8.3.2.5  重要服務器區安全保護

為確保重要系統服務器安全，總部和企業對各重要系統的服務器一般使用VLAN劃分為獨立分區，并本著就近防護的原則，通過防火墻對每個重要服務器區進行安全防護。

總部承擔的應用系統最多，威脅同時來自內部及外部，并存在多個服務器區共享一臺接層交換機的情況。通常為保證網絡邊界的安全，需在該位置部署防火墻，但如果在每個重要服務器區的每條邊界均部署獨立防火墻設備，則會帶來成本與管理等諸多問題。基于重要服務器區的網絡結構特點及所面臨的安全威脅，總部采用了思科公司的防火墻模塊產品實現了重要服務器區安全防護。

總部使用的6500系列千兆防火墻模塊可以虛擬為若干個虛擬防火墻，多個重要服務器區可以共享一個防火墻模塊進行安全防護，同時該防火墻將傳統防火墻的物理接口抽象為邏輯接口( VLAN)，增加了連接、部署的靈活性。

總部已經對關鍵服務器區使用防火墻模塊進行保護，每個關鍵服務器區域對應一臺虛擬防火墻，每臺虛擬防火墻都有其自己的接口、安全策略、管理員，并建立不同等級的管理員對每臺虛擬防火墻進行分級管理。所有關鍵服務器區域部署的虛擬防火墻均缺省禁止任何數據流，通過對業務數據流進行調研后，建立白名單式的訪問策略，并啟用深度數據包檢查( Inspection Engine)功能，對HTTP、FTP、SMTP等應用數據流進行深度檢查，及時發現并阻斷非法流量。

想了解更多IT資訊，請訪問中培偉業官網：中培偉業