资源描述
07年8月
Juniper网络公司
中国市场行业解决方案和成功案例汇编
目录
电力行业
方案:
与时俱变,以保持续运营
—-电网公司防火墙系统解决方案。
“工欲善其事,必先利于器”
——电网公司SSL VPN 系统解决方案
案例:
Juniper 为中国华电搭建立体安全防御网络 .
Juniper 巩固北京电力Intranet 网络安全性. 。
Juniper IDP 赋予天津电力网络主动防御性 。
Juniper 成就内蒙古电力网络平台信息安全 。
Juniper 路由器助力华北电网现代化建设 。
金融行业
方案:
银行系统ATM 机接入解决方案
金融行业内网及应用安全解决方案
金融行业移动办公解决方案
Juniper ATM 自助服务终端无线DDN 安全接入解决方案
案例:
Juniper WXC 加速技术助力某银行应用系统
Juniper 防火墙担当某保险公司的矛与盾
教育行业
方案:
教育科研网解决方案
高校校园网IP-lab解决方案
校园网边界解决方案
校园网核心网络解决方案
校园网远程接入SSL VPN解决方案
案例:
高性能低投资Juniper搭建高校IP-lab教学平台
Juniper力助对外经贸大学打破校园网壁垒
能源行业
方案:
某石油公司网络系统防火墙部署方案
案例:
Juniper 安全设备助大庆油田多点安全集中管理
Juniper 保证了五矿网络不间断运行能力
Juniper 助平煤集团复杂网络安全稳定运行
电信行业
方案:
Juniper UAC 在ISP DCN 网络中实现MPLS/IPSec VPN 可控互访
Juniper 应用加速技术助力数据中心整合
运营商安全域与边界整合安全解决方案
案例:
广东移动局域网接入认证案例介绍
其他
方案:
跨国公司及大型企业站点式IPSec VPN 一体化安全通信实施建议
中小型企业IPSec VPN 一体化安全通信解决方案
零售及物流行业一体化安全通信解决方案
案例:
Juniper SSL VPN 技术成为东软集团持续发展的基石
电力行业
与时俱变,以保持续运营
——某电网公司防火墙系统解决方案
就目前电力行业用户而言,电网和电厂无疑是电力行业用户的核心.而二者之间的信息沟通不可或缺。自从电力行业组织机构重组和区域重新划分之后,厂网拆分以及三网融合、数据大集中等多种IT应用出现,不仅要求电厂、电网用户内部网络的互联互通,还要求二者要开放更多的外接网络端口。
电网用户更是如此。“售电”是电网用户的主要业务之一,除ERP、OA、CRM 等内部应用之外,还需开展电力营销、网上客服等新业务。新业务的开展又让电网公司必需与银行等第三方服务机构发生业务关系,电网公司网络也需向其提供外接网络端口。
电力行业网络端口开放使该行业的信息安全问题由原来仅限于内部事件,转变为现在来自外界的攻击将越来越多,原有网络安全设计很难满足这种变化。众所周知,电力行业是一个关系到国计民生的行业,其行业最大的特点是不容中断,即便是5 个“9”(99.999%)的安全系数保证也有可能造成极为恶劣的负面影响。
根据安全域部署防火墙
根据Juniper 对实际需求的分析并结合国调对二次系统的相关建设要求,将某电网公司信息系统划分为以下几个大的网络安全域:IDC 核心区、办公区、广域网接入区、Intranet DMZ 区(即外网部分,含Internet DMZ 区)和Internet 区等5 个安全域.
