Stonesoft助力福建龍巖卷煙廠信息化進(jìn)程
隨著互聯(lián)網(wǎng)的迅速發(fā)展和對信息需求的不斷提高,行業(yè)信息化已成為國家發(fā)展經(jīng)濟(jì)的一大重點(diǎn)。自2006年提出“數(shù)字煙草”的發(fā)展目標(biāo)后,煙草行業(yè)信息化已有了不錯開局,以信息化帶動煙草行業(yè)的現(xiàn)代化。煙草行業(yè)早期信息化建設(shè)始于基層,面對日益普遍的網(wǎng)絡(luò)應(yīng)用層面的發(fā)展以及同時(shí)產(chǎn)生的威脅,信息化建設(shè)的重點(diǎn)開始轉(zhuǎn)移到應(yīng)用層面的安全防護(hù)。
相比普通行業(yè),煙草行業(yè)對網(wǎng)絡(luò)安全要求比較高,涉及到一些煙草的機(jī)密,所以要求嚴(yán)格的內(nèi)網(wǎng)訪問控制。福建龍巖卷煙廠在信息化進(jìn)程中,信息化的應(yīng)用主要體現(xiàn)在電子郵件、web應(yīng)用、ERP系統(tǒng)及各辦事處或出差人員的移動辦公等。但在這些信息的傳輸中,也常受到各種問題的困擾,根據(jù)龍巖卷煙廠的實(shí)際情況,來自芬蘭的網(wǎng)絡(luò)安全廠商Stonesoft給出了有針對性的解決方案,并將業(yè)務(wù)連續(xù)性放在重要位置,這些都將有效地推動企業(yè)信息化水平與信息安全管理水平的提高,保證網(wǎng)絡(luò)與信息的安全。
對于實(shí)際面臨的不安全問題,龍巖煙草提出了幾個(gè)重點(diǎn)需求:
1、邊界安全,包括防火墻,交換機(jī)以及路由設(shè)備的安全以及ISP多條鏈路的負(fù)載均衡。
2、內(nèi)網(wǎng)安全,包括內(nèi)網(wǎng)的服務(wù)器和客戶端免受外界攻擊。
3、端點(diǎn)安全,包括多鏈路的VPN訪問的持續(xù)性和穩(wěn)定性。
4、服務(wù)器安全,包括訪問服務(wù)器應(yīng)用的負(fù)載均衡
基于此,Stonesoft協(xié)助龍巖卷煙實(shí)現(xiàn)企業(yè)防火墻的集群、ISP多鏈路的負(fù)載均衡和切換、服務(wù)器訪問的負(fù)載均衡以及多鏈路VPN訪問等。與Stonesoft的網(wǎng)絡(luò)安全項(xiàng)目的合作中,龍巖卷煙廠使用了兩臺StoneGate sg-1000型號的防火墻,主要提供Cluster安全負(fù)載均衡以及ISP多出口解決方案。采用先進(jìn)的stonesoft的負(fù)載均衡技術(shù)以及multi-link技術(shù),在配合Cluster技術(shù)后保證了負(fù)載均衡功能及故障冗余,同時(shí)采用Mobile VPN實(shí)現(xiàn)了移動Client的接入。
1、防火墻集群
防火墻集群技術(shù)能夠在防火墻上實(shí)現(xiàn)負(fù)載均衡和故障冗余。通過負(fù)載均衡和故障冗余,防火墻集群提供更高的伸縮性并且能夠?qū)Ψ阑饓M(jìn)行在線的維護(hù)。
StoneGate在集群的各個(gè)節(jié)點(diǎn)之間進(jìn)行負(fù)載均衡以提高整個(gè)防火墻的吞吐量,負(fù)載均衡對于用戶來說是完全透明的。StoneGate多節(jié)點(diǎn)集群同樣提供故障冗余:如果有一個(gè)節(jié)點(diǎn)發(fā)生故障,集群中的其它節(jié)點(diǎn)將自動的接管發(fā)生故障的那一個(gè)節(jié)點(diǎn)的應(yīng)用任務(wù),不需要管理員對其進(jìn)行任何的干預(yù);集群技術(shù)可以使用戶隨時(shí)添加一個(gè)新的防火墻節(jié)點(diǎn)到防火墻集群當(dāng)中,以用來增強(qiáng)防火墻的性能;它同樣也支持對防火墻進(jìn)行在線維護(hù):可以在任意時(shí)刻(包括正常運(yùn)營時(shí)間)將一個(gè)或幾個(gè)節(jié)點(diǎn)從集群當(dāng)中分離(Offline)出來,以對其進(jìn)行一些包括軟件、硬件之類的升級或維護(hù)工作,而不影響其業(yè)務(wù)的應(yīng)用。
