8.3.2.5 重要服务器区安全保护
为确保重要系统服务器安全,总部和企业对各重要系统的服务器一般使用VLAN划分为独立分区,并本着就近防护的原则,通过防火墙对每个重要服务器区进行安全防护。
总部承担的应用系统最多,威胁同时来自内部及外部,并存在多个服务器区共享一台接层交换机的情况。通常为保证网络边界的安全,需在该位置部署防火墙,但如果在每个重要服务器区的每条边界均部署独立防火墙设备,则会带来成本与管理等诸多问题。基于重要服务器区的网络结构特点及所面临的安全威胁,总部采用了思科公司的防火墙模块产品实现了重要服务器区安全防护。
总部使用的6500系列千兆防火墙模块可以虚拟为若干个虚拟防火墙,多个重要服务器区可以共享一个防火墙模块进行安全防护,同时该防火墙将传统防火墙的物理接口抽象为逻辑接口( VLAN),增加了连接、部署的灵活性。
总部已经对关键服务器区使用防火墙模块进行保护,每个关键服务器区域对应一台虚拟防火墙,每台虚拟防火墙都有其自己的接口、安全策略、管理员,并建立不同等级的管理员对每台虚拟防火墙进行分级管理。所有关键服务器区域部署的虚拟防火墙均缺省禁止任何数据流,通过对业务数据流进行调研后,建立白名单式的访问策略,并启用深度数据包检查( Inspection Engine)功能,对HTTP、FTP、SMTP等应用数据流进行深度检查,及时发现并阻断非法流量。
想了解更多IT资讯,请访问中培伟业官网:中培伟业