單位電子外網(wǎng)安全運維展望

該單位電子外網(wǎng)從建設(shè)之初到2016年已經(jīng)快十年了，目前，電子外網(wǎng)正處于二期建設(shè)運行維護階段。在2017年，還將開展單位電子外網(wǎng)三期項目建設(shè)任務(wù)，在2016年7月份，已經(jīng)先期開展了三期建設(shè)中與安全運維有關(guān)的規(guī)劃設(shè)計。

應(yīng)用安全分域管控

根據(jù)相關(guān)電子外網(wǎng)項目建設(shè)的總體要求：電子外網(wǎng)需采用MPLS（多協(xié)議標(biāo)簽交換）作為統(tǒng)一的多業(yè)務(wù)平臺承接技術(shù)，需提供三層MPLSVPN的開通服務(wù)，上級和下級部門外網(wǎng)需要支持跨域?qū)樱杈邆溟_通四級縱向MPLS-VPN的能力。

根據(jù)目前單位電子外網(wǎng)各功能區(qū)域的情況，將正在運行的VPN業(yè)務(wù)重新進行劃分，將訪問電子外網(wǎng)業(yè)務(wù)的區(qū)域作為縱向VPN業(yè)務(wù)區(qū)，將各單位訪問IDC數(shù)據(jù)中心業(yè)務(wù)的區(qū)域定義為城域網(wǎng)VPN區(qū)（該區(qū)域只能訪問IDC數(shù)據(jù)中心業(yè)務(wù)區(qū)域），訪問互聯(lián)網(wǎng)的區(qū)域定義為互聯(lián)網(wǎng)VPN區(qū)（該區(qū)域只能訪問Internet）。外網(wǎng)終端用戶同一時間只能訪問一個區(qū)域，其他區(qū)域做控制隔離，當(dāng)用戶想訪問其他區(qū)域時，需手工登錄進行安全切換。

在上述各個區(qū)域中，在CE（用戶網(wǎng)絡(luò)邊緣路由器）上為每個訪問業(yè)務(wù)包加上MPLS標(biāo)簽，PE（匯聚邊緣路由器）再根據(jù)標(biāo)簽值進行轉(zhuǎn)發(fā)，最后P（核心路由器）再去掉標(biāo)簽，恢復(fù)原來的IP包。通過劃分上述這些不同的VPN區(qū)域，可以使得各安全區(qū)域更加清晰，能夠使安全運維工作各司其職、各負(fù)其責(zé)，極大的提高了外網(wǎng)安全運行的能力。

信息安全加固

在互聯(lián)網(wǎng)出口區(qū)域，將增加部署流量清洗設(shè)備，主要用于有效防范DDoS攻擊。在數(shù)據(jù)中心區(qū)出口位置也要增加部署IPS、流量清洗設(shè)備。……