同时,通过对安全域的进一步细分,可以将上述安全域进一步细分为管理安全域、服务器群安全域、关键办公(人事、财务、领导部门)安全域、普通办公安全域、广域网接入安全域、Intranet DMZ 服务安全域、拨号网接入安全域、Extranet 接入安全域、Internet 接入安全域等。
在本方案中,主安全域的划分主要通过防火墙及入侵检测防御系统(IDP)实现。通过其它安全系统进行安全配套。考虑到IDC 核心区及办公区网络系统在整个某电力信息系统中的核心地位,因此将原单机单网的核心网络交换机升级成为双机双网结构,通过双网双机的备份提高系统的性能及可靠性。局域网办公区和IDC核心区通过楼层/汇聚交换机接入核心交换。鉴于IDC核心区的安全性要求极高,数据核心交换机也将配置为双交换机模式。
某电网总公司安全域的逻辑细分图如下图所示:
Juniper 提供的方案中采用了千兆防火墙系列产品:ISG 1000、ISG 2000与Netscreen-5200。 ISG 1000/2000 是代表着全球最先进防火墙技术的产品,最有价值的优势在于其卓越的实际环境性能、稳定性和与IDP 硬件集成的特性,Netscreen-5200 是业界最高容量的防火墙,并可支持万兆以太网接口。ISG 1000/ 2000、Netscreen-5200 能全面适应某电网安全发展的需要。该系列防火墙拥有高性能的真正的ASIC 硬件平台、ScreenOS 安全操作系统、 Security Manager 集中管理工具、齐全的高密端口布局,体现了软硬兼顾、内外统一、应用灵活、集中管理等多种设计优点。
本规划书中Juniper采用防火墙系统来对企业网络的所有不同安全域互联接口进行安全控制,包括Internet 进出口控制、内网外网接口控制、广域网进出口控制及IDC 进出口控制。
总公司防火墙系统部署图如下图所示:
FW1/2:Juniper ISG 1000
FW3/4:Juniper ISG 2000
FW1:Juniper ISG 1000
FW2:Juniper ISG 2000
防火墙高可用性设计
由于某电网公司的核心业务服务器、数据库服务器及所有的核心数据存储都位于IDC核心数据区,因此IDC数据核心网络是否能安全可靠运行关系到整个企业信息系统的安全性和稳定性。作为网络系统的重要组成部分之一,IDC核心数据区防火墙系统的可用性也将直接影响着整个IDC 核心数据区的可用性。Juniper 建议IDC 区防火墙系统与其核心交换机系统一样采用双机方式运行。同时为了进一步充分发挥防火墙设备的高性能,Juniper 建议该双机系统以并行方式运行,这样1+1=2 充分发挥双机的性能。真正意义上做到高可靠性和高性能兼得的双机运行。
以冗余对方式部署时,操作系统可以在冗余系统之间自动映射配置,以提供工作防火墙和VPN 会话的维护功能。这些设备可以使静态信息(如配置)和动态实时信息同步。因此在故障切换同步期间可以共享以下信息:连接/ 会话状态信息、IPSec 安全性关联、NAT 流量、地址簿信息以及配置变化等。
防火墙双机解决方案所采用的先进故障切换算法可提供网络流量重新路由,以免在出现设备故障的情况下发生连接中断。在进行故障切换时,备份设备已经包含有必要的网络配置信息、会话状态信息和安全关联,因此可以在一秒种之内完成切换,继续处理现有流量。利用内置的故障切换协议和动态路由功能,企业可以在全网状网络环境或负载分担环境中部署防火墙双机系统.
防火墙系统的双机工作方式可以提供多种配置选项,包括:主动/ 被动方式及主动/ 主动方式。
■主动/ 被动:一台设备作为主要设备,而另一台设备用作其备份.主设备向备份设备发送它的所有网络和配置设置以及当前的会话信息。如果主设备出现故障,备份设备就升级为主设备并继续进行流量处理。(如下图)
■主动/ 主动:两台设备都配置为主动,通过负载分担机制来分担分配给它们的流量。每一台设备约处理50% 的网络和VPN流量。如果一台设备出现故障,那么另一台设备就成为主设备并处理所有流量。(如下图)
■主动/ 主动全网状:两台设备都配置为主动,网络和VPN 流量同时通过两台设备。如果一台设备出现故障,那么另一台设备就成为主设备并继续处理所有流量。在全网状模式下,必须进行吞吐量调整以确保在出现故障切换时设备性能不会受到影响.(如右图)
为了实现最高的可用性并确保两个设备的同步,高端的防火墙安全产品一般都有一对专用的高可用性接口。如果到一个接口的连接由于某种原因而丢失,同步信息就会通过另一个接口传输.
■心跳信息丢失
■任何接口上的链路丢失
■无法接入配置的IP 地址或一组监控的IP 地址
在本项目中Juniper 采用主动/ 被动方式完成IDC 隔离防火墙及内外网隔离防火墙的高可用设计.后期随着系统安全可靠性要求进一步提升,及信息中心技术人员技术的提升,Juniper 建议将该防火墙双机系统的连接方式升级为Full Mesh 方式.进行从设备到链路的全备份。
安全多样性导致UTM 使用
项目完成之后,经过了一段时间的实际使用,解决了用户对网络安全的需求.然而随着时间的推移,用户发现网络安全出现了新问题:网络遭受的攻击已经不是过去病毒或者是黑客单纯性攻击威胁,信息安全日益成为发展成为多种安全威胁混合性攻击.
实际上,并不是只有该电网公司遇到这类网络安全问题。电网公司用户遇到的信息安全威胁具有一定的代表性。据Juniper 网络公司发起的一项调查研究显示,在接受调研的中国企业中有63% 在去年受到了病毒或蠕虫攻击,而41% 的公司受到了间谍软件和恶意软件的攻击。预计针对中国企业网的攻击在近期将不会减弱。超过半数的被调查者都认为今年会有更多的病毒和蠕虫攻击。中国网络在去年遭受到的混合性网络威胁攻击中,病毒和蠕虫攻击占63%;间谍软件和恶意软件攻击占41%;非预谋内部攻击占29%黑客攻击占14%;拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击占13%。
安全领域的专家一致认为:网络安全需要一个多层次的防护.为应对复杂且随时都有可能发生的攻击,企业不得不需要布置层次化的安全产品系列。真的如此吗?
并非如此。随着信息安全防护技术的发展,市场上出现了统一威胁管理(UTM,United Threat Management)技术。UTM 是将企业防火墙、入侵检测和防御以及防病毒结合于一体的设备。因此很多像该电网公司一样的企业都计划把更多的投资花费在入侵检测和防护(IDP)等能够抵御混合性威胁的设备上。
一体化防护才可确保安全
目前解决信息安全威胁问题绝不是处理好防毒、防黑即可确保网络无恙这么简单,而是需要一体化防护手段.
在安全技术体系上一体化信息安全技术模型主要包括:系统安全平台、应用安全平台和综合安全管理平台三个层面,通过三个层面平台的一体化部署及它们之间的相互支撑和配合充分地实现信息安全系统的P2DR2 功能需求,即:Policy (策略)、Protection (防护)、Detection (检测)、Response (响应)和Recovery (恢复)五个方面的安全需求。
系统安全平台:主要是指在安全域及深入防御思想的指导下,信息系统平台自身的安全加固及多安全域的配套安全设施强化。主要包括网络系统、主机系统及平台系统等系统自身的安全及安全加固(如用户弱口令强化、非使用网络服务关闭及系统升级打补丁等);安全域的划分及安全强化设施(如防火墙、防病毒、入侵监测、漏洞扫描、物理隔离等)的合理部署。
应用安全平台:主要完成网络资源的身份管理、身份验证及网络应用资源的接入控制。网络应用的集中登陆,集中接入控制。具体技术设施包括门户系统(Portal)、身份管理系统(IM)、接入控制系统(AM)、证书系统(PKI)等。
安全管理平台:安全管理平台是安全技术体系的核心组成部分。是企业的安全管理中心(SMC)的重要支撑。主要完成安全系统的策略设置、安全事件监控及响应、安全审计、风险分析和决策支持.
Juniper 根据其一体化防护思路指导下推出了UTM 设备——集高级安全与全路由于一体的新一代安全多业务网关500(SSG 500)系列。该系列产品集成Juniper广受赞誉与认可的高性能VPN/安全与电信级路由技术于一体。各个产品型号完全是针对中型企业、大型企业分支机构、中小型企业等不同安全需求量身定制的。
值得注意的是,SSG产品应用范围广泛——可以防范网络及应用层的攻击,支持当前及未来的网络联接技术方案;在局域网安全基础上,还支持分支机构到总部的网络连接性能。
用户可将其作为网络安全设备使用:作为防火墙可为中型/ 中大型企业提供高级别的安全网网络能力;其VPN 功能,为客户提供高速WAN 提供高性能安全联网。
与其它信息安全设备提供商的产品相比,SSG产品系列不仅是用户的UTM 设备的理想选择,用户还可以将SSG 作为安全路由器使用。作为安全路由器,SSG产品除了安全以外,同时还能替代传统路由器,为企业提供安全与路由的一站式方案.考虑到用户网络应用的实际需求,对于超大规模网络用户,Juniper 建议用户还是应将路由和安全设备不要集成使用.
SSG 500系列产品内置深度检测等内容安全级的IPS功能,对网络进行由表及里的全方位防护,将主流网络安全设备的定义由FW/VPN集成推进到FW/VPN/IPS集成时代;配备ScreenOS,支持深度检测、状态检测等集成化入侵检测等内容级的高级安全特性;内置Web 过滤、防病毒、防圾邮件、防网络欺诈等新一代安全功能;实现网络安全与企业级路由功能一体化,简化网络设计,消除网络瓶颈,提高网络安全通信的效能;基于JUNOS 的完整的路由能力,支持RIP1/2、OSPF、BGP 等路由协议;支持FR/MLFR/FRPPP/MLPPP/HDLC 等多类型主流广域网联接;支持多类型高低速广域网接口,高至千兆以太网,低至64K专线/ ISDN 等;模块化、高性能、全千兆联网,性价比业界无与伦比;防火墙性能最高达1 Gbps,IPSec VPN 性能达500 Mbps;内置4 ×GE 端口,配有6 个I/O 接口模块;配备直流电源选项,配备电信机房要求的设备附件选项。
由于Juniper 网络公司原有防火墙均会被升级,使其具有UTM 功能。目前,该电网公司已经开始对原有网络安全设备进行改造——开始部署SSG 设备.
