行业背景
国家广播电视是隶属国务院直接管理的政府机构,主要职责是组织推进广播电影电视领域的公共服务,制订广播电影电视事业、产业发展规划,指导、协调广播电影电视事业、产业发展,拟订广播电影电视宣传、创作的方针政策,把握正确的舆论导向和创作导向等。
该行业相关机构包括:国家广播电视局、国家广电总局内设的宣传管理司、电影管理局、电视剧管理司、传媒机构管理司等部门,全国各省设立广电分局,以及中央人民广播电台、中央电视台等直属单位。
用户需求
国家广电某局是隶属国家广播电视总局的直属事业单位,内部已经进行了信息化建设。建立了内部网络、各种服务系统,并实现电子化办公。
国家广电某局网络结构分为内网和外网,其内网20个用户,10M出口带宽,并且实现了对Internet完全隔离;外网约50个用户,2M出口带宽,通过电信运营商连接到Internet。
本次安全建设的重点是外网网络,由于外网连接Internet,相对来说安全问题比较严重,这既有病毒和网络攻击的问题,也会有木马和泄密的威胁。更重要的是作为广播电视局,其最重要的业务是视频,这是工作的一部分,而部分员工自己在工作之余下载等行为,会影响正常工作带宽。因此除了威胁之外,上网行为管理也是本次安全建设的一个重点。
因此该局信息主管希望在外网出口设置一体化安全网关,做外网的上网行为管理和安全防护,具体来说,有如下要求:
1.基本防火墙功能,做好网络各个部分的访问控制和安全隔离;
2.在网关出运行防病毒功能,配合主机防毒,共同完成对病毒木马发防护;
3.是为了解决员工P2P下载/IM聊天工具的控制问题,并且能够对种类繁多P2P/IM软件和协议都有识别、阻断或者限流的能力;
4.希望网关能做IP/MAC绑定,出了问题也便于定位,这样会更有效的做好内部管理,另一方面也可以解决ARP欺骗等问题;
5.网关转发处理性能较强。由于防病毒、P2P检测等工作都是对网络流量的七层进行深度分析和检测,对网关性能影响比较大,因此需要网关有较强的处理性能。
网络中的应用
绿盟科技采用ICEYE-SG-305,部署在国家广电某局外网出口,SG主要启动的功能为三层路由转发、访问控制、NAT地址转换、基本上网管理(主要是P2P视频和下载的控制)、病毒防护功能,具体配置和部署如下图: