实施方案
如何灵活统一所有设备运行和管理
在A市公安图像监控IP网络中安全网关部署在A市公安局图像监控网在市局、分县局以及交警总队、轨道分局、机场分局等20多个业务单位,共需要几十台安全设备,数量较多。安全设备的集中监控、策略分发、统一审计、安全审计和事件告警等管理工作是否完善直接影响着安全网关的安全防护能力。因此,建立A市公安图像监控IP网络安全网关集中管理系统是十分重要的。
【解决方案】:
根据上述A市公安图像监控IP网络的安全需求分析,我们制定了由安全设备和集中管理中心为组件的技术解决方案,技术解决方案的详细设计如下:
防火墙技术解决方案:
在A市公安图像监控网市局、分县局以及交警总队、轨道分局、机场分局等20多个业务单位边界部署防火墙。通过部署防火墙,将各单位视频等服务器划分为DMZ区域和办公区域,可以对A市公安图像监控IP网络的各业务单位安全域进行逻辑隔离,对各业务单位安全域之间的各种协议和应用进行有效控制,与入侵防护功能,防蠕虫功能相结合防御网络攻击。
通过防火墙分区域规则控制,禁止非安全区域访问,保障各单位等级安全区域共享;对于各单位内办公区域规则控制,开启IM、邮件过滤功能,防止内部信息泄密;针对局域网用户广泛使用P2P软件,开启防火墙P2P控制/禁止,保证A市公安图像监控IP网络的安全运行和办公效率;开启防火墙日志分析功能,不仅记录视频等服务器访问记录,同时跟踪防火墙使用情况,真正做到有据可查、快速定位的效果。
针对视频协议对网络通信质量的要求高,并且视频协议对穿越网络设备的数据包转发率有更高的要求情况下,网御神州提供了高端网神SecGate 3600 G30防火墙。G30防火墙基于多核处理器硬件架构与新一代多核并行操作系统SecOS,能够最大化的做到并行处理,分担数据流量,从而极大的提升了网络数据处理性能,因此可以快速全线速转发大量视频流量,且能有效过滤所有数据报文,保证网络安全畅通。同时防火墙多核架构的灵活性可以无限期的升级,足够的保证未来网络数据处理能力和避免重复性投资。全功能升级能力较好,可以针对新的攻击方式增加安全防护功能。网神SecGate 3600 G30防火墙支持精细的多级带宽管理与限制,能够根据用户应用的不同提供不同等级的QoS质量保证, 从而可以保证视频业务的高可靠与高稳定。
集中管理解决方案:
防火墙作为网关级访问控制设备部署在网络边界,如果防火墙发生故障将严重影响A市公安图像监控IP网络中各种应用的运行。同时,根据网络中攻击方式的变化,以及应用的调整,需求适当的改变防火墙的安全策略,防火墙的管理是安全管理员的重要日常工作。因此我们在该市局部署网神SecGateManager集中管理软件,通过网神SecGateManager集中管理软件将该市20多个单位防火墙统一进行管理,其中主要体现在:
防火墙集中管理系统支持设备的拓扑图形显示,能自动识别和发现新加入的设备拓扑图,提供放大、缩小和鸟瞰功能,可以方便和直观的管理管理。
防火墙集中管理系统支持对网络故障的直观图形显示,当设备发生故障是,可以通过图标的变化在网络拓扑中显示出来,可以一目了然地发现网络和设备的故障所在。
支持设备的实时性能分析,能够实时查看设备的CPU利用率,内存利用率和磁盘使用情况,接口流量、接口利用率、接口错误率,接口丢包率和接口流速。实时。可视化集中监控。
能通过统一的入口进入设备WEB管理配置界面,实现同时管理多台设备。
可以对防火墙设备分组进行管理,支持以设备组为单位对防火墙设备群进行统一监控。
支持防火墙时间以及校时方式进行统一设置。
安全策略的集中编辑及下发,把配置安全策略的过程转变为“编辑——下发”的过程,少了安全策略的冲突和漏洞、增强了全网的整体安全性。支持对IP包过滤规则、多播规则、FTP内容过滤规则、HTTP内容过滤规则、SMTP内容过滤规则进行统一配置和统一下发。
可以对防火墙设备分组进行管理,支持以设备组为单位对防火墙设备群进行统一策略部署。
集中管理统一升级防火墙,针对新的需求和新的应用防御,及时满足客户需求
集中管理对所有防火墙及时安全审计分析,友好的管理界面,方便灵活的日志报表管理能够快速的掌握,并能及时进行分析和管理
网友评论