“工欲善其事,必先利于器"
—-某电网公司SSL VPN 系统解决方案
近年来电力行业完成了组织机构重组和区域重新划分之后,此行业的经营模式则逐步转向厂网分开、竞价上网的方式。经营模式的改变意味着电力行业原有IT系统也将随之改变蜒由封闭转向有限性开放。电力行业信息系统一直以来处于相对封闭环境,正是由于电力厂网拆分,致使原有一个系统成为了两个系统,每个系统都需为对方开放端口。
电力营销、网上客服、三网融合、数据大集中应用、内部各系统间的互联互通等需求让电厂、电网网络将进一步开放;同时电力行业也加强与金融等第三方服务机构的合作。这些均需要电力行业信息网络进一步增加其外接网络端口数量。
如此众多的外接端口数量,没有强力的安全技术支撑,不能从根本上保证用户数据远程传输的安全性。
与此同时,国家要求电力行业进一步增强盈利能力。因此电力企业尤其是电网企业,为其销售方便设立了多个分公司和办事处;为实现人、财、物等信息流在企业的顺畅流转,纷纷采用ERP和OA 办公系统等多种IT 手段,以降低运营成本提升自身的竞争能力.某电网公司SSL VPN 系统使用就极具代表性.
具体需求
某电网公司现已建立OA 办公系统、内部门户网站、内部邮件系统、ERP系统和联网财务结算等应用系统.网络中心与总部的各个网络节点之间采用了千兆连接技术,以确保数据、信息的高质量传输。另外,内部网络则通过100M 光纤专线,接入互联网。但在总部与各个分支机构之间,如果继续像过去那样采用电信的专线组网方式,那么费用将会非常昂贵,会给企业带来沉重的负担.相比之下,基于VPN(虚拟专用网)的联网方式为其提供了一种经济的手段,它具有不受地域限制、安全性高、费用低廉、设置简便等特点,非常适合现代企业的远程接入和移动办公的需要。这样,不仅分支机构的员工能够使用与总部员工相同的网络应用和服务,而且员工还可以在外出途中或者家中,借助互联网接入到公司内部网络,真正地建立起“移动办公室”或者“家庭办公室”。另外,由于电力系统信息安全问题威胁到电力系统的安全、稳定、优质的运行,影响着数字电力系统信息化的实现。因此,在帮助分支机构或者移动用户方便、快捷地接入公司内部网络的同时,还必须保证数据在互联网上传输的安全性问题。
综合上述因素,某电网公司对所要选择的远程接入系统提出了下列要求:
■方便性:因为各个分支机构和移动用户所使用的上网方式和系统配置各不相同,所以该系统应当能够实现免客户端的连接方式,减轻用户和总部管理人员的工作负担。
■安全性:确保在网络传输数据的安全性,数据通过高强度的加密算法进行底层传输,执行严格的权限管理.这不仅要求对数据进行高强度的加密,还需要利用精确的身份验证、权限管理机制,识别接入用户的身份,授予符合其职能的访问权限。
■稳定性:要求远程接入系统能够长期稳定、高效地运行,并通过故障恢复机制,在不影响业务正常运转的情况下修复故障、制止攻击和升级软硬件。
■扩展性:随着业务规模的增长和用户分布范围的扩大,接入系统应当能够不断地进行扩展,提供方便的扩展接口和充足的扩展空间,以适应业务环境的不断变化。
■兼容性:由于网络应用的种类日益增多和功能的复杂化,接入系统应当具有对不同应用的兼容性,支持Web 方式、客户端/ 服务器、分布式计算等不同的体系结构。
方案建议
经过综合比较和筛选,以Juniper Secure Access 4000(SA 4000)产品为核心的Juniper SSL VPN 解决方案综合评分最高.某电网公司最后选择Juniper 是因为该方案不仅满足了该公司提出了各项技术要求,而且具有便于部署、总拥有成本低等优点,最终得到了公司上下的一致认可和高度评价。Juniper建议在某电网公司实施的SSL VPN安全接入的网络拓扑图如下:
技术特点
■方便易用,用户只需使用标准的Web 浏览器
Juniper Secure Access 4000 (SA 4000)是一款在业界广受好评的SSL VPN 产品,采用Instant Virtual Extranet(IVE)系统平台.因为该产品将标准Web 浏览器内置的SSL 作为加密传输机制,所以用户只需要使用标准的Web 浏览器,就可以迅速地建立SSL VPN 连接,而不需要安装任何额外的软件或者硬件.
