政府是电子信息技术的最大使用者,同时也是信息资源的最大拥有者。有关统计指出政府的信息资源约占总信息资源的80%,也就是说,政府所面临的网络危险几率很高。如今,如何确保政务网络的应用安全的课题,已经被各级政府提上日程。江西省政务信息网也同样面临着这样的问题。不过,通过携手华为 3Com,江西省政务信息网为自己铸造了一道网络安全的“铜墙铁壁”,为信息化的进一步深入应用奠定了坚实基础。
安全需求日渐强烈
据了解,江西省政务信息网经过几年的建设,已经日趋完善,并提前6年跨越式地完成了国家部署的电子政务建设工作任务。省中心网络与地市网络均有各自的网络出口,各地前期也部署了不同品牌、型号的防火墙产品。
不过,随着网络应用的不断丰富,用户的不断扩充,网络流量不断的增大,原有的网络安全设备已经越来越不能满足实际的需求。尤其是BT的大量应用,导致了网络带宽的日益拥塞,即使不断进行网络扩容,也无法满足BT对于带宽的强占性。并且,由于实际工作需要,还不能对BT完全封杀。因此如何限制 BT对于正常业务的影响,成为了江西省政务信息网安全改造的重中之重。
不仅如此,由于江西政务信息网的复杂性与灵活性,许多地方有多出口,因此对于安全设备的网络特性要求非常高,安全产品必须支持动态路由、策略路由等高端网络特性。
SecPath带来网络安全新体验
针对江西政务信息网的实际情况,华为3Com公司为其提供了以SecPath 1800F防火墙为主的网络安全解决方案。
据华为3Com网络安全工程师介绍,SecPath 1800F防火墙是华为3Com公司开发的新一代基于网络处理器技术(NP)的硬件高速状态检测防火墙设备,可以作为大型网络的出口防火墙,也可以作为大型网络的内部骨干防火墙。支持外部攻击防范、内网安全、流量监控等功能,能够有效地保证网络的安全;采用ASPF状态检测技术,可对连接状态过程和异常命令进行检测;对于各种P2P应用可以通过应用层来做限制;提供多种智能分析和管理手段,支持多种日志,提供多种网络安全管理手段;支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP VPN、IPSec VPN等;支持RIP/OSPF/BGP/路由策略/路由迭代及策略路由。
改造后的江西政务信息网络拓扑如下图所示:
在政务网省中心,为了提高网络的可靠性,避免单点故障,采用双机热备份方式,同时配置了两台SecPath 1800F防火墙。当一台防火墙出现故障的时候,另外一台可以快速的接管全部的网络连接状态信息,保障网络连接的通畅。
对于BT应用则采用疏导的方式,在所有防火墙上均配置相应的限流规则,将BT下载的速度控制在一定范围内。这样,既能保证可以继续使用BT,同时也不会因为BT造成网络拥塞而影响正常业务。
同时,针对省中心与部分地市多出口的情况,利用SecPath 1800F防火墙强大的路由功能以及支持策略路由与策略NAT功能,可以在SecPath 1800F上配置策略路由,同时支持多出口。并且当其中一个ISP服务商的线路出现问题,可以立即切换到另一条线路上,保证网络的不间断性,实现ISP线路的备份。
应用见证实力
现在SecPath 1800F防火墙的品质和功能已经获得了客户的认可。“华为3Com的SecPath 1800F系列产品不仅弥补了我们原有网络系统的缺憾,增强了网络安全性,而且还增加了许多意想不到的新功能。无论从稳定性、可靠性,还是安全性方面,华为3Com都做得很扎实。”江西政务信息网有关人士如此评价。
作为一家基于IP网络技术的全业务解决方案提供商,华为3Com一直保持快速、稳健的发展,特别是在网络安全等IP网络新兴领域取得了突破性进展。公司不仅提出了安全渗透网络(SPN)的全新网络安全理念,同时也形成包括端点准入防御解决方案(EAD)、TippingPoint IPS系列产品、SecPath系列防火墙和VPN网关、SecEngine系列IDS等全系列网络安全产品。
“在我们的观念中,安全不再是叠加在网络上的局部功能,而是渗透于网络之中的基因。安全渗透网络要求网络必须满足从端点开始进行行为的管理,网络深入到应用和业务内容进行保护,基础安全特性成为网络的一部分这三大要求。相应的,华为3Com安全渗透网络由三个功能模块组成,分别是用户层上以 EAD(端点准入防御)为基础的端点安全模块;应用层上以IPS为依托的威胁抵御模块;以及网络层上的基础安全模块。”华为3Com安全产品经理介绍到。
2005年,在中国计算机用户杂志举办的成立20周年读者调查评选中,华为3Com的安全渗透网络解决方案获得“英华奖”,成为业内为数不多的解决方案获奖者。
如今,华为3Com的安全产品和解决方案早已广泛应用于国家环保总局、江苏地税、云南交通厅、广东电力等单位,在政府、金融、电力、大企业等众多领域获得了用户的普遍好评。