客戶需求分析
疾病預(yù)防控制中心承擔(dān)著公共衛(wèi)生領(lǐng)域許多具體業(yè)務(wù)管理工作��,將依據(jù)有關(guān)衛(wèi)生法律�����、法規(guī)�����,在公共衛(wèi)生�、醫(yī)療保健等領(lǐng)域,開(kāi)
展急慢性傳染病防治����、計(jì)劃免疫、衛(wèi)生監(jiān)測(cè)�����、衛(wèi)生檢驗(yàn)��、健康教育����、預(yù)防保健����、突發(fā)公共衛(wèi)生事件應(yīng)急處理及后勤保證等工作。
隨著業(yè)務(wù)的發(fā)展���,疾控傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)已不能支撐現(xiàn)階段復(fù)雜的業(yè)務(wù)需求���,尤其是隨著國(guó)家對(duì)突發(fā)公共衛(wèi)生事業(yè)的進(jìn)一步加強(qiáng)����,
對(duì)其高效性��、保密性���、實(shí)時(shí)性的特殊要求加強(qiáng)�����,目前疾控中心網(wǎng)絡(luò)面臨著如下挑戰(zhàn):
◆ 由于業(yè)務(wù)發(fā)展的需要����,疾控中心出口均會(huì)引入多條運(yùn)營(yíng)商鏈路���,多鏈路的引入將面臨著入站流量和出站流量調(diào)度的問(wèn)題����。
◆ 為了VPN的高可靠����,往往都會(huì)部署VPN的的雙機(jī)或防火墻的雙機(jī)開(kāi)啟VPN功能,而因VPN的特殊性�����,傳統(tǒng)方案均只有一臺(tái)VPN在
正常提供服務(wù),另一臺(tái)處于備份狀態(tài)��,造成資源的利用不高�����, 且主用VPN設(shè)備在流量高峰時(shí)候在壓力備用設(shè)備未起到分擔(dān)的責(zé)任�����。
◆ 攻擊手段越來(lái)越豐富���,數(shù)據(jù)包2-7層的深度檢測(cè)防御是勢(shì)在必行。
◆ 疾控部分系統(tǒng)是基于Web建設(shè)��,面臨著網(wǎng)站篡改�、SQL注入、XSS�、CC攻擊等多種Web層安全威脅風(fēng)險(xiǎn)。
◆ 如何防止Web服務(wù)器���、數(shù)據(jù)庫(kù)服務(wù)器被竊取信息�����?
解決方案
齊杉科技疾控中心安全解決方案:
◆ 在互聯(lián)網(wǎng)出口部署齊杉Cedar ADC產(chǎn)品�,負(fù)責(zé)多家運(yùn)營(yíng)商線路的接入,主要解決出站(局域網(wǎng)用戶和服務(wù)器主動(dòng)訪問(wèn)互聯(lián)網(wǎng)的流
量)和入站(醫(yī)院上報(bào)疫情或其它主動(dòng)對(duì)疾控中心發(fā)部業(yè)務(wù)的訪問(wèn))的流量調(diào)度問(wèn)題�����,解決VPN業(yè)務(wù)的雙機(jī)同時(shí)工作流量調(diào)度�����;
◆ 在Cedar ADC之下部署齊杉Cedar NGFW產(chǎn)品����,主要應(yīng)對(duì)來(lái)自互聯(lián)網(wǎng)的威脅,VPN服務(wù)等����;
◆ 在醫(yī)院IDC區(qū)域部署齊杉Cedar WAF產(chǎn)品,主要應(yīng)對(duì)基于WEB的應(yīng)用安全問(wèn)題�。
■入站流量調(diào)度
智能DNS功能是解決入站流量調(diào)度方面的問(wèn)題,首先將對(duì)外發(fā)部業(yè)務(wù)的域名解析功能指向齊杉科技Cedar ADC設(shè)備����,由Cedar
ADC設(shè)備來(lái)進(jìn)行域名A記錄的解析���。舉個(gè)例子來(lái)說(shuō),當(dāng)疫情上報(bào)用戶遠(yuǎn)程通過(guò)域名訪問(wèn)對(duì)外發(fā)布業(yè)務(wù)系統(tǒng)時(shí)����,逐步通過(guò)疫情上報(bào)用戶
的本地DNS服務(wù)器、根DNS服務(wù)器���,最終由Cedar ADC設(shè)備來(lái)進(jìn)行域名的A記錄解析���。然后Cedar ADC設(shè)備就會(huì)通過(guò)智能DNS模塊進(jìn)
行發(fā)起訪問(wèn)疫情上報(bào)用戶的運(yùn)營(yíng)商歸屬分析,給疫情上報(bào)用戶返回對(duì)應(yīng)的運(yùn)營(yíng)商訪問(wèn)地址�,同時(shí)實(shí)現(xiàn)多條線路冗余,讓疫情上報(bào)用戶
得到最佳的訪問(wèn)IP地址����,提高訪問(wèn)效率����,詳細(xì)實(shí)現(xiàn)如下:
◆ 疫情上報(bào)用戶通過(guò)Cedar ADC訪問(wèn)后臺(tái)業(yè)務(wù)服務(wù)器。
◆ 疫情上報(bào)用戶請(qǐng)求到達(dá)設(shè)備的路徑有多條�����,設(shè)備的每個(gè)外網(wǎng)接口分別對(duì)應(yīng)著不同運(yùn)營(yíng)商的鏈路。
◆ 疫情上報(bào)用戶訪問(wèn)域名時(shí)�����,設(shè)備對(duì)域名進(jìn)行智能DNS解析���,通過(guò)將域名解析為所屬的運(yùn)營(yíng)商IP地址�,返回給疫情上報(bào)用戶訪問(wèn)同屬性運(yùn)營(yíng)商的IP地址��,通過(guò)智能DNS技術(shù)讓所屬不同運(yùn)營(yíng)商網(wǎng)絡(luò)的疫情上報(bào)用戶能通過(guò)相對(duì)應(yīng)的路徑完成業(yè)務(wù)請(qǐng)求的功能����。
營(yíng)商的IP地址,通過(guò)智能DNS技術(shù)讓所屬不同運(yùn)營(yíng)商網(wǎng)絡(luò)的客戶能通過(guò)相對(duì)應(yīng)的路徑完成業(yè)務(wù)請(qǐng)求的功能��。
■出站流量調(diào)度
出口鏈路調(diào)度對(duì)應(yīng)的功能是解決出站流量調(diào)度方面的問(wèn)題����。主要是由局域網(wǎng)內(nèi)部用戶和服務(wù)器主動(dòng)發(fā)起的對(duì)公網(wǎng)的訪問(wèn),當(dāng)這部
分流量到達(dá)Cedar ADC設(shè)備時(shí)�,Cedar ADC設(shè)備會(huì)通過(guò)預(yù)先設(shè)定的好策略判斷每條鏈路的健康狀況、響應(yīng)時(shí)延�,并決定將流量調(diào)度到
哪條鏈路,然后數(shù)據(jù)包的源地址轉(zhuǎn)換成對(duì)應(yīng)運(yùn)營(yíng)商的公網(wǎng)地址,再將該數(shù)據(jù)包發(fā)出�����,響應(yīng)數(shù)據(jù)包返回到設(shè)備時(shí)����,設(shè)備將目的地址進(jìn)行
轉(zhuǎn)換之后將數(shù)據(jù)包發(fā)給內(nèi)部的用戶或服務(wù)器。
■DNS透明代理
DNS透明代理實(shí)現(xiàn)方式�����,即內(nèi)網(wǎng)用戶在對(duì)外網(wǎng)的域名進(jìn)行訪問(wèn)時(shí)�����,Cedar ADC設(shè)備針對(duì)DNS流量進(jìn)行劫持后���,再通過(guò)Cedar ADC