■ 用户界面可以定制,只需单次登陆
Juniper SA 4000 支持为不同类别的用户定制不同的登陆界面,让用户可以更加迅速地找到自己最感兴趣的功能。此外,还支持一次登录访问多个需认证的应用的功能,使得用户只需要单次登陆,就能够使用各种不同的安全应用。
■支持多种基于TCP/IP 的应用和网络连接方式
广泛的应用支持是Juniper SSL VPN 解决方案的另一特色。除了对Web和Email等应用的支持外,SA 4000还为许多客户端/ 服务器应用提供了透明支持.
■ 对用户权限进行安全认证
Juniper Netscreen IVE 系统支持多种接入安全措施,包括动态认证策略,角色定义和策略匹配,以及资源访问策略等。管理员可以通过多种标准对用户身份进行认证。管理员还可以定义用户属于一个或多个角色,对不同角色提供不同的访问权限。对属于多个角色的用户可以一次性地给该用户多个角色的总和,也可以让用户选择采用某个角色进行应用访问。
■ 数据传输的安全性
Juniper SSL VPN解决方案采用SSL协议加密建立安全的专用通道,使用1024 位密钥进行身份认证过程的加密,并使用128位算法保护数据传输的安全。而且,所有存储在设备上的数据使用AES进行加密,只有系统软件可以读取存储的加密数据。因此,如果用户和管理员没有系统级账号,就不能替换任意的可执行文件。这样,黑客就无法针对系统进行攻击.
■ 性能强大,便于扩展
Juniper SA 4000 可以同时支持数百个用户,最多可扩展至1000 个并发用户,完全能满足某电网公司的负载要求。在需要进行网络扩容时,该公司只需要在总部升级硬件和软件,而不需要对客户端进行任何改动,大大加快了扩展速度。
■ 具有故障恢复能力,确保高可用性
为了防止因为单机、单点故障导致远程访问中断,Juniper SA 4000 支持高可用性功能.当主IVE 设备出现故障(包括网络故障和主机故障),备用IVE 设备就会自动切换为主设备,接替原有设备的工作,这样已有的用户连接不会中断.
■ 全面的服务和支持
Juniper 网络公司提供了一系列全面、灵活、领先的技术支持、专业服务和培训课程.Juniper 网络公司的专业服务部由很多具有丰富经验的顾问和专家组成,在帮助客户评估网络安全漏洞、制定解决方案和提升网络性能方面都拥有业界领先的专业水平。
实施效果
某电网公司在采用Juniper SSL VPN解决方案之后,建立起了现代化的网络系统管理系统和全面的远程接入服务。该公司的网络业务负责人某表示:“在使用了Juniper的产品之后,我们的员工都能够比以前更加方便地使用内部网络的各项应用和服务,而且我们有效地解决了网络攻击和数据安全问题。今后,我们打算将该解决方案推广到更多的分支机构和合作伙伴,进一步提高我们的信息化水平。“
Juniper 为中国华电搭建立体安全防御网络
“在Web Portal前部署了一组Cluster结构的DX3600,可有效减轻服务器负载50%,将服务器容量(可承受的并发用户访问数)提高了10 倍,结合数据压缩功能和Catche,将用户访问Web 的速度提高了70%,提供了7 层负载均衡功能,省去了今后服务器群扩展时需要购买额外的负载均衡交换机的投资,并提供了基于HTTP的网站安全保护功能。Juniper DX应用加速平台可将核心联网和I/O任务从Web和应用服务器上卸载下来,以提高Web 应用的性能;结合了关键安全功能,在易用管理的灵活产品中提供前所未有的Web 性能和应用可用性,是新型数据中心公认的基石产品。”
中国华电集团公司(简称“中国华电")是经国务院同意进行国家授权投资的机构和国家控股公司的试点,主要从事电源、煤炭及与电力相关产业的开发、投资、建设、经营和管理,组织电力(热力)生产和销售;从事新能源、科技开发,国内外工程建设、承包与监理,设备制造;从事国内外投融资业务,自主开展外贸流通经营、国际合作等业务以及国家批准或允许的其他业务.
保证安全的同时,给路由器设备减负
由于中国华电的公司规模庞大,其财务网络系统需要经常性与外部网进行互连互通.财务网络系统重要性对于一个企业而言无需多讲,进一步加强财务网络系统与外联网之间安全控制和保护措施势在必行.
