Stonesoft助力福建龙岩卷烟厂信息化进程
随着互联网的迅速发展和对信息需求的不断提高,行业信息化已成为国家发展经济的一大重点。自2006年提出“数字烟草”的发展目标后,烟草行业信息化已有了不错开局,以信息化带动烟草行业的现代化。烟草行业早期信息化建设始于基层,面对日益普遍的网络应用层面的发展以及同时产生的威胁,信息化建设的重点开始转移到应用层面的安全防护。
相比普通行业,烟草行业对网络安全要求比较高,涉及到一些烟草的机密,所以要求严格的内网访问控制。福建龙岩卷烟厂在信息化进程中,信息化的应用主要体现在电子邮件、web应用、ERP系统及各办事处或出差人员的移动办公等。但在这些信息的传输中,也常受到各种问题的困扰,根据龙岩卷烟厂的实际情况,来自芬兰的网络安全厂商Stonesoft给出了有针对性的解决方案,并将业务连续性放在重要位置,这些都将有效地推动企业信息化水平与信息安全管理水平的提高,保证网络与信息的安全。
对于实际面临的不安全问题,龙岩烟草提出了几个重点需求:
1、边界安全,包括防火墙,交换机以及路由设备的安全以及ISP多条链路的负载均衡。
2、内网安全,包括内网的服务器和客户端免受外界攻击。
3、端点安全,包括多链路的VPN访问的持续性和稳定性。
4、服务器安全,包括访问服务器应用的负载均衡
基于此,Stonesoft协助龙岩卷烟实现企业防火墙的集群、ISP多链路的负载均衡和切换、服务器访问的负载均衡以及多链路VPN访问等。与Stonesoft的网络安全项目的合作中,龙岩卷烟厂使用了两台StoneGate sg-1000型号的防火墙,主要提供Cluster安全负载均衡以及ISP多出口解决方案。采用先进的stonesoft的负载均衡技术以及multi-link技术,在配合Cluster技术后保证了负载均衡功能及故障冗余,同时采用Mobile VPN实现了移动Client的接入。
1、防火墙集群
防火墙集群技术能够在防火墙上实现负载均衡和故障冗余。通过负载均衡和故障冗余,防火墙集群提供更高的伸缩性并且能够对防火墙进行在线的维护。
StoneGate在集群的各个节点之间进行负载均衡以提高整个防火墙的吞吐量,负载均衡对于用户来说是完全透明的。StoneGate多节点集群同样提供故障冗余:如果有一个节点发生故障,集群中的其它节点将自动的接管发生故障的那一个节点的应用任务,不需要管理员对其进行任何的干预;集群技术可以使用户随时添加一个新的防火墙节点到防火墙集群当中,以用来增强防火墙的性能;它同样也支持对防火墙进行在线维护:可以在任意时刻(包括正常运营时间)将一个或几个节点从集群当中分离(Offline)出来,以对其进行一些包括软件、硬件之类的升级或维护工作,而不影响其业务的应用。
2、Multi-link 技术
StoneGate Multi-link 技术使得单个的防火墙集群可以连接到多个ISP(网络服务提供商)上,这样,StoneGate 将在与之相连的多个ISP之间提供负载均衡和故障冗余,消除了在连接到一个ISP的时候因ISP不可用而导致的单点故障。在VPN(虚拟专用网)的情况下,StoneGate 同样也支持多条并行的专线连接到互联网上,并且在这些并行的专线之间进行负载均衡和故障冗余。对于从企业内部网到外面的互联网的数据包(outbound traffic),它总是选取最短的路由线路来到达目的地,在连有多个ISP的StoneGate集群体系里面,将通过路由负载均衡(Load Balanced Routing)来解决这个问题,当数据包到达防火墙的时候,路由负载均衡将为每一个数据包选择一条最优的路由线路,这样也大大增强了整个网络的性能。
对于从互联网到达企业内部网的数据包(inbound traffic), 远程客户端将通过动态的DNS来找出目前最合适的ISP连接,将数据包发到相应的内部网上。
3、服务器群负载分配
StoneGate 会对一组服务器进行负载分配,它可以透过ICMP或代理跟踪来进行服务器可行性评估及分配。
在网络安全设备的使用过程中,业务连续性十分重要,这也是一个安全构建是否合理、有效的关键。在本项目合作中,Stonesoft提供的解决方案及产品都具有良好的业务连续性。尤其对于关键业务如 OA,ERP等访问业务要求能实现服务器的负载均衡,以及对内访问链路的负载均衡。对于高要求的连续性,Stonesoft做到了如下几点:
(1)防火墙以及ISP多链路的负载均衡,保障不会因为某条链路中断而影响业务的持续性;同时在防火墙上制定严格的安全访问策略。
(2)内网服务器的负载均衡,保障外网访问OA和WEB以及ERP的业务不受影响;
(3)部署多链路的VPN访问,确保VPN的连接持续稳定,保障业务的连续性和访问的不间断。
与Stonesoft的合作上,福建龙岩卷烟厂在信息系统中基本实现了内部核心资料的安全保护、关键性业务服务器安全保障和内网的客户端不受病毒和蠕虫攻击,以及VPN的客户端符合企业的自身业务需求等,合作颇有成效,是日后加快信息化进程的良好开端。
