可信链路安全准入网关解决方案

● 行业背景和需求

某国土资源厅国土资源信息专网采用专线的方式实现省、市、区县级分支单位间的互联互通。采用VPN实现远程链路加密和认证，采用防火墙实现边界访问控制、采用IDS/IPS实现入侵检测与防御、采用防病毒网关实现病毒查杀以及采用隔离网闸实现网络间的安全隔离与数据安全交换。这些安全系统联合起来构成了完善的多层次的动态安全防御体系，为不同单位部门间、不同网络间的广域网互连提供了强大的安全保障。

然而，在目前的安全防御体系之下还有一个重要的安全管理缺陷，那就是针对这些安全设备的管理不到位，导致违规开放不必要的服务端口、安全设备上错误的安全策略配置、非法接入不允许接入的网络（如非法接入互联网等）、为了追求方便性跳过某些必要的安全设备、安全设备故障自动ByPass（旁路）以及由于设备维修测试期间由于改变线路连接导致的各种意外错误（如网络跳接到涉密网、互联网等情况）等情况发生，这些错误的操作、配置和管理行为将导致安全体系出现巨大的漏洞，安全威胁显著提升，致使原有设计完整、安全防御能力满足要求的网络互连互通环境被破坏。

● 解决方案

目前国土资源信息专网采用伟思安全隔离与信息交换系统（即隔离网闸）作为核心网络隔离设备实现省、市、区县级分支单位间的互联互通，为了确保各部门都严格按照安全隔离要求实现了网络隔离，且网络隔离安全策略全网一致的目标，管理中心能够实时监控各地是否违规调整隔离网闸安全策略开放高风险应用的现象，以及及时发现隔离网闸设备运维中的安全配置错误或网络跨接非法连接其它网络等情况，采用伟思ViTrustlink可信链路安全准入网关用以实时判断各地接入链路的可信度，对违规的部门实行自动化的即时断网处理，保证核心网络的安全。

部署方式包括常规部署模式和高可靠性部署模式，常规部署模式即在管理机关与下级单位接入链路的网络出口处部署一台伟思ViTrustlink可信链路安全准入网关，高可靠性部署模式是在管理机关与下级单位接入链路的网络出口处部署两台伟思ViTrustlink可信链路安全准入网关并通过负载均衡实现流量的链路均衡，在高可靠性部署模式下，一台准入网关出现故障后，另一台设备可以接管所有流量，保证网络稳定运行。如下图所示:

● 方案特点

● 保证只有安装了经管理机关注册的隔离网闸设备的安全可信链路可以接入核心网

● 确保所有下级机关安装的隔离网闸没有违规配置错误的安全策略和网闸功能模块

● 防止网络跨接和非法外部网络链路接入核心网

● 实时监控各链路隔离网闸设备的运行状态和报警信息

● 实时预警各链路隔离网闸的安全配置改变情况

● 统计各条接入链路的应用协议类型和流量

● 对关键业务实时链路流量保障