中国华电网络系统针对上述需求曾采用在路由器上设置ACL 安全策略的方法。但在运行过程中发现,这种方法并不十分理想,所达到的安全性与用户的实际需求有一定的差距。而且这种安全策略将消耗路由器的系统资源,影响路由器的性能。
由于外联单位与内部网络地址重叠问题严重,导致中国华电财务网络系统不能完全与外部网络实现通畅连接。为了解决此问题,Juniper 网络SSG 550 系列产品,将高性能、安全性和局域网/ 中国华电在路由器上开启了NAT 功能。虽然在一定程度上解决广域网连接完美地组合起来;可提供一套全面的统一威胁管理了网络地址重叠问题,但这种方法也严重影响了路由器的性能。
由于业务需要,中国华电内部员工需要有方便安全的移动办公环境。公司要求未来的网络可以支持公司客户通过互联网,基于数字证书认证技术对华电网络系统进行远程接入访问;同时,还要根据登录客户权限不同,安全地访问相关数据。
中国华电内部Web Portal网站担负全集团公司的内部资源访问.由于该网站目前面临着负载过重的问题,导致访问速度慢;目前Web Portal 网站没有部署针对攻击的保护系统。Web Portal 网站的性能与提高安全性亟待提升。
构建立体安全防护网络
Juniper 仔细分析了中国华电网络实际需求特征,提出了构建立体安全防护网络的解决方案。
为解决财务部门网络外联时,安全性以及网络地址重复问题,Ju-niper 在两个外联单位边界部署了两组SSG 550 Cluster,提供对华电集团财务网络的从网络层到应用层的全面安全保护,并在SSG 550上进行设置直接支持NAT功能,通过SSG高性能的NAT 处理,提升了网络性能。
华电立体安全防护网络
Juniper 网络SSG 550 系列产品,将高性能、安全性和局域网/ 广域网连接完美地组合起来;可提供一套全面的统一威胁管理(UTM)安全特性,包括状态防火墙、IPSec VPN、IPS、防病毒(包括防间谍软件、防广告软件、防网页仿冒)、防垃圾邮件和Web 过滤等,可防止出入分支办事处的流量免遭蠕虫、间谍软件、特洛伊木马和恶意软件等安全攻击。SSG 550 可扩展的I/O 架构,除了提供无可匹敌的安全性之外,还可提供局域网和广域网连接选项,以降低成本并增强投资保护;可提供超过1Gbps的IMIX防火墙流量,500Mbps的IPSec VPN和500Mbps的IPS(深层检测)。
为实现内部员工方便安全的移动办公需求,Juniper 公司在互联网防火墙的DMZ 区部署了一组Cluster 架构的Secure Access 4000 (SA 4000)。通过SA4000 满足了公司客户基于数字证书的远程接入访问需求,由于支持单点登录(SSO)功能,可让客户只需要登陆一次即可免去后续烦琐的逐一登陆内部服务器工作。
基于获奖的IVE 平台的SA 4000 支持从单一平台安全接入LAN、内联网和外联网,并拥有高可用性及可扩展特性;可提供丰富的接入权限管理功能,可用于创建安全的客户/ 合作伙伴外联网或合作伙伴外联网,无需更改基础设施、无需部署DMZ、也无需安装软件代理。这项功能还使企业能够安全接入企业内联网,因此,不同员工和访问者可充分利用其所需的资源,同时遵守企业安全策略。如果环境需要,软件许可还能提供内建的能够对各种数据进行压缩的功能以提高性能,以及SSL 加速.
Juniper 巩固北京电力Intranet 网络安全性
“北京电力各下属企业部署SSG 520 防火墙(共32 台)同时作为路由器连接到北京电力总部,利用SSG 520强大的路由能力构成了新一代的企业Intranet 网。同时Intranet 各下属单位核心交换机通过Trunk 技术连接防火墙,实现局域网内VLAN 间的访问控制.
Juniper SSG 520 将各下属单位网络和北京电力总部网络有机集成起来,在路由和安全方面进行了很好的整合.通过统一的网络安全管理策略,制定了清晰的访问控制路径,使整个Intranet 网络建设趋于完善。”
北京电力公司是特大型电力企业,现有全民职工9439 人,以建设运营北京地区电网为核心业务,负责北京地区的电力供应、销售和输电、变电、配电设施的建设运行,为北京地区工农业生产、人民生活、市政建设等480 万电力客户提供优质、可靠、经济的电力能源服务,同时肩负着为党中央、国务院等上级机关安全供电和保证首都政治活动安全供电的任务.
