網神多核防火墻助公安圖像監(jiān)控安全防火墻解決方案_第1頁
網神多核防火墻助公安圖像監(jiān)控安全防火墻解決方案_第2頁
網神多核防火墻助公安圖像監(jiān)控安全防火墻解決方案_第3頁
網神多核防火墻助公安圖像監(jiān)控安全防火墻解決方案_第4頁
網神多核防火墻助公安圖像監(jiān)控安全防火墻解決方案_第5頁
免費預覽已結束,剩余1頁可下載查看

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、網神多核防火墻助公安圖像監(jiān)控安全-防火墻解決方案【項目背景】:A市公安圖像監(jiān)控IP網絡是該市公安圖像監(jiān)控網絡體系建設的重要組成部分,是一套獨立于現有公安信息網的專用網絡,是提供圖像數字化應用的共享平臺。自“金盾”工程建設完成,隨著公安信息網絡應用不斷擴展,網絡負擔日趨沉重,難以負擔日益增加的視頻信息應用需求。同時,由于公安信息網絡必須與其他單位網絡物理隔離,在圖像信息共享方面無法滿足。因此,需建立公安圖像監(jiān)控IP專用網絡以滿足各類視頻圖像的應用和共享需求。公安圖像監(jiān)控IP網絡將為公安視頻圖像信息的應用和共享提供高效的傳輸平臺。為確保網絡、各類視頻應用及圖像信息的安全、可靠,使其更好地為公安指揮

2、決策、一線實戰(zhàn)服務,并且能夠充分利用社會圖像資源,實現安全可靠地視頻信息共享。為了能夠充分利用現有地各類社會圖像監(jiān)控資源,最大程度地發(fā)揮圖像監(jiān)控手段地戰(zhàn)斗力,在確保公安圖像信息與網絡安全地前提下,該市公安局圖像監(jiān)控網在市局、分縣局以及交警總隊、軌道分局、機場分局等20多個業(yè)務單位建立共享社會圖像監(jiān)控資源地安全通道。具體方式為在邊界處部署訪問控制設備對網絡流量進行狀態(tài)檢測和過濾,確保圖像信息安全共享?!拘枨蠓治觥浚篈市公安圖像監(jiān)控IP網絡為公安視頻圖像信息的應用和共享提供數字化應用的共享平臺。公安地的市、分縣局接入了該網絡,為了加強公眾力度、滿足視頻圖像共享的需求,交警總隊、軌道分局、機場分局也

3、需要接入該網絡。由于A市公安圖像監(jiān)控IP網絡是以信息共享為主要建設目標的,因此具有公安內部開放性和互連性特性。這種特性致使該市公安圖像監(jiān)控IP網絡易受黑客、病毒、蠕蟲、惡意軟件和其他惡意的攻擊。有由于公安視頻圖像屬于涉密信息,所以網上信息的安全和保密是一個至關重要的問題。無論是有意的攻擊,還是無意的誤操作,都將會給系統(tǒng)帶來不可估量的損失。攻擊者可以嗅探網絡上的信息,竊取用戶的口令、數據庫的信息;還可以篡改、盜取數據庫內容,偽造用戶身份,否認自己的簽名。更有甚者,可以刪除數據庫內容,摧毀網絡節(jié)點,釋放計算機病毒等等,這些都使信息安全問題越來越復雜。所以網絡的安全性也就成為A市公安圖像監(jiān)控IP網絡

4、安全、高效、穩(wěn)定運行的關鍵。根據該市公安圖像監(jiān)控IP網絡訪問控制子系統(tǒng)的建設,為了達到本此安全建設目標,下面我們對訪問控制子系統(tǒng)的安全需求進行分析。1、不同等級安全區(qū)域隔離,等級安全區(qū)域共享。A市公安局圖像監(jiān)控網在市局、分縣局以及交警總隊、軌道分局、機場分局等20多個業(yè)務單位。各業(yè)務單位已經完成了公安圖像監(jiān)控系統(tǒng)的建設,形成了相對獨立的局域網。在局域網內部各信息系統(tǒng)是具有相同安全保護需求、并相互信任的。這與安全域的定義完全吻合,各業(yè)務單位形成同級的安全域。為了防止各業(yè)務單位安全域內信息系統(tǒng)遭到攻擊,需要將各業(yè)務單位安全域與A市公安圖像監(jiān)控IP網絡邏輯隔離。通過建立邊界訪問控制,可以有效規(guī)避大部

