8.3.2.2  因特網出口的管理及防護

中國石化總部因特網節點提供高速、穩定的網絡連接，為集團公司、股份公司、各業務部門的信息系統提供應用發布和業務互聯服務，為總部用戶提供互聯網訪問服務，是中國石化總部網絡架構的重要組成部分。

為實現中國石化總部局域網與因特網高速、穩定互聯，在節點網絡架構設計和系統應用構建中，遵循了以下設計原則：

(1)三道異構安全設備實現安全防護；

(2)采用內部私有地址；

(3)因特網訪問的內、外流量選取不同的鏈路；

(4)禁止內、外網的直接互聯；

(5)在內、外DMZ區劃分不同的安全級別和功能區域；

(6)制定細顆粒度的應用發布策略；

(7)部分特殊的應用系統發布采用反向代理的方式；

(8)采用代理服務器的方式提供用戶互聯網訪問服務并進行上網行為管理；

(9)采用白名單的方式滿足總部用戶特殊應用的訪問需求；

(10)遠程接人用戶控制訪問資源；

(11)部署入侵檢測、惡意程序輔助檢測、日志審計等安全系統。