找出传统网络安全管理的盲点
北京电力公司总部通过内部广域网连接下属30多个单位,Juniper 公司在分析完北京电力Intranet 网络架构和安全状况后认为,该公司原有的网络和安全方案存在某些盲点,需要梳理并优化内部网络结构、提高公司总部和下属单位网络访问的可控性,并采用VPN 技术加强关键业务信息的传输安全。Juniper SSG 520 和NS5000 防火墙帮助北京电力Intranet 网络日趋完善.
SSG 520 建立主动性联防机制
Juniper 的方案通过部署高性能的下一代智能安全网关,有效地满足北京电力下属企业在Intranet 路由和安全控制需求、关键业务数据加密传输需求(IPSEC)、LAN 访问控制需求以及应用层保护需求(IPS),简化网络结构,降低维护成本,提高网络的可用性.
Juniper公司将SSG 520作为北京电力内网的解决之道。SSG 520 是一种新型的专用安全设备,它将高性能、安全性和局域网/ 广域网连接完美地组合起来,它具备专用的安全处理硬件,提供全面的统一威胁管理(UTM)安全特性,包括状态防火墙、IPSec VPN、IPS、防病毒(包括防间谍软件、防广告软件、防网页仿冒)、防垃圾邮件和Web 过滤等,防止恶意流量在内部广域网上的扩散。
SSG 520 有超过1 Gbps 的IMIX 防火墙流量,500 Mbps 的IPSec VPN 和500 Mbps 的IPS(深层检测).它支持冗余电源,并兼容NEBS.
SSG 520还提供强劲的路由技术和丰富的广域网接口,可以作为传统的分支办事处路由器部署,也可部署成防火墙和路由的综合产品,以降低成本并优化网络结构,增强投资保护。
Juniper IDP 赋予天津电力网络主动防御性
“部署Juniper IDP之后,天津市电力公司除了达到预期目的之外,还有一些意外收获:
首先是时间成本人力成本大大降低。实施前,用户经常是有员工报告或查看日志文件时才发现服务器因安全导致的运行异常。IT 人员这时只能逐台确认哪台终端受到攻击。而现在,IT 人员借助IDP 极高的精确性和防护功能,短时内即可完成网络“清理”和恢复工作,IT 资源得到最有效的利用。
其次是有效防止内部威胁。今天企业中发生的大量攻击是来自于内部.而在网络中在这些资源前面的关键点上部署IDP 并进行集中管理,它将能够防止这些内部攻击,并确保重要企业资源的可用性。
最后,该公司还发现Juniper 网络解决方案的图形用户界面 (GUI) 非常直观且易于使用,IT工作人员可以迅速学会使用,并能迅速完成自己的工作,从而可以节约大量的运营成本."
天津市电力公司是国有大型企业,担负着整个天津地区电网规划建设和供电服务任务,供电面积1.19 万平方公里。截至2005 年底,公司资产总额达到207。43 亿元,年销售电量达到317.6 亿千瓦时,员工2 万余人,并建成了覆盖全市的天津电力客户服务中心和“95598”电话服务系统。
天津市电力公司是国有大型企业,担负着整个天津地区电网规划建设和供电服务任务,供电面积1。19 万平方公里。截至2005 年底,公司资产总额达到207。43 亿元,年销售电量达到317。6 亿千瓦时,员工2 万余人,并建成了覆盖全市的天津电力客户服务中心和“95598”电话服务系统。
传统安全方案防护乏力
随着电力调度业务、电力营销业务、电力市场业务等越来越广泛地开展,电力企业网和Internet 的联系密切起来,由此带来安全威胁相伴而来。天津电力虽已采用防火墙、防病毒和VPN 等传统安全防护措施来保护通信的安全,但这并不足以抵御手段高明且迅速蔓延的攻击,也不足以抵御因企业网络和应用中的漏洞带来的越来越多的安全威胁.其部署的入侵检测系统(IDS),只能以被动响应的模式来应对安全威胁。企业要安排大量的人力来分析悄然绕过安全措施的攻击事件,还要制定相应的补救措施,以防止遭受更大的损失。
Juniper 分析天津市电力公司的实际网络状况后认为,该公司原有安全解决方案所面临诸多问题:防火墙不能进行深层数据包检测;系统只能对被动地对攻击做出响应,缺乏主动预防手段;没有应用层威胁分析设备导致其安全策略无法制定;无法便捷地实时监控网络及应用以寻找其中的安全漏洞。这些问题不能有效抵御安全威胁,这也致使一旦遭受攻击,用户的补救措施将付出极高成本。
