网御神州保险解决方案

　　通过合理地配置防火墙，有效地防止外部攻击和内部越权访问与蓄意破坏，确保全网所承载的各项业务的正常运行，具体包括： 1.阻止对未开放端口的非法访问; 2.合理设置不同的安全权限，有效隔离不同层次的安全级别; 3.隐藏内部网络拓扑结构; 4.抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击; 5.强化对网络的控制，确保关键业务的网络带宽。

　　一、整体目标

　　通过合理地配置防火墙，有效地防止外部攻击和内部越权访问与蓄意破坏，确保全网所承载的各项业务的正常运行，具体包括：

　　1.阻止对未开放端口的非法访问;

　　2.合理设置不同的安全权限，有效隔离不同层次的安全级别;

　　3.隐藏内部网络拓扑结构;

　　4.抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击;

　　5.强化对网络的控制，确保关键业务的网络带宽。

　　二、部署原则

　　将防火墙部署在不同安全等级安全域的边界处，现确定以下部署原则。

　　与互联网连接的边界必须部署防火墙

　　在互联网边界须部署防火墙，在内部用户访问互联网的同时,最大限度地屏蔽互联网对内部网络的危害。

　　内部网与银行等其它单位网络连接的边界必须部署防火墙

　　与银行等其它单位相连接，可以使保险业务更加迅速高效，但是公司内部网同时也暴露在其它单位网络用户面前，使其它单位网络用户具备了攻击公司内部网的可能性。在内部网与银行某其他单位的出口处须部署防火墙，实现对其它单位网络用户访问内部网的监控、限制与管理。

　　三、配置方案

　　在工程实施过程中，如需局部调整网络结构或添置网络设备，在编制实施计划时一并考虑解决。其具体配置方案如下图所示。

安全策略

　　与互联网隔离的安全策略

　　在配置相应防火墙的规则时，允许内部员工以隐藏后的IP地址访问互联网;互联网用户不能直接访问内部网络。

　　与省级公司网络隔离的安全策略

　　在配置相应防火墙的规则时，允许分公司服务器向总公司特定服务器上传数据;允许该分公司与省级分公司相互访问特定的服务;限制互联网服务的带宽;保证关键业务应用的带宽;禁用网络无关服务。

　　与区县级分公司网络隔离的安全策略

　　在配置相应防火墙的规则时，只允许下连的区县级分(支)公司的特定服务器向本分公司的特定服务器上传数据;对于本地无服务器的下连分公司，只允许特定的工作主机访问本公司特定服务器的特定服务;限制互联网服务的带宽;保证关键业务应用的带宽;禁用网络无关服务。

　　与银行等外联单位隔离的安全策略

　　在配置相应防火墙的规则时，只允许本公司服务器同其它单位的特定服务器之间互传数据，并且只能相互访问特定的服务，禁用网络无关服务。