截止2002年11月底,杭州國家軟件產業基地已經有軟件企業620家,軟件園企業89家;科技部認定的骨干軟件企業10家。為了更好地服務這些企業并吸引更多的軟件企業來軟件產業基地發展,杭州國家軟件產業基地有限公司經國家發展計劃委員會批準,開始了"國家軟件產業基地(杭州)網絡建設項目"。
2002年12月29日,杭州國家軟件產業基地有限公司和世導科技有限公司簽署了《杭州國家軟件產業基地公共服務與技術支撐平臺設方案的共同認識》等合同。由世導負責杭州軟件基地公共服務與技術支撐平臺項目的建設和運營。整個"公共服務與技術支撐平臺"從網絡系統結構上看,可分為專網系統、運維內網系統及外網接入系統其中"公共服務與技術支撐平臺"的建設最終將建成環繞杭州城的高速雙向光纖專網,把坐落在市區范圍內的各軟件園區、企業聚集的商務樓宇及相關高校科研機構等聯接起來。
網絡安全需求
作為杭州國家軟件產業基地的IP城域網,公共服務與技術支撐平臺的作用非常重要,不但要為軟件園區、企業單位、學校等提供高速的接入服務,同時還要提供網絡測試專業實驗室、VPN連接、IDC主機托管、電子教學、企業郵局系統、基地封閉式開發實驗室等增值服務。
國家軟件產業基地網絡系統邏輯圖如下:
從系統邏輯圖可看出,公共服務與技術支撐平臺是三個系統中規模最大、最基礎的系統,大部分系統及設備都在支撐平臺專網運行。由于所有的數據都要通過支撐平臺的骨干網絡進行轉發,如果支撐平臺出現安全問題,那么整個軟件基地的網絡系統將會有癱瘓的危險,所以支撐平臺必須具備極高的安全性和可靠性。另外隨著支撐平臺網絡的不斷擴展以及接入支撐平臺的軟件企業的迅速增加,可以預見,支撐平臺網絡系統的安全風險也將會變的日益嚴重和復雜。基于以上考慮,杭州國家軟件產業基地有限公司對支撐平臺的網絡安全建設提出了非常高的要求,把可靠性和安全性作為整個支撐平臺網絡建設的最高原則。
思科一體化網絡安全解決方案
為了確保整個網絡系統建成后的安全和穩定,杭州國家軟件產業基地有限公司進行了嚴格的招標活動,經過認真的比較和分析,最后杭州國家軟件產業基地有限公司決定全面采用思科系統公司這種獨具特色的一體化網絡安全方案。思科系統公司是全球知名的互聯網設備和解決方案供應商,同時也是業界領先的網絡安全設備和解決方案供應商。思科系統公司在透徹研究網絡的基礎上,通過在所有產品中都集成安全特性來打造一體化的網絡安全。具體地說,就是思科公司除了提供防火墻等專用的安全產品外,還在路由器、交換機、無線網絡設備等產品中都集成安全特性,從而保護網絡上每個節點的安全。一體化網絡安全解決方案可以做到融安全于網絡中,不會在網絡中留下安全死角,同時還具有實施方便、擴展靈活、保護投資等特點。思科一體化網絡安全解決方案先進的安全理念得到了負責招標的專家和領導的一致好評。
思科為杭州國家軟件產業基地實施的一體化網絡安全方案主要是借助思科先進的交換機產品Catalyst 6509實現的。Catalyst 6509是思科公司最新的交換機產品,作為業界領先的交換機平臺,Catalyst 6509交換機可以高度集成思科各種網絡安全硬件模塊,包括防火墻服務模塊、IP安全虛擬專用網(IPSecVPN)服務模塊、入侵檢測系統模塊和網絡分析模塊(NAM)。如果將這些安全模塊結合在一起使用,客戶將能夠在交換機上部署綜合安全性,而無需分別管理的不同設備。
思科根據軟件產業基地網絡系統的結構,制定了"自上而下"的方案實施原則,首先確保運維系統內網的安全,其次保證IDC機房、實驗室及公共服務系統的安全,最后保證外網接入的安全。
為了保證運維系統的獨立性及安全性,在網絡建設后期從浙江通信單獨租用SDH線路,連接世導、國軟及聯合,形成一個獨立的內網。運維專網采用單獨的IP地址與路由設計,保證安全。另外,在運維系統中安裝VMS安全策略管理服務器,對全網的安全策略進行統一管理及監控。在世導Catalyst 6509交換機上安裝VPN模塊,提供外網的VPN接入終結。同時安裝一臺ACS身份認證服務器,提供對VPN撥入用戶的認證、記賬及權限策略分配。
