用户现状及存在问题
● 基金行业使用多运营商提供的链路,但不能对多链路进行有效化的智能化管理;
● 不同运营商链路互联互通问题、使最终客户访问网上交易平台和门户网站时响应缓慢;
● 网上交易平台和门户网站都使用多台服务器,不能对多台服务器进行有效的流量管理;
● 大量垃圾邮件的不断涌入企业邮件系统,严重影响了企业的日常运转;
● 不能对WEB浏览内容安全进行控制,导致IT维护量大、生产效率低和企业法律风险大。
需求描述
为了适应新的业务发展需求, 解决原有网络潜在的问题,具体需求如下:
● 多链路负载均衡为了保证出口链路的高可用性和访问效率,计划拥有多条ISP接入线路。多链路负载均衡设备能够提供独具特色的解决方案,不但能够充分利用多条链路(双向流量按照预设的算法分担到不同的链路上,发生链路不通的情况下,能够无缝切换到可用链路上);而且可以根据对不同链路的侦测结果,将最快速的链路提供给外部用户进行响应,从而解决目前广泛存在的多个ISP之间的互联互通问题。
● 应用服务器负载均衡通过负载均衡设备,使访问应用服务器的流量得以合理分配,同时保证服务器发生故障时可以进行无缝切换,提升应用服务器的可用性和可靠性。
● 对员工访问WEB进行有效控制,对不合适的访问内容进行限制或禁止,同时需要对企业访问互联网进行加速。
● 针对垃圾邮件肆虐并严重干扰人员工作、甚至造成严重损失的现状,需要考虑对垃圾邮件过滤和防御,防范垃圾邮件的技术需要有较高性能,在防范垃圾邮件的同时也需要防范病毒邮件对邮件系统的影响。
解决方案
1、方案设计拓朴图
基金行业系统安全整体设计方案
2、方案描述
整体安全解决方案具备很强的安全和可靠性:
● F5主备系统是唯一可以提供毫秒级切换的解决方案;
● Blue Coat可以支持bypass功能,当发生硬件故障时两块物理网卡可以直通;
● IronPort 的AsyncOS?专为邮件设计的高可用性操作系统。可以最高支持单台10000个并发连接,极大保证的邮件传递的安全和速度。
● 在Internet出口布署——主备F5 LC 6400,可全面监控和检测两个运营商的6条链路,对多条链路进行智能化的管理和流量分配,保证有5条链路以下发生故障时的无缝切换,同时可测试哪条链路可以为用户提供最佳服务,然后将该用户引导至此链路,从而解决目前广泛存在的多个ISP之间的互联互通问题,确保他们能得到最快服务及最高质量的连接。
通过Blue Coat SG代理服务器加快使用internet的响应,可提供更快的Web页面传递速度, Blue Coat布署在网关处,Blue Coat设备可以了解到用户如何使用公司提供的网络资源的,Blue Coat可集成的内容过滤产品,通过限制用户访问不合适的内容,并强制执行企业互联网访问策略,以使网络资源应用在和业务相关的工作上,防止影响生产力或给企业带来法律责任的滥用网络的情况发生。
在交易服务器和门户网站服务器前端分别布署主备的F5 LTM,可以保证客户的请求被均衡的分配到不同的能正常提供服务的服务器上。同时可以通过F5 灵活的扩展方式对服务器进行SSL 压缩和加速,真正保证重要的服务器资料安全、快速和高可用。IronPort邮件安全网关邮件服务器位于相同的网络中,采用的旁路连接方式,对现有的网络结构没有影响,IronPort使用SenderBase 名誉得分过滤、深层内容过滤和基于上下文分析三大技术防止垃圾邮件,IronPort全球独有的病毒爆发预防技术,可以第一时间防止大规模的新病毒爆发, 从而保证客户邮件系统的安全。
3、方案特点:
F5是应用交付网络(ADN)的领军厂商,F5应用交付架构是专门为优化业务信息与使用者之间的连接而设计的架构式方法从而实现最佳的用户体验——快速,高可用,安全。
Blue Coat Systems是业界唯一一家完全致力于提供全面的、安全的互联网访问控制和安全保护解决方案的公司。Blue Coat Systems产品能够为用户提供一个灵活的、可扩展的平台,而且便于安装、配置和维护。Blue Coat专用设备提供的强大的互联网访问代理功能、缓存功能、策略控制功能,能最佳满足客户对上网安全和速度的双重需要。
IronPort公司是全球邮件安全网关的技术领先者,IronPort SystemAsyncOS是一个全新的软件架构,专门为解决并行通讯的瓶颈和档案队列的限制而开发,AsyncOS的高并行线程模式能智能的分配系统资源以应付因特网通信的瓶颈问题。 IronPort在垃圾邮件和病毒的防护领域,具有极大的领先技术优势,IronPort拥有世界上最高性能的网关平台和最有效的两层垃圾控制技术,为流出和流入的邮件提供强大的动力和保护。
方案实施效果
通过Blue Coat领先的缓存专用设备改善互联网访问性能,对企业内所有用户浏览互联网的行为进行管理和控制,消除了大部分互联网带来的内网安全隐患并减轻了内网维护的工作量,极大的保证了内网用户使用Internet的速度和安全的双重需要;IronPort反垃圾邮件使垃圾邮件的被阻断率大大超过了预期,同时大大便捷了管理人员的工作;F5本地流量管理和F5链路控制器极大提高了基金核心交易平台和门户网站的安全、快速和高可用性。该方案在保卫基金信息安全的同时,给如火如荼的基金市场带来了一剂强心剂!