一、 方案說明
我們建議根據XX市XX區政府各單位的分布狀況不同將XX市XX區政府政務網分成不同的級別，制定不同安全策略進行統一監控，分布管理。針對這種情況我們將分別進行方案設計。
1、XX市XX區政府數據交換中心
XX市XX區政府政務網數據中心為XX市XX區政府政務網數據存儲中心、管理中心，因此流量及數據安全要求等級應當為最高。另外，其既與各相關所屬單位連接，又與XX市政府等上級或平行單位連接、通訊，因此考慮可能的性能瓶頸問題及可靠性，建議采用大會話數防火墻設備，同時使用雙擊熱備份。具體網絡拓撲圖如。
三星防火墻具有很強的會話處理能力，通過它良好的性能保證數據流量大的數據中心對吞吐量需求，此外可以采用ACTIVE-ACTIVE模式的雙機熱備份，實現系統可靠性的同時實現對防火墻的負載均衡，且無需使用L4交換機實現負載均衡。
2、XX市XX區政府所屬各單位的防火墻解決方案
XX市XX區政府所屬各單位的分布狀況雖不同，但都在各自局域網絡內存放著各自辦公數據及重要資料。由于對Internet訪問的需求，對上級主管部門通訊的需求及相關機構的信息往來等要求外部接入不可避免。因此要求防火墻除提供必不可少的局域網絡保護和控制外，還需要防火墻提供多種配置模式，并且通過路由模式實現內網、外網、DMZ區域的劃分，使網絡更加安全可靠。同時由于XX市XX區政府所屬各單位安全需求不同，又對可能用到的3A認證服務、各代理應用服務、附加功能的支持程度等都成為考慮的因素，這樣來保證防火墻產品應用到各單位網絡中后可靈活配置、滿足各種變化的需求。對于認證服務器的要求可通過路由模式劃分兩個DMZ區域、一個內網區域，同時支持三個外網接入以滿足不同用戶的接入需求。具體網絡拓撲如下。

對于較為復雜的單位網絡環境還可采用簡單的網橋透明模式，將防火墻放置在路由器與局域網交換機之間，訪問將通過嚴格認證和控制。通過三星防火墻防火墻卓越的帶寬管理功能，針對不同的區域、策略和主機分配帶寬。
在路由模式下可對各單位網絡的具體環境需求實現服務的負載平衡（Load Balancing）功能，并且合理分配關鍵主機的訪問負載，滿足我們實施政務網過程中進行分步投資網絡服務器等設備的需求。
因三星防火墻 防火墻將黑客代碼庫集成在其可升級的防火墻操作系統中，所以它對黑客的多種攻擊手段能做出最快的反應，例如著名的DDOS分布式拒絕服務攻擊（Distributed Denial-Of Service）,三星防火墻能根據客戶端主機發出數據報的數量自動判斷是否是DDOS 攻擊程序攻擊，并采取措施過濾掉攻擊包或阻止。
3、遠程用戶的接入
三星防火墻 支持來自Internet等移動用戶或訪問站點的多種認證接入方式。無論是一次性口令認證訪問方式，還是對口令加密的S/Key方式等都可作很好的支持。另外，三星防火墻防火墻還支持第三方的專用認證方式，例如RADUIS、LDAP、SecurID等。對于應用范圍較廣的撥號用戶或相關單位的頻繁訪問，三星防火墻防火墻還可配置支持“容許支持相同用戶名”、“容許用戶使用相同IP地址”等方式來靈活應用防火墻并提供服務。

共2頁: 1 [2] 下一頁