曙光天罗1000H助力社保、地税跨部门联网

门神，作为中国传统文化中降妖伏魔阻挡怪异势力入侵的守护神，在中国文化中有着重要的地位，是守护安全的象征。而对于信息化时代的网络系统来说，面临的安全问题更为复杂，黑客入侵、病毒、系统漏洞、内部隐患、误操作等任何一项都将致使数据遭受惨重的损失。这种情况下，拿什么来保护网络数据安全？抵御黑客等各式各样的攻击？信息时代更需要网络安全“门神”。

近期，在湛江社保、地税联网建设项目中，建设方在众多网络安全产品中最终选择曙光天罗1000H防火墙构筑系统构建信息安全，让我们一起了解曙光天罗1000H是如何作为网格机群系统的终极防御“门神”为湛江跨部门联网的保驾护航的。

跨部门联网，信息安全需要“滴水不漏”

随着社会的不断进步，社会保障基金已与百姓的生活息息相关，且其涉及面较大，有国家的“第二财政”之称，社保信息处理数据一旦遭受黑客攻击或出现安全意外，这些重要数据将可能丢失。而税收信息化系统是国民经济信息化中一个极有份量的组成部分，仅次于金融电子化和邮政电子化的第三大领域，关乎国计民生，因此，这些关键部门的数据交换、共享成为信息安全建设关注的重点。

在国家建设信息化电子政务系统进程中，跨部门联网成为最为普遍的一种电子政务整合方式，两个或者多个政府部门的信息和资料需要联网形成一个内部网络，以便于政务信息的了解和掌控。湛江社保、地税的跨部门联网建设是一个非常典型的信息化电子政务建设案例，需要通过互联网建设两个政府部门之间的外网信息交换系统，建设中涉及小型机、万兆交换机、防火墙以及相关设备。网络规模虽然不大，但属于涉及重要数据的核心业务，设备比较高端，安全要求很高。

一般情况下，刚刚搭建的网路平台很多事故都是由内网好奇心切的计算机爱好者“攻击”引起的（据统计，70%的安全问题都是由内网攻击引起的）。因此面对两个不同的政府部门，在网际互联的时候尤其需要安全防护，需要按高安全标准来设置网络安全，彻底消除双方互联引起的网络威胁。项目实施之前，社保内网和地税内网已为办公网络配置了防火墙和杀毒软件等安全产品，但是由于两套系统通过外置服务器进行互联网相连，访问人员相对比较复杂，系统很容易受到攻击。湛江社保、地税跨部门联网建设负责人表示：“两部门联网后，我们要求不仅能够控制防范互联网对内网的威胁，而且要控制内网以及社保和税务两个不同部门网络之间的访问行为，确保整个系统数据和信息的高安全性。”

数据安全，“门神”全程值守

针对湛江这种通过外置服务器接入互联网将社保、地税跨部门互联的情况，一款专为社保和地税外网系统互联配置，对关键的外置服务器数据传输和访问进行安全保护的防火墙尤为重要，它能有效防止外来入侵、控制进出网络信息包流向、提供使用日志流量日志、隐藏内部IP地址及网络结构细节。其不仅能够控制防范互联网对内网的威胁，对于控制两个不同部门网络之间的访问同样也是最有效的工具。

鉴于湛江社保地税联网安全的高标准需求，建设中经过筛选，曙光防火墙以解决方案、产品性能、价格几个方面的突出优势赢得了青睐，最终采用了曙光公司天罗1000H防火墙安全产品。曙光公司资深工程师表示：“湛江社保、地税联网建设项目，是典型的跨部门联网，典型的重要数据交换，需要高标准的安全保护，任何一项安全漏洞都将造成不可估量的损失。”天罗1000H防火墙是一款将状态包过滤技术、应用代理技术巧妙结合起来的高性能防火墙，它强大的安全功能弥补了传统包过滤防火墙的很多不足，采用的128位的高强度加密通讯，黑客根本无法破解，具备了高安全性、高可靠性、高性能、功能齐备、易管理等特色，能对关键的外置服务器数据传输和访问进行全程的安全保护，是目前市面上最为出色的防火墙产品。

项目建设中，社保和地税的网络边缘各设置一台天罗1000H千兆防火墙，两台防火墙以光纤专线的形式直接互联，双方通过前置服务器来进行数据交换，而双方的前置服务器均放置在防火墙的DMZ (Demilitarized Zone即俗称的非军事区）区。社保的数据先由内网转向社保前置服务器，然后社保前置服务器和地税前置服务器进行数据交换，最后地税前置服务器再将数据转向地税的内网，反之亦然。曙光天罗1000H防火墙的设置能充分过滤掉各种不安全因素，可以充分保证双方信息系统网络安全，为社保、地税数据安全打造了全程值守的信息安全“门神”。

方案建设联网拓扑图

信息“门神” 一夫当关 万夫莫开

整个湛江社保、地税跨部门联网信息安全建设中，曙光天罗1000H防火墙成为各方关注的焦点，也是最为关键的设备。据了解，它是专门针对防火墙行业而设计的硬件平台，在处理器、芯片组和外围电路的设计上充分考虑了防火墙产品应用的特色，精简了没有必要的部分，形成一个围绕网络通讯和通讯控制为核心的硬件平台，这种设计所带来的性能高于普通平台近20%。而且，其采用了专为防火墙、VPN等安全应用设计开发的专用的高性能的安全操作系统。产品使用“并发”和“后台管理”的理念，能对防火墙系统中的资源进行统一、多层、并发的高效资源调度和后台管理。在抗黑客攻击方面，管理员与防火墙之间的连接采用128位的高强度加密通讯，黑客根本无法破解，大大加强了数据的安全性，这对于湛江社保、地税复杂的数据管理、交换提供了安全的数据通道。

在功能上，天罗1000H防火墙非常齐全，不仅可以防御十几种DoS/DDoS攻击，还能够防御源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN等多种攻击。天罗1000H内置IDS能对受到的攻击设有完备的记录，能够有效地防止内部人员的越权行为、误操作、恶意攻击等内部安全问题，从确保了系统的安全稳定运行。检测到危险信息时，可以根据管理员的设置断开连接，实现IPS（入侵主动防护）。此外，天罗1000H可以主动防御ARP欺骗，任何针对防火墙的ARP欺骗都可以在两秒钟之内自动恢复，使得内部恶意欺骗无法截获用户通过防火墙的通讯。而且，它能智能过滤掉包含在合法网页或邮件中的URL非法连接地址。其出色的功能让天罗1000H防火墙能在信息安全中‘一夫当关万夫莫开’，成为最出的安全产品。

不仅如此，天罗1000H防火墙还通过了曙光工业控制级硬件平台的测试，零部件全部达到工业级要求，确保产品物理层可靠性。其通讯子系统也通过了超负荷脉冲流量测试、高数据压力测试、12种攻击数据流混合测试等长时间的针对性系统验证，在通讯处理性能和稳定性上非常出色。

21世纪是信息化的时代，形形色色的网络将成为这个时代的特征，互联网作为宽带网时代的一个最重要组成部分。然而，开放的信息系统必然存在众多潜在的安全隐患，窃密和反窃密、破坏和反破坏的斗争仍将继续，在这样的斗争中，安全技术作为一个独特的领域越来越受到全球网络建设者的关注。此次湛江社保、地税跨部门联网选用的安全产品无疑是对曙光天罗1000H防火墙安全技术的一种肯定，可以说对其他联网安全建设具有重大的借鉴意义。我们期待更多像曙光天罗1000H防火墙这样的高质量安全产品为中国的信息安全保驾护航。