因特网出口的管理及防护二

总部因特网节点分别连接到两个电信运营商的网络。一条链路主要用于发布对外应用，发布在因特网的信息系统按照系统功能分为两类，即业务应用和基础应用，发布的应用超过30套，发布的服务器约70余台，包括集团公司网站、股份公司网站、电子商务、物装部综合信息平台、化工销售CRM和物流信息等业务系统，以及域名解析、电子邮件和远程接人等基础应用。网站、远程接人等应用系统实现两条链路人站方向的负载均衡。另一条链路主要用于为总部用户提供互联网访问服务。总部用户通过代理系统访问互联网，采用身份认证和黑名单访问控制策略进行管理，留存用户访问行为日志。部分互联网业务应用，不支持代理系统，则通过网络地址转换的方式采用细粒度的白名单访问控制策略进行管理。两条链路通过策略路由和策略热备实现冗余。

总部因特网节点异构防火墙实现总部局域网与因特网的安全隔离。最外侧防火墙配置关键的黑名单策略阻止外部攻击和入侵。中间层防火墙实现外DMZ的区域划分，包括网站区、对外服务器区和远程接人区（VPN外口）。内层配置的防火墙模块，在内DMZ防火墙上划分多个区域，包括网站管理区、发布服务器区、代理服务区等。在内部的两层防火墙上配置细粒度的访问控制策略，并实现路由和策略的冗余配置。

在因特网节点部署了入侵检测系统、恶意程序辅助检测系统，分别从人站和出站两个方向侦测风险。检测系统日志连同防火墙、远程接人、代理服务器等系统日志统一收集至日志审计系统进行关联分析，及时发现和处理安全事件。定期开展信息安全检查，检查系统配置、访问策略，扫描网络和应用漏洞，对发现的问题及时整改。通过日常巡检、报表分析及安全检查，掌握因特网节点安全态势，保证对外发布和访问服务安全、稳定、高效。