在世導Catalyst 6509交換機上配置防火墻模塊FWSM,將IDC主機托管系統、平臺骨干網連接、運維內網連接及Internet接入進行安全隔離。對6509交換機上的5個千兆及百兆接口配置為防火墻端口,同時分配名稱、其中Outside口連接世導的Internet接入,Dmz1口連接平臺骨干網絡、Dmz2連接 IDC機房的服務器群、DMZ3連接身份認證系統,Inside口連接運維內網接入。對5個四個接口權限設置為:Outside為0、dmz1為40、 dmz2為60、dmz3為80、Inside為100(最高)。在國軟6509上配置防火墻模塊FWSM,將綜合測試實驗室及公共服務平臺、平臺骨干網連接、運維內網連接進行安全隔離。對分別連接四個區域的3個千兆及百兆接口分配名稱、其中Outside口連接平臺網絡接入,Dmz1口連接綜合實驗室, Inside口連接運維內網接入。對3個四個以太網權限設置為:Outside為0、dmz1為50、Inside為100(最高)。
在世導及國軟的6509交換機上安裝網絡入侵檢測IDS模塊,提供對多個網絡的入侵檢測。同時與防火墻模塊實現聯動,一但發現網絡中存在攻擊行為或是非正常數據包,立即報告安全管理中心,同時在防火墻上動態增加安全策略,對攻擊行為進行隔離。
在接入網系統上,利用分布到各大樓的3550交換機提供的PrivateVLAN技術和安全訪問控制列表ACL等安全交換技術,同時通過合理的IP地址分配策略和路由策略,提供對接入企業的安全控制。
方案實施拓撲圖如下:
效果分析
思科一體化網絡安全解決方案得到了國家軟件產業基地的認可,可是作為設備供應商的思科公司,能夠擔任起網絡安全的重任呢?
2003年堪稱計算機病毒年,可是令人感到尷尬的是,對那些專業信息安全廠商來說,雖然自己一再聲稱能幫助用戶解決網絡攻擊問題,但在新型攻擊面前,自己卻基本上無能為力,架設的防線形同虛設。就在人們困惑擔憂的時候,一些老牌但卻屬于新生的力量站了起來。就像思科,眾所周知,思科是全球著名的網絡設備和解決方案的提供商,相對于專業信息安全廠商對網絡理解的匱乏,思科則是這方面的專家,它掌握著網絡底層協議和關鍵技術,從而能夠做到操作系統、網絡基礎架構牢不可破,堅如磐石!
2003年11月,思科在全球發布了網絡準入控制(Network Admission Control)計劃,該計劃是思科自防御網絡計劃(Self-Defending Network, SDN)的重要組成部分,是一套高度集成的一體化網絡解決方案。思科自防御網絡計劃是一個創新的、多側面的網絡安全戰略,其目標是提高網絡發現、防御和對抗安全威脅的能力。網絡準入控制(Network Admission Control)是思科自防御網絡計劃的重要組成部分。其核心思想是,控制訪問權限,有效阻止不符合安全條件的設備及訪問進入網絡,并將其置于某個隔離區域之外,或者僅獲得對計算資源的有限訪問權限。網絡接入控制與思科公司關于網絡安全的其它技術,如入侵檢測、防火墻、網絡管理與流量分析、VPN等加在一起,就構成了自防御網絡的全部內涵。
思科網絡接入控制是通過與業內廠商合作來實現的,2003年11月,思科宣布與NAI、Symantec、Trend Micro三家國際反病毒軟件廠商合作,通過思科安全代理軟件(Cisco Security Agent)與防病毒軟件的配合,將思科對網絡惡意行為的防御能力延伸到服務器和PC端點上。2004年2月,思科又與IBM達成類似的合作,IBM將在其筆記本電腦和Tivoli網絡軟件兩端支持自防御網絡計劃。思科今后還將把網絡接入控制計劃向更多的廠商和機構開放,與業界廣泛合作,共同編織出一張抵御任何惡意行為的防護網。
