石化企业网应用病毒防火墙范例(图)
2018-06-11 来源:
作者 费宗莲
一个大型企业的信息系统在网络升级改造时都会考虑到安全需求,中石化湖南石油分公司也不例外。早期的湖南石油分公司只对省中心信息系统作了一定程度的安全考虑,地、市、县等公司均未作安全建设,ERP的应用对其网络系统的性能和信息系统整体的安全性提出了更高的要求。
根据ERP系统的建设要求,各地、市、县和相关企业都需要纳入到ERP系统中来,因而对全网络信息系统提出了进行安全体系整体规划和部署的要求。
对防火墙的技术要求
网络信息系统安全体系涉及到信息系统中的主机、网络、数据、应用和管理等各个层面,防火墙是网络安全体系中非常重要、也是很常见的安全设备之一。
中石化湖南分公司对防火墙设备提出的明确要求如下:支持高可用性;支持VPN透明接入;支持VLAN划分;支持组播策略控制;支持透明接入到网络系统中;具有先进性,代表防火墙的发展方向;易于管理,支持多种管理方式,管理界面支持中文;适合大面积部署,产品有明细的系列划分,能满足不同规模企业的应用。
选择FortiGate防火墙的理由
通过对国内外各种防火墙设备的现场环境模拟测试,湖南石油分公司选择了美国Fortinet公司的FortiGate防火墙。因为这款防火墙不但满足了他们的各种功能要求,还集成了防病毒和防恶意代码功能,能够将病毒和恶意代码危害阻挡在网络信息系统外,以保证网内系统稳定安全地运行,而且适合大规模部署,具有突出的易用性、灵活性和集中控管能力。
湖南石油分公司把FG-1000千兆防火墙部署在省石化网络中心,其千兆性能完全满足可能出现的100M+28M(100M为互联网接入、28M为SDH接入)峰值进出流量。而且,由两台FG-1000组成高可用性HA,可以保证省级分公司24×7×365不间断地运行。同时,湖南石油分公司还在14个地(州)分公司部署了百兆级FG-200防火墙。
方案描述和系统部署拓朴图
如图所示,省中心部署了四台FG-1000,用于高可用性HA,两两互为热备且负载分担。其中两台用作互联网接入的访问控制和阻挡病毒入侵,DMZ区接入对外服务器,如Web服务、Email服务等,内部区接入局域网;另外两台专门保护ERP数据资源和ERP服务器,既限制了局域网内对ERP数据和ERP服务器的非法访问,也为防止入侵提供了第二层安全控制。
地市分公司则分别部署了一台FG-200防火墙,以便对来自互联网和省级分公司的访问进行明细的访问控制,并对数据流进行深层检查,查、杀数据流中可能存在的病毒和恶意代码,保证各自分公司网络信息系统的安全性。同时,也可以避免各地市公司之间或省中心与地市公司之间因使用不慎而造成的误操作影响或破坏其他公司的应用。
FG-1000千兆安全网关的特点:在保证网络性能的基础上,实时消除病毒和蠕虫的威胁;提供完整的网络保护功能,包括基于网络的防病毒、内容过滤、防火墙、VPN、入侵检测和流量控制;前面板LCD显示屏在没有外部控制台的情况下提供了简单的管理配置系统基本参数;高可用性对重要应用支持透明的故障恢复;多区域的支持允许细粒度的网络分段到一个区域,每一个区域具有独立的安全访问控制策略;硬件加速的、基于ASIC芯片技术的体系架构以及冗余的、热交换的电源支持提供了较高的性能和可靠性;专用的FortiOS实时操作系统使数据处理流程达到优化和加速。
FG-200百兆安全网关的特点:FG-200百兆防火墙适合部署在石油分公司下属的地(州)分公司,其集成的防火墙和VPN功能、基于ASIC芯片的结构大大提升了安全网关的性能。这款防火墙性能达120Mbps;提供完整的网络保护功能, 包括基于网络的防病毒、内容过滤、防火墙、VPN、入侵检测和流量控制;适合中小企业安全需求,性价比高;支持中文的Web GUI和内容过滤,方便安全策略设计;操作简单,便于维护。
实施效果
自2003年12月,中石化湖南石油分公司将FortiGate防火墙成功部署在其网络信息系统中后,其网络一直在安全、稳定、可靠地运行。
标签: 安全 代码 防火墙 防火墙设备 服务器 互联网 互联网接入 美国 企业 网络 网络安全 选择
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。