别理出来，并分别挪到机房1的互联网接口区、内部互联接口区、核心生产区。

　　按照上面的思路，将另2个机房（机房2和机房3）内的所有业务平台的组成理清，将属于通过联通169网与互联网互连的系统、属于通过联通IP承载网与内部互联的系统、属于核心生产的系统分别理出来，并分别挪到所在机房的互联网接口子域、内部互联接口子域、核心生产子域。

　　将机房2和机房3的互联网接口子域通过专线连接到机房1的互联网接口区，将机房2和机房3的内部互联接口子域通过专线连接到机房1的内部互联接口区，将机房2和机房3的核心生产子域通过内部专线连接到机房1的核心交换区的2台核心交换机上。

　　集中化安全防护方案

　　本方案将以边界安全防护为主，未来逐渐完善联通业务平台集中化安全防护体系。本此联通业务平台集中化安全防护方案如下图示。

　　图3 联通业务平台集中化安全防护方案图安全防护建议描述如下：

　　在互联网接口区的2台接联通169网的路由器上部署2台天融信高性能抗DDOS/异常流量清洗设备，工作在集群模式，实时检测来自互联网的DDOD攻击，一旦发现攻击，即刻将网络流量牵引到抗DDOS/异常流量清洗设备，清洗后再将干净流量回注入网络。

　　在互联网接口区部署2台天融信高性能防火墙，实现互联网接口区与互联网的逻辑隔离。

　　在互联网接口区2台天融信高性能防火墙和核心交换区的2台核心交换机之间部署2台天融信高性能防火墙，实现互联网接口区与内部互联接口区的逻辑隔离、内部互联接口区与联通IP承载网的逻辑隔离、以及核心生产区与联通169网的双重防火墙防护。

　　在互联网接口区部署1台天融信高性能网络入侵检测设备和1台天融信网络漏洞扫描设备，及时发现攻击、入侵等，并定期扫描，及时发现高危漏洞、及时修补。

　　在内部互联接口区部署1台天融信网络入侵检测设备和1台天融信网络漏洞扫描设备，及时发现的攻击、入侵等，并定期扫描，及时发现高危漏洞、及时修补。

　　方案效果

　　通过上述统一的安全域划分、边界整合和边界安全防护，中国联通达成了统一高效的互联网出口抗DDOS/异常流量清洗；互联网接口区与互联网的防火墙隔离；核心生产区与互联网接口区的双重防火墙隔离；核心生产区与内部互联接口区的防火墙隔离；互联网接口区的网络入侵检测和漏洞扫描；内部互联接口区的网络入侵检测和漏扫扫描。