8.3.2.5  重要服務(wù)器區(qū)安全保護(hù)

為確保重要系統(tǒng)服務(wù)器安全，總部和企業(yè)對(duì)各重要系統(tǒng)的服務(wù)器一般使用VLAN劃分為獨(dú)立分區(qū)，并本著就近防護(hù)的原則，通過(guò)防火墻對(duì)每個(gè)重要服務(wù)器區(qū)進(jìn)行安全防護(hù)。

總部承擔(dān)的應(yīng)用系統(tǒng)最多，威脅同時(shí)來(lái)自內(nèi)部及外部，并存在多個(gè)服務(wù)器區(qū)共享一臺(tái)接層交換機(jī)的情況。通常為保證網(wǎng)絡(luò)邊界的安全，需在該位置部署防火墻，但如果在每個(gè)重要服務(wù)器區(qū)的每條邊界均部署獨(dú)立防火墻設(shè)備，則會(huì)帶來(lái)成本與管理等諸多問(wèn)題。基于重要服務(wù)器區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)及所面臨的安全威脅，總部采用了思科公司的防火墻模塊產(chǎn)品實(shí)現(xiàn)了重要服務(wù)器區(qū)安全防護(hù)。

總部使用的6500系列千兆防火墻模塊可以虛擬為若干個(gè)虛擬防火墻，多個(gè)重要服務(wù)器區(qū)可以共享一個(gè)防火墻模塊進(jìn)行安全防護(hù)，同時(shí)該防火墻將傳統(tǒng)防火墻的物理接口抽象為邏輯接口( VLAN)，增加了連接、部署的靈活性。

總部已經(jīng)對(duì)關(guān)鍵服務(wù)器區(qū)使用防火墻模塊進(jìn)行保護(hù)，每個(gè)關(guān)鍵服務(wù)器區(qū)域?qū)?yīng)一臺(tái)虛擬防火墻，每臺(tái)虛擬防火墻都有其自己的接口、安全策略、管理員，并建立不同等級(jí)的管理員對(duì)每臺(tái)虛擬防火墻進(jìn)行分級(jí)管理。所有關(guān)鍵服務(wù)器區(qū)域部署的虛擬防火墻均缺省禁止任何數(shù)據(jù)流，通過(guò)對(duì)業(yè)務(wù)數(shù)據(jù)流進(jìn)行調(diào)研后，建立白名單式的訪問(wèn)策略，并啟用深度數(shù)據(jù)包檢查( Inspection Engine)功能，對(duì)HTTP、FTP、SMTP等應(yīng)用數(shù)據(jù)流進(jìn)行深度檢查，及時(shí)發(fā)現(xiàn)并阻斷非法流量。

想了解更多IT資訊，請(qǐng)?jiān)L問(wèn)中培偉業(yè)官網(wǎng)：中培偉業(yè)