Stonesoft助力福建龍巖卷煙廠信息化進程

隨著互聯網的迅速發展和對信息需求的不斷提高，行業信息化已成為國家發展經濟的一大重點。自2006年提出“數字煙草”的發展目標后，煙草行業信息化已有了不錯開局，以信息化帶動煙草行業的現代化。煙草行業早期信息化建設始于基層，面對日益普遍的網絡應用層面的發展以及同時產生的威脅，信息化建設的重點開始轉移到應用層面的安全防護。

相比普通行業，煙草行業對網絡安全要求比較高，涉及到一些煙草的機密，所以要求嚴格的內網訪問控制。福建龍巖卷煙廠在信息化進程中，信息化的應用主要體現在電子郵件、web應用、ERP系統及各辦事處或出差人員的移動辦公等。但在這些信息的傳輸中，也常受到各種問題的困擾，根據龍巖卷煙廠的實際情況,來自芬蘭的網絡安全廠商Stonesoft給出了有針對性的解決方案,并將業務連續性放在重要位置，這些都將有效地推動企業信息化水平與信息安全管理水平的提高,保證網絡與信息的安全。

對于實際面臨的不安全問題，龍巖煙草提出了幾個重點需求：

1、邊界安全，包括防火墻，交換機以及路由設備的安全以及ISP多條鏈路的負載均衡。

2、內網安全，包括內網的服務器和客戶端免受外界攻擊。

3、端點安全，包括多鏈路的VPN訪問的持續性和穩定性。

4、服務器安全，包括訪問服務器應用的負載均衡

基于此，Stonesoft協助龍巖卷煙實現企業防火墻的集群、ISP多鏈路的負載均衡和切換、服務器訪問的負載均衡以及多鏈路VPN訪問等。與Stonesoft的網絡安全項目的合作中，龍巖卷煙廠使用了兩臺StoneGate sg-1000型號的防火墻，主要提供Cluster安全負載均衡以及ISP多出口解決方案。采用先進的stonesoft的負載均衡技術以及multi-link技術，在配合Cluster技術后保證了負載均衡功能及故障冗余，同時采用Mobile VPN實現了移動Client的接入。

1、防火墻集群

防火墻集群技術能夠在防火墻上實現負載均衡和故障冗余。通過負載均衡和故障冗余，防火墻集群提供更高的伸縮性并且能夠對防火墻進行在線的維護。

StoneGate在集群的各個節點之間進行負載均衡以提高整個防火墻的吞吐量，負載均衡對于用戶來說是完全透明的。StoneGate多節點集群同樣提供故障冗余：如果有一個節點發生故障，集群中的其它節點將自動的接管發生故障的那一個節點的應用任務，不需要管理員對其進行任何的干預；集群技術可以使用戶隨時添加一個新的防火墻節點到防火墻集群當中，以用來增強防火墻的性能；它同樣也支持對防火墻進行在線維護：可以在任意時刻（包括正常運營時間）將一個或幾個節點從集群當中分離（Offline）出來，以對其進行一些包括軟件、硬件之類的升級或維護工作，而不影響其業務的應用。

2、Multi-link 技術

StoneGate Multi-link 技術使得單個的防火墻集群可以連接到多個ISP(網絡服務提供商)上，這樣，StoneGate 將在與之相連的多個ISP之間提供負載均衡和故障冗余，消除了在連接到一個ISP的時候因ISP不可用而導致的單點故障。在VPN（虛擬專用網）的情況下，StoneGate 同樣也支持多條并行的專線連接到互聯網上，并且在這些并行的專線之間進行負載均衡和故障冗余。對于從企業內部網到外面的互聯網的數據包（outbound traffic），它總是選取最短的路由線路來到達目的地，在連有多個ISP的StoneGate集群體系里面，將通過路由負載均衡（Load Balanced Routing）來解決這個問題，當數據包到達防火墻的時候，路由負載均衡將為每一個數據包選擇一條最優的路由線路，這樣也大大增強了整個網絡的性能。

對于從互聯網到達企業內部網的數據包（inbound traffic）, 遠程客戶端將通過動態的DNS來找出目前最合適的ISP連接，將數據包發到相應的內部網上。

3、服務器群負載分配

StoneGate 會對一組服務器進行負載分配，它可以透過ICMP或代理跟蹤來進行服務器可行性評估及分配。

在網絡安全設備的使用過程中，業務連續性十分重要，這也是一個安全構建是否合理、有效的關鍵。在本項目合作中，Stonesoft提供的解決方案及產品都具有良好的業務連續性。尤其對于關鍵業務如 OA,ERP等訪問業務要求能實現服務器的負載均衡，以及對內訪問鏈路的負載均衡。對于高要求的連續性，Stonesoft做到了如下幾點：

（1）防火墻以及ISP多鏈路的負載均衡，保障不會因為某條鏈路中斷而影響業務的持續性；同時在防火墻上制定嚴格的安全訪問策略。

（2）內網服務器的負載均衡，保障外網訪問OA和WEB以及ERP的業務不受影響；

（3）部署多鏈路的VPN訪問，確保VPN的連接持續穩定，保障業務的連續性和訪問的不間斷。

與Stonesoft的合作上，福建龍巖卷煙廠在信息系統中基本實現了內部核心資料的安全保護、關鍵性業務服務器安全保障和內網的客戶端不受病毒和蠕蟲攻擊,以及VPN的客戶端符合企業的自身業務需求等，合作頗有成效，是日后加快信息化進程的良好開端。