2、Multi-link 技術(shù)
StoneGate Multi-link 技術(shù)使得單個(gè)的防火墻集群可以連接到多個(gè)ISP(網(wǎng)絡(luò)服務(wù)提供商)上,這樣,StoneGate 將在與之相連的多個(gè)ISP之間提供負(fù)載均衡和故障冗余,消除了在連接到一個(gè)ISP的時(shí)候因ISP不可用而導(dǎo)致的單點(diǎn)故障。在VPN(虛擬專用網(wǎng))的情況下,StoneGate 同樣也支持多條并行的專線連接到互聯(lián)網(wǎng)上,并且在這些并行的專線之間進(jìn)行負(fù)載均衡和故障冗余。對于從企業(yè)內(nèi)部網(wǎng)到外面的互聯(lián)網(wǎng)的數(shù)據(jù)包(outbound traffic),它總是選取最短的路由線路來到達(dá)目的地,在連有多個(gè)ISP的StoneGate集群體系里面,將通過路由負(fù)載均衡(Load Balanced Routing)來解決這個(gè)問題,當(dāng)數(shù)據(jù)包到達(dá)防火墻的時(shí)候,路由負(fù)載均衡將為每一個(gè)數(shù)據(jù)包選擇一條最優(yōu)的路由線路,這樣也大大增強(qiáng)了整個(gè)網(wǎng)絡(luò)的性能。
對于從互聯(lián)網(wǎng)到達(dá)企業(yè)內(nèi)部網(wǎng)的數(shù)據(jù)包(inbound traffic), 遠(yuǎn)程客戶端將通過動態(tài)的DNS來找出目前最合適的ISP連接,將數(shù)據(jù)包發(fā)到相應(yīng)的內(nèi)部網(wǎng)上。
3、服務(wù)器群負(fù)載分配
StoneGate 會對一組服務(wù)器進(jìn)行負(fù)載分配,它可以透過ICMP或代理跟蹤來進(jìn)行服務(wù)器可行性評估及分配。
在網(wǎng)絡(luò)安全設(shè)備的使用過程中,業(yè)務(wù)連續(xù)性十分重要,這也是一個(gè)安全構(gòu)建是否合理、有效的關(guān)鍵。在本項(xiàng)目合作中,Stonesoft提供的解決方案及產(chǎn)品都具有良好的業(yè)務(wù)連續(xù)性。尤其對于關(guān)鍵業(yè)務(wù)如 OA,ERP等訪問業(yè)務(wù)要求能實(shí)現(xiàn)服務(wù)器的負(fù)載均衡,以及對內(nèi)訪問鏈路的負(fù)載均衡。對于高要求的連續(xù)性,Stonesoft做到了如下幾點(diǎn):
(1)防火墻以及ISP多鏈路的負(fù)載均衡,保障不會因?yàn)槟硹l鏈路中斷而影響業(yè)務(wù)的持續(xù)性;同時(shí)在防火墻上制定嚴(yán)格的安全訪問策略。
(2)內(nèi)網(wǎng)服務(wù)器的負(fù)載均衡,保障外網(wǎng)訪問OA和WEB以及ERP的業(yè)務(wù)不受影響;
(3)部署多鏈路的VPN訪問,確保VPN的連接持續(xù)穩(wěn)定,保障業(yè)務(wù)的連續(xù)性和訪問的不間斷。
與Stonesoft的合作上,福建龍巖卷煙廠在信息系統(tǒng)中基本實(shí)現(xiàn)了內(nèi)部核心資料的安全保護(hù)、關(guān)鍵性業(yè)務(wù)服務(wù)器安全保障和內(nèi)網(wǎng)的客戶端不受病毒和蠕蟲攻擊,以及VPN的客戶端符合企業(yè)的自身業(yè)務(wù)需求等,合作頗有成效,是日后加快信息化進(jìn)程的良好開端。
