|
【电脑商网专稿】近年来,我国经济的飞速发展同时促进了银行业务的大幅增长,为了更加规范银行的运作及促进金融业的良性发展,中国银行业监督管理委员会(简称:中国银监会)担起了重任,银监会不仅有监督、管理银行的作用,同时通过审慎有效的监管,保护广大存款人和消费者的利益,增进公众对于现代金融的了解。银监会是国务院直属的正部级事业单位,其下有省市级的银监局,四川省银监局作为银行监管部门,对于网络建设的要求显得格外严格,无论对网络安全还是构建虚拟专用网络方面都有较高的要求。
四川省银监局网络所面临的问题
四川省银监局的网络规模属于中型网络结构,外部与工行、建行等各大银行网相连,在整体的网络结构中分有若干业务网,该业务网各节点结构和线路情况均有不同,有拨号用户,也有专网用户,他们既需要通过VPN建立内联网,还有访问互联网的需求,外网用户访问内网服务器需要访问控制,内网的不同业务部门之间也需要访问控制。
问题出来了,如何建立内联网?如何让外网用户在访问内网时受到限制,从而不会破坏内网安全?内网不同部门互相访问时又如何能保证不被病毒侵害或恶意攻击?等等一系列的问题摆在面前。
中华卫士5000系列防火墙助力四川省银监局解决难题
中华卫士5000系列防火墙是采用NP(可编程网络处理器)架构自主研发的中低端硬件防火墙。拥有极高性价比的5000系列防火墙其系统从硬件平台到系统软件都是卫士通公司自主研制,从而消除了工控平台所固有的BIOS安全隐患,大大提高了安全性。另外,该系列防火墙还具有访问控制、身份认证、抗DoS攻击、日志审计、地址转换、带宽控制等全面的安全功能以及适用于中小规模的处理能力,中华卫士全系列防火墙5000系列、6000系列、8000系列均可以构建VPN,满足信息系统中的安全输出要求。同时5000系列支持PPPOE协议和ADSL接入方式,支持动态VPN的建立,可以通过动态域名或注册服务器的方式实现全网动态VPN组网,为用户提供最大的组网灵活性和最低的组网成本。
针对四川省银监局所面临传输安全问题,中华卫士5000系列中绑定的VPN功能可以轻松帮助解决。5000系列NP防火墙支持IPsec和PPTP两种主流的VPN组网方式,可以和WINDOWS客户端VPN软件无缝对接,使用非常方便,通过防火墙的VPN功能为该业务网建立虚拟专网,将异地各节点的网络组建为一个统一的内联网,同时能够为移动用户提供远程的安全接入功能。除了中心点以外,其他节点的网络都采用动态接入的方式以节省投资。内网用户不能同时访问互联网和内联网资源。访问互联网必须通过用户认证,并能够限制时间区段。外网对内网服务器的访问要进行带宽保障,内网对互联网的访问要进行带宽控制限制BT等P2P软件占用过多带宽资源。为了保护关键业务,还采用带宽管理机制;为了实施全面监控、防御功能,应用了网络层入侵检测机制和防火墙日志服务器,对网络实时监控。
在四川省银监局的网络中,每个局域网的网络规模在50台工作站以内,系统高峰时并发用户数也在20万以下,同时用户相应的维护人员比较紧张,很多网络节点无人值守,设备的易维护性和易用性显得尤为重要,通过对用户实际应用需求分析,所以我们为用户选用了中华卫士5000系列NP防火墙,分别应用5003和5016防火墙,其中将5003置于异地业务网节点中,将5016置于中心位置,即内业务网、DMZ服务器与路由器交叉处。主要基于以下几点:
n 5016与5003这两款防火墙的网络吞吐量分别是80M和40M;并发连接数分别是60万和20万,从性能上完全能满足用户需求,并支持用户近期的升级扩展;
n 5000系列由于采用NP芯片作为主要处理单元,摒弃了CPU的故障隐患,维护更加简单,无需配置专业的维护人员,可以帮助节省维护成本;
n 为更好的适应中小用户,5000系列集成以太网交换机,可以提供最多8个接口的小交换机功能,可以为很多中小型用户节省IT投资,而且交换机和防火墙集于一体,更有利于内网的安全。
n 具有自动策略下载功能,对于很多非专业用户,防火墙可以定期下载最新的安全策略和防护规则,我们可以根据网络攻击和入侵的最新发展,为防火墙定制并更新相应的安全策略,安全性更高。
处于中心位置的5016防火墙,我们以它分为三个区,外网、DMZ、内网,内网可根据内部的若干业务网的逻辑隔离需求划为若干独立的VLAN(虚拟局域网),此时,中华卫士5000系列防火墙内嵌交换机芯片的优势就显现无遗了,其自身可根据用户业务的需要划为最多8个VLAN实现内网之间的安全隔离。防火墙的作用是分别对访问DMZ服务器进行了带宽保障及对内网访问互联网进行了带宽控制(BT等限流);对DMZ区的服务器进行了地址映射和负载均衡;对内部的各VLAN之间、内外网之间进行了严格的访问控制;为有访问互联网需要的内网用户配置了AAA(认证、授权、审计)和时段限制。中心端的防火墙同时作为VPN的接入服务器,即接受远程移动用户的PPTP协议拨号接入,也作为动态IPSec VPN的注册服务器和中心接入端接受异地的用户网络通过PPPoE协议和ADSL线路的动态IPSec VPN接入。远程移动用户可以直接使用Windows系列自带的VPN软件进行PPTP拨号接入中心的内联网,无需安装任何的客户端软件,极大的节省了投资,并且使用非常方便。
下面再看看5003防火墙在网络中所起到的主要作用,异地的用户网络配置5003防火墙建立和中心端的VPN通道。5003对PPPoE协议和动态IPSec VPN有很好的支持,用户无需进行任何的人工干涉,只要有用户数据经过防火墙就会自动触发ADSL拨号并完成IPSec VPN通道建立的全过程。值得一提的是,每次拨号接入之后防火墙都会自动检查和下载安全策略更新,获取并设置最新的安全防护规则。
四川省银监局防火墙项目网络拓扑
四川省银监局的网络在采用中华卫士网络解决方案后,全面的满足了日常工作的需求,使其网络环境达到了理想的效果,此次与中华卫士的合作可以说非常融洽,同时中华卫士5000系列防火墙显示出强大的技术实力,并以优秀的品质、专业的解决方案得到了广泛的认可。
|