主动防护才能从容应对威胁
传统安全方案虽然为用户在一定程度上起到了安全防护作用,但这种作用均是用户遭受攻击后的亡羊补牢之举。而在安全攻击发生时,再迅速的反应都无济于事。
因此,Juniper 在了解了天津市电力公司现有问题之后,提出的方案建议其必须采取积极主动的措施来应对所有可能发生的入侵;不仅要能够检测已知和未知的攻击,还应建立完善的安全机制,以便在其业务受到影响之前主动地防护攻击。为了规避潜在网络威胁,保证其高效安全运行,应用层安全防护设备必不可少。
方案将Juniper 的入侵检测与防护产品(IDP)部署在Internet 出口处,可对通过企业互联网出口的恶意数据包及网络攻击进行检测并实施在线阻断。这一方案将保证公司业务系统安全高效的运行.IDP 系统弥补了IDS 的薄弱环节,可检测、抵御攻击,避免损失,并可在进一步分析数据包合法性之前“丢弃"或临时隔离可疑数据包,积极地响应实时的攻击。
Juniper的IDP产品提供简便易用的全面防护功能,能够抵御各种已知和未知的应用层及网络层威胁。通过业界公认的状态检测与防护技术,此产品可提供“零日”防护,以防止蠕虫、特洛伊木马、间谍软件、键盘记录及其他恶意软件侵入用户网络,同时防止已被感染的用户继续感染其他用户。当以串联方式部署时,Juniper IDP产品可在网络层和应用层攻击产生任何损害前有效识别并终止它们,从而最大限度地减少与入侵相关的时间和成本。
Juniper IDP 不仅可以保护网络免遭攻击,还能提供在管理员不知情的情况下擅自添加到网络中的流氓服务器和应用的相关信息;让管理员可以察看网络中正在使用哪些特定应用和资产,从而了解这些应用和资产在何时被何人以何种方式使用.管理员可通过Juniper 的IDP 设备执行其应用使用策略,或者只检查其网络和资源的使用现状是否满足其所期望的应用策略要求.基于规则的集中管理方法能够细粒度地控制系统行为、便捷接入大量日志记录,并可全面定制报告。同时为避免IDS 的误报缺陷,IDP 配置了更为完善的定义和分析功能,以了解构成攻击的因素.
Juniper 成就内蒙古电力网络平台信息安全
“内蒙古电力信息网络为宽带IP 网络,广域网络带宽达到622M,本次选用防火墙主要部署在公司数据中心以及信息广域入口,因此对防火墙的性能有很高的要求,经过测试我们认为Juniper 的防火墙性能指标优异,能够满足我公司高带宽大数据量吞吐的要求,同时集成了IDP的功能,可以免去将来再部署专门IDP 设备带来的网络结构复杂,可靠性降低的缺点,因此我们选择了Juniper 防火墙设备。”
(内蒙古电力信息通信中心副主任姚强)
内蒙古电力是内蒙古自治区唯一独资大型电力企业,资产总额200 亿元,所属单位48 个,员工25000 人。内蒙古电力的信息化建设在全国电力系统中一直处于领先地位,目前已建起覆盖蒙西地区六大供电企业及相关单位的宽带IP数据广域网.该网络以省公司信息中心、包头为核心节点,其他单位就近接入核心节点,主干带宽为622M,二级节点到主干带宽为155M,并采用千兆网络来构建城域网。
从新划分安全区域设置防火墙
为了加强并巩固广域网的信息安全,Juniper 公司对内蒙古电力公司数据中心网络平台的可靠运行进行了全面评测,并进一步分析出存在的安全隐患。
首先,数据中心平台需要根据网络范围和业务类型划分安全区域,并根据安全区域的风险大小定义安全区域的风险等级,以便于根据业务访问路径严格定义网络访问规则,完善网络架构。其次,中心平台需要架设高性能的防火墙设备,并要求防火墙设备不仅能够提供2-4 层的网络安全保护,还要能够提供4—7 层的应用保护,能够有效防御来自应用层攻击。最后,部署的防火墙设备要能够提供很强的冗余能力,要具备多点故障情况下的网络收敛和安全保护。
有针对性的逐步实施安全策略
Juniper 通过严格定义网络边界,将内蒙古电力信息网划分为核心交换区、IDC 应用区、办公区、国家电力网络区、北方联合电力网络区、Internet 区,并以核心交换区为中心,通过Juniper 千兆防火墙ISG系列将其余区域接入到核心交换区上,每组防火墙均采用双机架构(部署高性能的NSRP Full-M
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
