1.应用背景

随着电子政务工程的开展，越来越多的政府把对外业务都转移到网站系统上，公众通过访问职能机构网站，就可以方便的完成业务办理。某规划局信息化建设亦是如此。该单位以满足社会经济发展和资源规划管理的需要为宗旨，在现代信息技术的支持下，建立结构完整、功能齐全、技术先进的资源信息管理系统。通过该系统，形成完善的资源信息化体系，全面实现资源调查评价、政务管理和社会服务流程的信息化。而该体系要良好、稳定地发挥其作用，就必须考虑它所面临的安全问题。

2.解决方案

而对业务系统的保护，在电子政务安全建设中往往就是对WEB服务器群组的保护。此次该规划局网络安全建设的重点就是保护其对外web发布系统免受SQL注入、溢出攻击等深层威胁行为影响。

在方案设计上，捷普服务器群组防护产品通过防护网关，实现服务器网络的隔离，建立服务器群组的物理安全域，并针对WEB应用特点，有效的集成了网络层、传输层、会话层、应用层的攻击防范技术，建立起多层防范体系，实现对服务器的安全防护。

由于内部OA系统和WEB业务域的安全等级和安全需求不一样，所以针对这两个不同的区域，需要有不同安全防御措施，一体化安全网关和入侵防御组合的递进式防御策略，是政务网安全建设的一种不错的选择。在网络层、传输层分别部署网络防火墙模块、SSL VPN模块和IPSEC VPN模块。

通过防火墙功能模块，产品提供基于IP报文五元组（源/目的IP、源/目的端口号以及协议类型）访问控制，而用户可以根据实际网络环境，配置合理网络安全策略，实现网络层面的安全保护；除此之外，针对目前流行web攻击特征库，产品设计出一套精确度高，覆盖面广，执行率高的WEB防护规章，能保护各类常见的web应用攻击或威胁，例如，蠕虫、黑客攻击、SQL注入、跨站脚本、网页盗链等，对变形或是混合型的攻击也能提供实时的防护。

在会话层主要完成Session管理，状态监测功能；

借助网络层、传输层、会话层提供的功能，应用层完成服务器群组防护。实现的主要功能有：Web防火墙、授权管理、单点登陆、邮件过滤、不良信息过滤、对象保护、页面防篡改等。

由于捷普服务器群组防护产品开发采用模块化设计思想，因而功能模块可以独立运行，也可以组合在一起工作，可以根据用户实际网络环境，灵活选择功能模块，制定安全策略，确保客户网络安全、高效、稳定。

3.方案总结

本方案的特点是一体化安全网关与入侵防御产品的协同使用，是典型的产品组合使用解决案例。利用防火墙实现全面的抗攻击功能，控制对内部网络的访问和威胁防御；利用VPN实现防泄密功能，系统采用独特的HTTPS终端和代理功能，实现基于特定URL的细粒度的SSL加密传输，既可以加强信息在网络上的安全传输，又可以释放服务器SSL运算负载，达到提升网络总体效率的功能；