設(shè)備配合調(diào)度算法進(jìn)行DNS解析調(diào)度�,將域名解析成對(duì)應(yīng)的對(duì)應(yīng)運(yùn)營(yíng)商的服務(wù)器地址���,以實(shí)現(xiàn)達(dá)到最優(yōu)訪問(wèn)速度。
局域網(wǎng)內(nèi)部用戶訪問(wèn)外網(wǎng)域名時(shí)��,設(shè)備對(duì)域名進(jìn)行解析,并保證解析的服務(wù)器地址所屬的運(yùn)營(yíng)商類型�,與當(dāng)前連接外網(wǎng)的鏈路所
屬的運(yùn)營(yíng)商類型相同。同時(shí)確保在內(nèi)網(wǎng)與外網(wǎng)連接的鏈路發(fā)生切換時(shí)���,內(nèi)網(wǎng)的客戶端仍能以最優(yōu)速度訪問(wèn)外網(wǎng)�����。
■安全控制
出口部署Cedar NGFW設(shè)備的用途是開(kāi)啟VPN功能和安全過(guò)濾功能���,通過(guò)允許、拒絕�、重定向通過(guò)防火墻的數(shù)據(jù)量,提供對(duì)內(nèi)部
和外部網(wǎng)絡(luò)之間服務(wù)訪問(wèn)的控制和審計(jì)��,包括基于用戶和協(xié)議的策略定義��、URL過(guò)濾�����、協(xié)議識(shí)別等特性���。Cedar NGFW根據(jù)網(wǎng)絡(luò)中配
置的安全規(guī)則策略��,有選擇的在不同網(wǎng)絡(luò)間發(fā)送信息流���,默認(rèn)安全規(guī)則策略拒絕所有入站和出站的信息流���,僅授權(quán)的管理員具有改變
安全規(guī)則策略的權(quán)限。典型的包過(guò)濾策略由源地址����、目的地址、傳輸層協(xié)議��、源端口�、目的端口、應(yīng)用協(xié)議決定�����,并以數(shù)據(jù)包達(dá)到或
者離開(kāi)接口為基準(zhǔn)����。從而過(guò)濾外部網(wǎng)絡(luò)發(fā)起的非法主動(dòng)訪問(wèn)請(qǐng)求。
Cedar WAF設(shè)備主要防范日益猖獗的注入攻擊(SQL注入�、命令注入等)和XSS(Cross-Site Scripting跨站腳本攻擊)攻擊。SQL
注入攻擊通常是由于應(yīng)用程序缺乏對(duì)輸入數(shù)據(jù)進(jìn)行校驗(yàn)所引起的����。攻擊者一般會(huì)把一段含有SQL語(yǔ)句的數(shù)據(jù)發(fā)送給Web服務(wù)器,再經(jīng)
由解釋器將數(shù)據(jù)轉(zhuǎn)恢復(fù)成指令執(zhí)行��。XSS指的是黑客在Web頁(yè)面中增添一段惡意HTML代碼�����,當(dāng)用戶訪問(wèn)該頁(yè)或觸發(fā)某項(xiàng)事件時(shí)�,調(diào)用
了嵌入在Web頁(yè)面里面的HTML代碼,從而達(dá)到惡意攻擊的目的���。通過(guò)Cedar WAF對(duì)基于HTTP業(yè)務(wù)的防御能有效的保護(hù)醫(yī)院發(fā)布業(yè)務(wù)
系統(tǒng)的安全��。
客戶價(jià)值
◆ 高可靠���。無(wú)論是從外向內(nèi)的訪問(wèn)(訪問(wèn)發(fā)布的業(yè)務(wù)系統(tǒng)),還是從內(nèi)向外的訪問(wèn)(上網(wǎng)業(yè)務(wù))���,均能實(shí)際用戶無(wú)感知的切換����,真
正滿足網(wǎng)絡(luò)7*24的高可靠���。
◆ 高安全�。2-7層多重立體安全防護(hù)體系,保障業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全���。
◆ 高性能���。滿足大用戶,高流量并發(fā)情況下實(shí)現(xiàn)萬(wàn)兆低延遲處理��。
