背景简介：

江苏省地税局下辖2个直属分局和13个地市税务局。近年来，江苏地税收入持续高速增长，去年合计税收超过1300亿元。

全省征管信息系统2.0、省辖市大集中和增值应用等项目的开发实施，对网络支撑平台的可靠性、性能、处理能力和备份功能提出更高的要求，而江苏省地税系统内部网络中，各省辖市局的接入点大都没有配置防火墙，缺少技术和建设规范，传统安全策略和手段已经难以彻底地解决网络与信息的安全隐患。

建设要求：

江苏地税网络有各外联单位的接入，属于一个大型的网络。

根据ISO 17799关于网络安全区域控制，这种大型网络的扩展增加了对使用网络的信息系统的未授权访问的风险，其中有一些网络由于本身的敏感性或重要性，需要对来自其他网络用户的保护。在这种情况下，应考虑在网络边界和内部引入控制措施，来隔离信息服务组、用户和信息系统。

技术解决方案：

江苏地税主干网安全系统需要采取大规模、分布式的部署模式，要求防火墙必须支持完善的集中管理模式，通过统一的管理中心，可以实现对全网部署的防火墙的集中管理，并且可以支持分级管理。

其防火墙拓扑如下图所示：

在13个地市地税局和2个直属局分别部署一台SecPath 500F防火墙，具体部署位置在路由器和核心交换机之间，并由江苏地税目前已经配置的QiudView网管系统进行统一网管。

为了提高网络的可靠性，避免单点故障，在省地税局同时配置了两台SecPath 500F防火墙，采用双机热备份方式。当一台防火墙出现故障的时候，另外一台可以快速的接管全部的网络连接状态信息，保障网络连接的通畅。

方案特点：

良好的安全性能：SecPath 500F防火墙提供标准和扩展的ACL包过滤，可以对每一个连接状态信息进行维护监测并动态地过滤数据包；这种防火墙提供多种攻击防范技术和智能防蠕虫病毒技术，能有效的抵御各种攻击；支持应用层过滤，提供Java Blocking和ActiveX Blocking，支持SMTP邮件地址过滤、SMTP邮件标题过滤、SMTP邮件内容过滤、HTTP URL过滤、HTTP内容过滤等等。

优越的处理性能：基于NP处理器技术的SecPath 500F防火墙，采用业界最先进的网络业务处理器进行设计，转发平面由32个硬件线程实时处理，能够达到64字节小包文3GE的线速；并发会话数在1百万。性能远远超过国内同类产品。

简单的部署管理： SecPath 500F防火墙可以通过统一的QiudView网络管理平台进行管理，实现与网络设备完全一致管理，大大简化防火墙设备的部署、管理和监控，同时也提供Http/Https等管理模式。

全面的可靠性保证：SecPath 500F防火墙采用网络设备专用硬件平台，非通用工控机架构，提供模块热插拔、电源冗余、机箱温度监控等特性；支持通过专有协议进行双机热备，支持防护墙之间的状态同步，保证提供出现故障时自动无缝切换；支持通过VRRP实现负载均衡和基于OSPF路由协议的负载均衡，支持多个防火墙的负载均衡，可以实现基于服务器的负载均衡及其冗余备份。

完善的基础网络特性：SecPath 500F防火墙具备丰富的基本网络特性，包括RIP、OSPF、BGP、策略路由、路由策略等全面的路由协议的支持，同是，提供全面丰富的QOS支持能力，支持流量监管（Traffic Policing），支持FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ等队列技术，支持WRED拥塞避免技术、支持GTS流量整形、支持CAR、LR接口限速等。

效益实现：

    系统建成后，江苏地税系统垂直主干网的应用平台和网络平台将得到可靠的安全保证，确保了地税系统的安全和系统内部信息的安全传递。