政府是電子信息技術的最大使用者,同時也是信息資源的最大擁有者。有關統計指出政府的信息資源約占總信息資源的80%,也就是說,政府所面臨的網絡危險幾率很高。如今,如何確保政務網絡的應用安全的課題,已經被各級政府提上日程。江西省政務信息網也同樣面臨著這樣的問題。不過,通過攜手華為3Com,江西省政務信息網為自己鑄造了一道網絡安全的“銅墻鐵壁”,為信息化的進一步深入應用奠定了堅實基礎。
安全需求日漸強烈
據了解,江西省政務信息網經過幾年的建設,已經日趨完善,并提前6年跨越式地完成了國家部署的電子政務建設工作任務。省中心網絡與地市網絡均有各自的網絡出口,各地前期也部署了不同品牌、型號的防火墻產品。
不過,隨著網絡應用的不斷豐富,用戶的不斷擴充,網絡流量不斷的增大,原有的網絡安全設備已經越來越不能滿足實際的需求。尤其是BT的大量應用,導致了網絡帶寬的日益擁塞,即使不斷進行網絡擴容,也無法滿足BT對于帶寬的強占性。并且,由于實際工作需要,還不能對BT完全封殺。因此如何限制BT對于正常業務的影響,成為了江西省政務信息網安全改造的重中之重。
不僅如此,由于江西政務信息網的復雜性與靈活性,許多地方有多出口,因此對于安全設備的網絡特性要求非常高,安全產品必須支持動態路由、策略路由等高端網絡特性。
SecPath帶來網絡安全新體驗
針對江西政務信息網的實際情況,華為3Com公司為其提供了以SecPath 1800F防火墻為主的網絡安全解決方案。
據華為3Com網絡安全工程師介紹,SecPath 1800F防火墻是華為3Com公司開發的新一代基于網絡處理器技術(NP)的硬件高速狀態檢測防火墻設備,可以作為大型網絡的出口防火墻,也可以作為大型網絡的內部骨干防火墻。支持外部攻擊防范、內網安全、流量監控等功能,能夠有效地保證網絡的安全;采用ASPF狀態檢測技術,可對連接狀態過程和異常命令進行檢測;對于各種P2P應用可以通過應用層來做限制;提供多種智能分析和管理手段,支持多種日志,提供多種網絡安全管理手段;支持AAA、NAT等技術,可以確保在開放的Internet上實現安全的、滿足可靠質量要求的網絡;支持多種VPN業務,如L2TP VPN、IPSec VPN等;支持RIP/OSPF/BGP/路由策略/路由迭代及策略路由。
改造后的江西政務信息網絡拓撲如下圖所示:
在政務網省中心,為了提高網絡的可靠性,避免單點故障,采用雙機熱備份方式,同時配置了兩臺SecPath 1800F防火墻。當一臺防火墻出現故障的時候,另外一臺可以快速的接管全部的網絡連接狀態信息,保障網絡連接的通暢。
對于BT應用則采用疏導的方式,在所有防火墻上均配置相應的限流規則,將BT下載的速度控制在一定范圍內。這樣,既能保證可以繼續使用BT,同時也不會因為BT造成網絡擁塞而影響正常業務。
同時,針對省中心與部分地市多出口的情況,利用SecPath 1800F防火墻強大的路由功能以及支持策略路由與策略NAT功能,可以在SecPath 1800F上配置策略路由,同時支持多出口。并且當其中一個ISP服務商的線路出現問題,可以立即切換到另一條線路上,保證網絡的不間斷性,實現ISP線路的備份。
應用見證實力
現在SecPath 1800F防火墻的品質和功能已經獲得了客戶的認可。“華為3Com的SecPath 1800F系列產品不僅彌補了我們原有網絡系統的缺憾,增強了網絡安全性,而且還增加了許多意想不到的新功能。無論從穩定性、可靠性,還是安全性方面,華為3Com都做得很扎實。”江西政務信息網有關人士如此評價。
作為一家基于IP網絡技術的全業務解決方案提供商,華為3Com一直保持快速、穩健的發展,特別是在網絡安全等IP網絡新興領域取得了突破性進展。公司不僅提出了安全滲透網絡(SPN)的全新網絡安全理念,同時也形成包括端點準入防御解決方案(EAD)、TippingPoint IPS系列產品、SecPath系列防火墻和VPN網關、SecEngine系列IDS等全系列網絡安全產品。
“在我們的觀念中,安全不再是疊加在網絡上的局部功能,而是滲透于網絡之中的基因。安全滲透網絡要求網絡必須滿足從端點開始進行行為的管理,網絡深入到應用和業務內容進行保護,基礎安全特性成為網絡的一部分這三大要求。相應的,華為3Com安全滲透網絡由三個功能模塊組成,分別是用戶層上以EAD(端點準入防御)為基礎的端點安全模塊;應用層上以IPS為依托的威脅抵御模塊;以及網絡層上的基礎安全模塊。”華為3Com安全產品經理介紹到。
2005年,在中國計算機用戶雜志舉辦的成立20周年讀者調查評選中,華為3Com的安全滲透網絡解決方案獲得“英華獎”,成為業內為數不多的解決方案獲獎者。
如今,華為3Com的安全產品和解決方案早已廣泛應用于國家環保總局、江蘇地稅、云南交通廳、廣東電力等單位,在政府、金融、電力、大企業等眾多領域獲得了用戶的普遍好評。
