總部因特網(wǎng)節(jié)點(diǎn)分別連接到兩個(gè)電信運(yùn)營(yíng)商的網(wǎng)絡(luò)。一條鏈路主要用于發(fā)布對(duì)外應(yīng)用，發(fā)布在因特網(wǎng)的信息系統(tǒng)按照系統(tǒng)功能分為兩類，即業(yè)務(wù)應(yīng)用和基礎(chǔ)應(yīng)用，發(fā)布的應(yīng)用超過30套，發(fā)布的服務(wù)器約70余臺(tái)，包括集團(tuán)公司網(wǎng)站、股份公司網(wǎng)站、電子商務(wù)、物裝部綜合信息平臺(tái)、化工銷售CRM和物流信息等業(yè)務(wù)系統(tǒng)，以及域名解析、電子郵件和遠(yuǎn)程接人等基礎(chǔ)應(yīng)用。網(wǎng)站、遠(yuǎn)程接人等應(yīng)用系統(tǒng)實(shí)現(xiàn)兩條鏈路人站方向的負(fù)載均衡。另一條鏈路主要用于為總部用戶提供互聯(lián)網(wǎng)訪問服務(wù)?？偛坑脩敉ㄟ^代理系統(tǒng)訪問互聯(lián)網(wǎng)，采用身份認(rèn)證和黑名單訪問控制策略進(jìn)行管理，留存用戶訪問行為日志。部分互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用，不支持代理系統(tǒng)，則通過網(wǎng)絡(luò)地址轉(zhuǎn)換的方式采用細(xì)粒度的白名單訪問控制策略進(jìn)行管理。兩條鏈路通過策略路由和策略熱備實(shí)現(xiàn)冗余。

總部因特網(wǎng)節(jié)點(diǎn)異構(gòu)防火墻實(shí)現(xiàn)總部局域網(wǎng)與因特網(wǎng)的安全隔離。最外側(cè)防火墻配置關(guān)鍵的黑名單策略阻止外部攻擊和入侵。中間層防火墻實(shí)現(xiàn)外DMZ的區(qū)域劃分，包括網(wǎng)站區(qū)、對(duì)外服務(wù)器區(qū)和遠(yuǎn)程接人區(qū)（VPN外口）。內(nèi)層配置的防火墻模塊，在內(nèi)DMZ防火墻上劃分多個(gè)區(qū)域，包括網(wǎng)站管理區(qū)、發(fā)布服務(wù)器區(qū)、代理服務(wù)區(qū)等。在內(nèi)部的兩層防火墻上配置細(xì)粒度的訪問控制策略，并實(shí)現(xiàn)路由和策略的冗余配置。

在因特網(wǎng)節(jié)點(diǎn)部署了入侵檢測(cè)系統(tǒng)、惡意程序輔助檢測(cè)系統(tǒng)，分別從人站和出站兩個(gè)方向偵測(cè)風(fēng)險(xiǎn)。檢測(cè)系統(tǒng)日志連同防火墻、遠(yuǎn)程接人、代理服務(wù)器等系統(tǒng)日志統(tǒng)一收集至日志審計(jì)系統(tǒng)進(jìn)行關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)和處理安全事件。定期開展信息安全檢查，檢查系統(tǒng)配置、訪問策略，掃描網(wǎng)絡(luò)和應(yīng)用漏洞，對(duì)發(fā)現(xiàn)的問題及時(shí)整改。通過日常巡檢、報(bào)表分析及安全檢查，掌握因特網(wǎng)節(jié)點(diǎn)安全態(tài)勢(shì)，保證對(duì)外發(fā)布和訪問服務(wù)安全、穩(wěn)定、高效。