8.3.2.2 因特网出口的管理及防护
中国石化总部因特网节点提供高速、稳定的网络连接,为集团公司、股份公司、各业务部门的信息系统提供应用发布和业务互联服务,为总部用户提供互联网访问服务,是中国石化总部网络架构的重要组成部分。
为实现中国石化总部局域网与因特网高速、稳定互联,在节点网络架构设计和系统应用构建中,遵循了以下设计原则:
(1)三道异构安全设备实现安全防护;
(2)采用内部私有地址;
(3)因特网访问的内、外流量选取不同的链路;
(4)禁止内、外网的直接互联;
(5)在内、外DMZ区划分不同的安全级别和功能区域;
(6)制定细颗粒度的应用发布策略;
(7)部分特殊的应用系统发布采用反向代理的方式;
(8)采用代理服务器的方式提供用户互联网访问服务并进行上网行为管理;
(9)采用白名单的方式满足总部用户特殊应用的访问需求;
(10)远程接人用户控制访问资源;
(11)部署入侵检测、恶意程序辅助检测、日志审计等安全系统。