RSS订阅
服安最新信息资讯
- 携手打造安全网络和电子邮件解决
- 一夫当关!谈垃圾邮件防火墙产品
- 梭子鱼应用防火墙在纳斯达克(N
- 政府网站WEB应用防火墙网站防黑防
- 天融信网络卫士安全网关(UTM)TopGa
- 美讯智信息内容安全整体解决方案
服安资讯热点推荐
- 梭子鱼应用防火墙在纳斯达克(N
- 针对NGN网络安全与策略解决方案
- 清大安科制造业内网信息安全解决
- PPPoE Server 小区网络ARP终结者
- 携手打造安全网络和电子邮件解决
- 政府网站WEB应用防火墙网站防黑防
- 邮件病毒监控系统For Exchange的解决
- 易尚教育行业安全防火墙解决方案
- 构建安全服务器环境 阻止网站黑客
- 安维华内容安全解决方案
- 网御神州助力医院信息安全审计业
- 一夫当关!谈垃圾邮件防火墙产品
- 上海英国学校网络信息安全解决方
- 电子政务外网信息安全保障体系方
- DDoS防范和全局网络安全网络的应对
- 赛门铁克电子邮件安全可用性解决
- 基于云安全的防病毒方案
- 邮件系统内外网安全隔离解决方案
服安资讯阅览排行
- PPPoE Server 小区网络ARP终结者
- 梭子鱼应用防火墙在纳斯达克(N
- 清大安科制造业内网信息安全解决
- 冠群金辰华融公司反病毒系统解决
- 瑞星制造行业信息安全立体解决方
- 股海观潮应用卓尔InfoGate安全网关案
- DDoS防范和全局网络安全网络的应对
- 天融信网络卫士安全网关(UTM)TopGa
- 赛门铁克电子邮件安全可用性解决
- 上海英国学校网络信息安全解决方
- 方标讯业电子邮件通信信道加密解
- 时尚杂志社防病毒解决方案
- 美讯智信息内容安全整体解决方案
- IronMail解决企业E-mail安全问题
- 完备选择 研祥网络安全防火墙系统
- 邮件病毒监控系统For Exchange的解决
信息安全法律法规
- 信息安全等级保护管理办法
- 广东省计算机信息系统安全保护条
- 中国国家信息安全等级保护制度开
- 欧盟网络和信息安全法律规制及其
- 互联网电子公告服务管理规定
- 互联网上网服务营业场所管理条例
- 浪潮服务器安全技术要求成为国家
- 计算机信息网络国际联网安全保护
服务器安全技术资讯
- 深入挖掘Oracle内部SQL注入
- 什么是MPLS中的FEC?
- 如何让域控DC的AD更加安全
- 实例:Linux中如何查看服务及监听端
- 服务器安全检查十大要素
- 什么叫0day?0day是什么?
- Windows 2003下如何提高FSO安全性
- 计算机网络安全的六大指标详述
服安解决方案
证券期货系统网络安全完美解决方案
来源:服安资讯 时间:2009-12-09 作者:秩名 点击:次 责任编辑:Flyfox
TAG:
网络安全
解决方案
证券
期货
服务器安全应急处理中心:让您的服务器更安全! 进入安全讨论社区
证券交易系统网络安全的目标是通过系统及网络安全配置,防火墙及检测预警、安全扫描、网络防病毒等软、硬件,对出入口的信息进行严格的控制;对网络中所有的装置(如Web服务器、路由器和内部网络等)进行检测、分析和评估,发现并报告系统内存在的弱点和漏洞,评估安全风险,建议补救措施,并有效地防止黑客入侵和病毒扩散,并能监控整个网络的运行状况。
针对证券行业的需求,为了最大限度地减低证券营业机构企业内部网的风险,提高证券交易的安全性,采用可适应安全管理解决方案。
可适应性安全管理模型针对证券营业机构的安全威胁和进攻弱点,通过通信数据加密、系统扫描、实时监控,检测和实时响应、实施群安全策略,提供端对端的完整安全解决方案。与之相对应,通信数据传输加密、检测、响应、监控等,每个环节公司都有相应的产品,该模型能够最大限度地减低证券营业机构的风险。
其整体安全策略为:
· 网络传输安全 采用网上证券交易安全系统,保证网络传输的安全,对网上交易与分析系统进行防护。
· 网络安全性检测 采用漏洞扫描系统对证券信息系统进行漏洞扫描,保证证券营业机构内联网在最佳的状态下运行。
· 防攻击能力 采用入侵检测系统对网络进行监测和预警保证证券营业机构内联网防止外界攻击的能力。
· 防病毒能力 采用网络防病毒系统对网络病毒进行防治,保证证券营业机构内联网防病毒能力。
· 建立分层管理和各级安全管理中心。