5、分基于網絡層攻擊對安全域造成的安全威脅,并降低系統(tǒng)層安全威脅對各業(yè)務單位安全域之間影響。利用邊界訪問控制手段,嚴格規(guī)范各業(yè)務單位安全域之間的數據傳輸及應用,防范不同安全域之間的非法訪問和攻擊,從而確保各業(yè)務單位應用的有序訪問。2、提高辦公效率和防泄密,保障視頻協(xié)議處理(1)P2P技術的迅猛發(fā)展給我們帶來很大的好處,但P2P技術的廣泛使用,也給網絡系統(tǒng)帶來了很大的挑戰(zhàn)。在一個局域網中如果有用戶在使用P2P軟件,將會使整個局域網的帶寬消耗殆盡,其它用戶的網絡速度會變得異常緩慢。因此為了保證A市公安圖像監(jiān)控IP網絡的安全運行,通過安全網關設備針對p2p進行阻斷或控制。(2)自聊天工具和電子郵件互聯網

6、使用以來,造成的泄密事件也不斷出現,成為信息安全威脅主要之一。A市公安圖像監(jiān)控IP網絡的視頻圖像信息是涉密信息,如果出現泄密,對A市公安系統(tǒng)的危害十分嚴重。因此在A市公安圖像監(jiān)控IP網絡中部署安全網關設備需要具有對即時通信工具的控制、即時通訊工具和郵件的內容進行過濾的功能。(3)在A市公安圖像監(jiān)控IP網絡中傳輸的主要協(xié)議是視頻協(xié)議,包括:SIP、H.323等協(xié)議。視頻協(xié)議是一種多連接協(xié)議,因此在安全網關的訪問控制中需要針對視頻協(xié)議的特點進行特殊的處理。不僅如此,視頻協(xié)議對網絡通信質量的要求高、對網絡帶寬的要求,并且視頻協(xié)議對穿越網絡設備的數據包轉發(fā)率有更高的要求,因此設備具有較強性能處理能力。

7、(4)在A市公安圖像監(jiān)控IP網絡的應用層協(xié)議中處視頻協(xié)議之外,還包括多種其它應用協(xié)議。如果不對這些應用協(xié)議進行控制,就會造成與視頻會議搶占網絡帶寬,造成公安圖像的延遲和不穩(wěn)定,影響使用效果。為了解決上述問題,我們需要QoS(服務質量)管理。QoS(Quality of Service)是網絡的一種安全機制, 是用來解決網絡延遲和阻塞等問題的一種技術。 在正常情況下,如果網絡只用于特定的無時間限制的應用系統(tǒng),并不需要QoS,比如Web應用,或E-mail設置等。但是對關鍵應用和多媒體應用就十分必要。當網絡過載或擁塞時,QoS 能確保重要業(yè)務量不受延遲或丟棄,同時保證網絡的高效運行。因此需要通過不

8、同類別和等級、不同優(yōu)先級來保證主要業(yè)務暢通運行3、如何靈活統(tǒng)一所有設備運行和管理在A市公安圖像監(jiān)控IP網絡中安全網關部署在A市公安局圖像監(jiān)控網在市局、分縣局以及交警總隊、軌道分局、機場分局等20多個業(yè)務單位,共需要幾十臺安全設備,數量較多。安全設備的集中監(jiān)控、策略分發(fā)、統(tǒng)一審計、安全審計和事件告警等管理工作是否完善直接影響著安全網關的安全防護能力。因此,建立A市公安圖像監(jiān)控IP網絡安全網關集中管理系統(tǒng)是十分重要的?!窘鉀Q方案】:根據上述A市公安圖像監(jiān)控IP網絡的安全需求分析,我們制定了由安全設備和集中管理中心為組件的技術解決方案,技術解決方案的詳細設計如下:1、防火墻技術解決方案:(1)在A市

