构筑电力信息中心安全网关
2018-06-11 来源:
作者 费宗莲
本文将通过一个电力行业的成功案例,介绍病毒防火墙产品构筑网络安全整体解决方案的特点和优势。
电力系统的安全问题现状
南方某电力公司业务发展迅速,构筑安全网关迫在眉睫。分析现状,该电力信息系统大体存在这样的问题:防火墙性能跟不上网络用户的增长;网关端没有防病毒功能;系统缺乏有效的安全隔离;没有部署VPN;没有入侵检测/阻断功能;没有内容过滤;对于网络流量没有进行带宽控制等。
技术方案和设备选型的总体考虑
为了部署稳定、可靠、高性能、多功能的综合安全网关,该电力公司在总体设计和选择设备方面,需要考虑以下因素:网络Internet出口具有防火墙、防病毒、VPN和入侵检测/阻断功能;所选设备采用全线速硬件处理机制;要求选用设备能够实现基于策略的QoS带宽管理;设备至少具有足够的百兆和千兆以太网口连接端口;采用统一的中文管理界面,并能进行远程管理;具备高可靠性,具有日志记录功能。
设计思路和关键因素
综合安全网关的设计思路是提供一个整体解决方案。在每个基层单位接入公司网络处部署一台百兆级安全网关,在Internet出口处部署两台容错的高性能安全网关,在电力公司网络汇集处也部署两台容错的高性能安全网关。照此部署的安全网关必须能够满足上述功能和策略要求。
为了对现有系统进行性能升级,还需要考虑以下几个重要因素:充分了解现存的安全问题和各项安全需求;选择稳定、可靠、高性能、功能强大的综合安全网关产品;合理地部署防火墙产品,划分各功能区域;对网络(IP规划、VLAN划分、路由设置等)进行全面的安全优化和调整;选择有实力的、售后服务有保证的系统集成商和原始厂商进行合作。
方案和选用设备的用途说明
该电力信息系统选用了美国Fortinet公司的四台千兆防火墙FortiGate-3000和多台百兆防火墙FortiGate-300:在公司级Internet出口安装两台千兆防火墙,支持HA,防火墙吞吐量达2.25Gbps;在公司与ATM汇聚网络之间安装两台千兆防火墙;在各供电局或基层单位与ATM网络之间则选用百兆防火墙,防火墙吞吐量达200Mbps。
在安全功能区域的划分上,该信息系统包括三个区域:由出口处部署的两台千兆容错安全网关将网络隔离为外部Internet网区、外部DMZ(保护)区、公司内网区;由网络汇集处部署的两台千兆容错安全网关将网络隔离为接入网区、公司内网区、服务器区;基层单位安全网关主要隔离为接入区和基层单位内网区,也可以考虑增加一个基层单位自己的DMZ (保护)区。Internet出口防火墙策略设计需要开启网关防病毒/防蠕虫、拨号VPN、带宽管理、防火墙、内容过滤、网络地址转换(NAT)以及日志管理等功能。
综合安全网关的技术指标
数据流处理方式:要求采用ASIC芯片专用硬件处理防火墙、VPN、防病毒、内容过滤、入侵检测数据流。
系统管理及界面:要求支持多种语言界面(中英文),支持Web、命令行、图形界面管理,支持远程管理和集中管理。
防火墙功能:包过滤、状态检测。
防病毒功能:基于策略控制,支持HTTP、FTP、POP3、SMTP、IMAP病毒扫描、清除、隔离功能,自动病毒库升级更新,病毒特征库大于6万条。
内容过滤功能:基于策略控制、URL地址屏蔽、URL地址列表、关键字屏蔽、阻塞Internet小应用程序。
防火墙模式:支持路由、NAT、透明模式、基于策略的NAT。
VPN功能:支持PPTP、IPSE、L2TP标准,支持网关到网络、客户端到网关模式。
入侵检测/阻断功能:支持DoS/DDoS(拒绝服务)攻击检测,支持IP层攻击检测,支持用户定义攻击列表,支持自动攻击特征库升级、攻击特征库大于1300条。
流量管理:支持基于策略的流量管理、提供保证带宽、最大带宽、优先带宽功能。
进行用户认证:支持本地数据库、远程Radius数据库、LDAP数据库和IP/MAC绑定。
日志和监控:支持内部日志记录,可热插拔日志记录硬盘,支持远程Syslog和WebTrend日志存储分析。
小结
基于ASIC体系结构的FortiGate病毒防火墙,解决了功能与性能之间的矛盾,提高了性能,也降低了成本。它集防火墙、防病毒、内容过滤、VPN、入侵检测和流量控制功能于一体,在功能与性能上都优于传统网关安全产品,为企业提供了整体解决方案。经过精心设计,该电力信息系统综合性安全网关达到了预期的防护目的。
美国Fortinet公司北京代表处
地址:北京市海淀区中关村南大街2号
数码大厦B座903室
邮编:100086
电话:010-82512622
传真:010-82512630
网址:www.fortinet.com.cn
标签: ddos 安全 标准 防火墙 防火墙策略 防火墙功能 服务器 美国 企业 数据库 网络 网络安全 问题 行业 选择 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
