政府是电子信息技术的最大使用者,同时也是信息资源的最大拥有者。有关统计指出政府的信息资源约占总信息资源的80%,也就是说,政府所面临的网络危险几率很高。如今,如何确保政务网络的应用安全的课题,已经被各级政府提上日程。江西省政务信息网也同样面临着这样的问题。
安全需求日渐强烈
据了解,江西省政务信息网经过几年的建设,已经日趋完善,并提前6年跨越式地完成了国家部署的电子政务建设工作任务。省中心网络与地市网络均有各自的网络出口,各地前期也部署了不同品牌、型号的防火墙产品。
不过,随着网络应用的不断丰富,用户的不断扩充,网络流量不断的增大,原有的网络安全设备已经越来越不能满足实际的需求。尤其是BT的大量应用,导致了网络带宽的日益拥塞,即使不断进行网络扩容,也无法满足BT对于带宽的强占性。并且,由于实际工作需要,还不能对BT完全封杀。因此如何限制BT对于正常业务的影响,成为了江西省政务信息网安全改造的重中之重。
不仅如此,由于江西政务信息网的复杂性与灵活性,许多地方有多出口,因此对于安全设备的网络特性要求非常高,安全产品必须支持动态路由、策略路由等高端网络特性。
SecPath带来网络安全新体验
针对江西政务信息网的实际情况,华为3Com公司为其提供了以SecPath 1800F防火墙为主的网络安全解决方案。
据华为3Com网络安全工程师介绍,SecPath 1800F防火墙是华为3Com公司开发的新一代基于网络处理器技术(NP)的硬件高速状态检测防火墙设备,可以作为大型网络的出口防火墙,也可以作为大型网络的内部骨干防火墙。支持外部攻击防范、内网安全、流量监控等功能,能够有效地保证网络的安全;采用ASPF状态检测技术,可对连接状态过程和异常命令进行检测;对于各种P2P应用可以通过应用层来做限制;提供多种智能分析和管理手段,支持多种日志,提供多种网络安全管理手段;支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP VPN、IPSec VPN等;支持RIP/OSPF/BGP/路由策略/路由迭代及策略路由。
改造后的江西政务信息网络拓扑如下图所示:
在政务网省中心,为了提高网络的可靠性,避免单点故障,采用双机热备份方式,同时配置了两台SecPath 1800F防火墙。当一台防火墙出现故障的时候,另外一台可以快速的接管全部的网络连接状态信息,保障网络连接的通畅。
对于BT应用则采用疏导的方式,在所有防火墙上均配置相应的限流规则,将BT下载的速度控制在一定范围内。这样,既能保证可以继续使用BT,同时也不会因为BT造成网络拥塞而影响正常业务。
同时,针对省中心与部分地市多出口的情况,利用SecPath 1800F防火墙强大的路由功能以及支持策略路由与策略NAT功能,可以在SecPath 1800F上配置策略路由,同时支持多出口。并且当其中一个ISP服务商的线路出现问题,可以立即切换到另一条线路上,保证网络的不间断性,实现ISP线路的备份。
更多内容请看PCdog.com--Sniffer安全技术 华为3Com 华为交换机专题