9、公安圖像監(jiān)控網市局、分縣局以及交警總隊、軌道分局、機場分局等20多個業(yè)務單位邊界部署防火墻。通過部署防火墻,將各單位視頻等服務器劃分為DMZ區(qū)域和辦公區(qū)域,可以對A市公安圖像監(jiān)控IP網絡的各業(yè)務單位安全域進行邏輯隔離,對各業(yè)務單位安全域之間的各種協(xié)議和應用進行有效控制,與入侵防護功能,防蠕蟲功能相結合防御網絡攻擊。(2)通過防火墻分區(qū)域規(guī)則控制,禁止非安全區(qū)域訪問,保障各單位等級安全區(qū)域共享;對于各單位內辦公區(qū)域規(guī)則控制,開啟IM、郵件過濾功能,防止內部信息泄密;針對局域網用戶廣泛使用P2P軟件,開啟防火墻P2P控制/禁止,保證A市公安圖像監(jiān)控IP網絡的安全運行和辦公效率;開啟防火墻日志分析功

10、能,不僅記錄視頻等服務器訪問記錄,同時跟蹤防火墻使用情況,真正做到有據可查、快速定位的效果。(3)針對視頻協(xié)議對網絡通信質量的要求高,并且視頻協(xié)議對穿越網絡設備的數據包轉發(fā)率有更高的要求情況下,網御神州提供了高端網神SecGate 3600 G30防火墻。G30防火墻基于多核處理器硬件架構與新一代多核并行操作系統(tǒng)SecOS,能夠最大化的做到并行處理,分擔數據流量,從而極大的提升了網絡數據處理性能,因此可以快速全線速轉發(fā)大量視頻流量,且能有效過濾所有數據報文,保證網絡安全暢通。同時防火墻多核架構的靈活性可以無限期的升級,足夠的保證未來網絡數據處理能力和避免重復性投資。全功能升級能力較好,可以針對

11、新的攻擊方式增加安全防護功能。網神SecGate 3600 G30防火墻支持精細的多級帶寬管理與限制,能夠根據用戶應用的不同提供不同等級的QoS質量保證, 從而可以保證視頻業(yè)務的高可靠與高穩(wěn)定。2、集中管理解決方案:防火墻作為網關級訪問控制設備部署在網絡邊界,如果防火墻發(fā)生故障將嚴重影響A市公安圖像監(jiān)控IP網絡中各種應用的運行。同時,根據網絡中攻擊方式的變化,以及應用的調整,需求適當的改變防火墻的安全策略,防火墻的管理是安全管理員的重要日常工作。因此我們在該市局部署網神SecGateManager集中管理軟件,通過網神SecGateManager集中管理軟件將該市20多個單位防火墻統(tǒng)一進行管理

12、,其中主要體現在:(1)防火墻集中管理系統(tǒng)支持設備的拓撲圖形顯示,能自動識別和發(fā)現新加入的設備拓撲圖,提供放大、縮小和鳥瞰功能,可以方便和直觀的管理管理。(2)防火墻集中管理系統(tǒng)支持對網絡故障的直觀圖形顯示,當設備發(fā)生故障是,可以通過圖標的變化在網絡拓撲中顯示出來,可以一目了然地發(fā)現網絡和設備的故障所在。(3)支持設備的實時性能分析,能夠實時查看設備的CPU利用率,內存利用率和磁盤使用情況,接口流量、接口利用率、接口錯誤率,接口丟包率和接口流速。實時。可視化集中監(jiān)控。(4)能通過統(tǒng)一的入口進入設備WEB管理配置界面,實現同時管理多臺設備。(5)可以對防火墻設備分組進行管理,支持以設備組為單位對防火墻設備群進行統(tǒng)一監(jiān)控。(6)支持防火墻時間以及校時方式進行統(tǒng)一設置。(7)安全策略的集中編輯及下發(fā),把配置安全策略的過程轉變?yōu)椤熬庉嬒掳l(fā)”的過程,少了安全策略的沖突和漏洞、增強了全網的整體安全性。支持對IP

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論