用户设备情况:用户拥有几百台PC机、一台准备用作DNSSERVER和EMAILSERVER的服务器、一台CISCO的5500交换机、和一台CISCO的7500路由器。另外,其打算联入INTERNET 的电信线路和广域网路由器尚未准备好。
用户要求:通过防火墙保证内部网的最大安全,并一定程度上保证服务器的安全;内部网各个PC机可以上INTERNET。将CISCO的5500 交换机划分若干VLAN ,并利用CISCO的7500路由器做TRUNK来为各个VLAN 做路由(7500除此以外,还有其他用途)。
根据用户具体情况,可有如下网络结构:
网络的实现:
该结构基本上说,是防火墙的典型接法,其实现较为简单。同时,用户希望各个PC机都能够实现上INTERNET,所以,可以让防火墙工作在路由模式下,并提供NAT地址转换功能,为内部网的客户机提供所谓的代理功能。因为,用户要在CISCO5500上为底下众多PC机划分不同的VLAN,而同时,又用 CISCO7500路由器,在防火墙内部做TRUNK为各个VLAN 做路由。也就是说,真正的TRUNK数据包并没有通过防火墙,所以,防火墙也应是属于其中一个VLAN ,这样,才能与其它VLAN 进行通信,即:其它VLAN 的机器可以找到并通过防火墙上INTERNET。当然,这时的CISCO7500路由器就需要有一些必要的设置和配置;首先,要在接口设好ISL或 802.1Q的封装,保证VLAN之间的通信,当然,这时,防火墙所在接口也是一个VLAN;然后,在7500上指定默认路由为防火墙所在VLAN的网段,这样,就保证用户在上网或要发邮件时,7500能将客户端所发的数据包,送到防火墙,进而,送到DMZ区的邮件服务器或送出到INTERNET上。
安全性的实现:
由于NETEYE防火墙产品自身的强大功能,给该网络提供了最大的安全保障。其核心所具有的Stateful 动态包过滤和防Dos 攻击的功能,可以在基本上给网络有一个安全保证。伴有对网络工作的实时监控和强大统计、审计功能,也使一些不安全因素能够早发现早处理。
在CISCO5500上划分VLAN 不但可以隔离广播,减少广播风暴;同时,可以将各个部门或组织从逻辑上分开,提高了安全性。而此时,防火墙也是其中一个VLAN。那么可以说,为内部网的安全又多提供了一层保护。
当用户内部网的客户机具有不同权限时,需要对具有高权限的IP进行限制,即:需要进行IP和MAC绑定,但由于各VLAN 的数据包通过了路由器,其MAC地址已发生变化,则防火墙的IP和MAC绑定不能实现。然而,通过用防火墙的客户端认证功能,不但,能替代IP和MAC绑定功能,而且,可以在其他的应用上灵活使用。
将为外面提供服务的EMAIL SERVER 服务器置于防火墙的DMZ区,和内部网隔离开这样,可以保证外界的访问只有通往DMZ的路径,而对于内网的访问,则是绝对不予许的。另外,在DMZ区也只将EMAIL服务器的SMTP 25和POP3 110端口以及DNS的53端口打开。这样,其安全性将大大增加,同时,对于防火墙的配置也是简单、清晰。
服务器安全资讯网(Fuancn.CN)登载此文仅为传递更多信息之目的,并不意味着赞同其观点或证实其描述。
上一篇:LanGate中小企业整体网络安全解决方案 下一篇:清大安科制造业内网信息安全解决方案
相关文章列表
- 携手打造安全网络和电子邮件解决
- 一夫当关!谈垃圾邮件防火墙产品
- 梭子鱼应用防火墙在纳斯达克(N
- 政府网站WEB应用防火墙网站防黑防
- 天融信网络卫士安全网关(UTM)TopGa
- 美讯智信息内容安全整体解决方案
- 股海观潮应用卓尔InfoGate安全网关案
- 时尚杂志社防病毒解决方案
- 易尚教育行业安全防火墙解决方案
- 赛门铁克电子邮件安全可用性解决
- 冠群金辰华融公司反病毒系统解决
- 安维华内容安全解决方案
- IronMail解决企业E-mail安全问题
- McAfee发布中小企业电子邮件安全解
- 无线局域网的安全困惑及解决方案
- 方标讯业电子邮件通信信道加密解
- 邮件系统内外网安全隔离解决方案
- 大型企业局域网安全解决方案
- 邮件病毒监控系统For Exchange的解决
- 基于云安全的防病毒方案
- 电子政务外网信息安全保障体系方
- 瑞星制造行业信息安全立体解决方
- 上海英国学校网络信息安全解决方
- 清大安科制造业内网信息安全解决
相关图片列表
|
|
|
|
|
|
|
|
|
|
|
|
|
|
