作者 費宗蓮
一個大型企業(yè)的信息系統(tǒng)在網(wǎng)絡(luò)升級改造時都會考慮到安全需求，中石化湖南石油分公司也不例外。早期的湖南石油分公司只對省中心信息系統(tǒng)作了一定程度的安全考慮，地、市、縣等公司均未作安全建設(shè)，ERP的應(yīng)用對其網(wǎng)絡(luò)系統(tǒng)的性能和信息系統(tǒng)整體的安全性提出了更高的要求。
根據(jù)ERP系統(tǒng)的建設(shè)要求，各地、市、縣和相關(guān)企業(yè)都需要納入到ERP系統(tǒng)中來，因而對全網(wǎng)絡(luò)信息系統(tǒng)提出了進行安全體系整體規(guī)劃和部署的要求。

對防火墻的技術(shù)要求
網(wǎng)絡(luò)信息系統(tǒng)安全體系涉及到信息系統(tǒng)中的主機、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用和管理等各個層面，防火墻是網(wǎng)絡(luò)安全體系中非常重要、也是很常見的安全設(shè)備之一。
中石化湖南分公司對防火墻設(shè)備提出的明確要求如下：支持高可用性；支持VPN透明接入；支持VLAN劃分；支持組播策略控制；支持透明接入到網(wǎng)絡(luò)系統(tǒng)中；具有先進性，代表防火墻的發(fā)展方向；易于管理，支持多種管理方式，管理界面支持中文；適合大面積部署，產(chǎn)品有明細的系列劃分，能滿足不同規(guī)模企業(yè)的應(yīng)用。

選擇FortiGate防火墻的理由
通過對國內(nèi)外各種防火墻設(shè)備的現(xiàn)場環(huán)境模擬測試，湖南石油分公司選擇了美國Fortinet公司的FortiGate防火墻。因為這款防火墻不但滿足了他們的各種功能要求，還集成了防病毒和防惡意代碼功能，能夠?qū)⒉《竞蛺阂獯�碼危害阻擋在網(wǎng)絡(luò)信息系統(tǒng)外，以保證網(wǎng)內(nèi)系統(tǒng)穩(wěn)定安全地運行，而且適合大規(guī)模部署，具有突出的易用性、靈活性和集中控管能力。
湖南石油分公司把FG-1000千兆防火墻部署在省石化網(wǎng)絡(luò)中心，其千兆性能完全滿足可能出現(xiàn)的100M+28M（100M為互聯(lián)網(wǎng)接入、28M為SDH接入）峰值進出流量。而且，由兩臺FG-1000組成高可用性HA，可以保證省級分公司24×7×365不間斷地運行。同時，湖南石油分公司還在14個地（州）分公司部署了百兆級FG-200防火墻。
　　
方案描述和系統(tǒng)部署拓樸圖

如圖所示，省中心部署了四臺FG-1000，用于高可用性HA，兩兩互為熱備且負載分擔。其中兩臺用作互聯(lián)網(wǎng)接入的訪問控制和阻擋病毒入侵，DMZ區(qū)接入對外服務(wù)器，如Web服務(wù)、Email服務(wù)等，內(nèi)部區(qū)接入局域網(wǎng)；另外兩臺專門保護ERP數(shù)據(jù)資源和ERP服務(wù)器，既限制了局域網(wǎng)內(nèi)對ERP數(shù)據(jù)和ERP服務(wù)器的非法訪問，也為防止入侵提供了第二層安全控制。
地市分公司則分別部署了一臺FG-200防火墻，以便對來自互聯(lián)網(wǎng)和省級分公司的訪問進行明細的訪問控制，并對數(shù)據(jù)流進行深層檢查，查、殺數(shù)據(jù)流中可能存在的病毒和惡意代碼，保證各自分公司網(wǎng)絡(luò)信息系統(tǒng)的安全性。同時，也可以避免各地市公司之間或省中心與地市公司之間因使用不慎而造成的誤操作影響或破壞其他公司的應(yīng)用。
FG-1000千兆安全網(wǎng)關(guān)的特點：在保證網(wǎng)絡(luò)性能的基礎(chǔ)上，實時消除病毒和蠕蟲的威脅；提供完整的網(wǎng)絡(luò)保護功能，包括基于網(wǎng)絡(luò)的防病毒、內(nèi)容過濾、防火墻、VPN、入侵檢測和流量控制；前面板LCD顯示屏在沒有外部控制臺的情況下提供了簡單的管理配置系統(tǒng)基本參數(shù)；高可用性對重要應(yīng)用支持透明的故障恢復(fù)；多區(qū)域的支持允許細粒度的網(wǎng)絡(luò)分段到一個區(qū)域，每一個區(qū)域具有獨立的安全訪問控制策略；硬件加速的、基于ASIC芯片技術(shù)的體系架構(gòu)以及冗余的、熱交換的電源支持提供了較高的性能和可靠性；專用的FortiOS實時操作系統(tǒng)使數(shù)據(jù)處理流程達到優(yōu)化和加速。
FG-200百兆安全網(wǎng)關(guān)的特點：FG-200百兆防火墻適合部署在石油分公司下屬的地（州）分公司，其集成的防火墻和VPN功能、基于ASIC芯片的結(jié)構(gòu)大大提升了安全網(wǎng)關(guān)的性能。這款防火墻性能達120Mbps；提供完整的網(wǎng)絡(luò)保護功能， 包括基于網(wǎng)絡(luò)的防病毒、內(nèi)容過濾、防火墻、VPN、入侵檢測和流量控制；適合中小企業(yè)安全需求，性價比高；支持中文的Web GUI和內(nèi)容過濾，方便安全策略設(shè)計；操作簡單，便于維護。

實施效果
自2003年12月，中石化湖南石油分公司將FortiGate防火墻成功部署在其網(wǎng)絡(luò)信息系統(tǒng)中后，其網(wǎng)絡(luò)一直在安全、穩(wěn)定、可靠地運行。

標簽： 安全 代碼 防火墻 防火墻設(shè)備 服務(wù)器 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)接入 美國 企業(yè) 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 選擇

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。