| 出版日期:2002-10-21 总期号:1161 本年期号:78 |
|
 |
英斯克防内“奸”外“贼”
Nokia网络安全解决方案保内外网安全 群数 上海英斯克技术公司网络规模较为复杂,包括办公网络、内部服务器群、外部公共服务器群。公司对外防止公网外部非法用户利用某些操作系统的安全漏洞,侵入公司内部网络,抵御黑客的恶意攻击和非法访问。该公司选择了由群柏数码科技有限公司提供的Nokia网络安全解决方案,实现了公司办公网络、内部服务器群、外部公共服务器群的网络安全,并将在第二期实现外部移动用户与公司上海网络之间的VPN数据加密隧道。 英斯克技术是一家致力于在无线数据领域,为移动网络运营商提供世界级无线互联软件平台解决方案的专业公司。英斯克技术成立于1999年8月18日,总部设在中国上海。 作为在中国第一家提供无线计费增值服务的软件供应商,英斯克技术无论在商业上还是在技术上,已经成为中国无线数据发展的主导者之一。 网络现状与需求 上海英斯克技术公司网络规模较为复杂,包括办公网络、内部服务器群、外部公共服务器群。办公网络的日常上网需求主要包括浏览网络信息、收发邮件、数据的上传下载等。内部服务器群包括内部邮件服务器、内部OA服务器、数据库服务器、文件服务器等。外部公共服务器需要对外部客户提供各种服务,包括Web服务、POP3、SMTP、FTP等服务。 因此,首先,对外防止公网外部非法用户利用某些操作系统的安全漏洞,侵入公司内部网络,抵御黑客的恶意攻击和非法访问如木马、IP Spoofing、SYN Flood、DDoS等,成为上海英斯克技术公司选择Nokia网络安全解决方案的初衷。只有管好了网络出口这个大门,才可以谈进一步的全面网络安全。其次,对内,应有网络安全状况侦测,对员工上网浏览进行日志记录,对可疑的数据包加以分析并报警;公司内部服务器群和网段之间应该建立安全访问控制机制,保护公司内部的服务器群,防止由内部发起的攻击。对于远程办公或移动办公的人员,在采用拨号方式对公司内部服务器进行访问的时候,应该采用身份认证措施和信息加密措施,防止数据在传输过程中被窃取或者篡改。 网络安全解决方案 图中是进行Nokia网络安全解决方案重新规划后的英斯克技术公司网络拓扑结构图,分成两个阶段实现:第一期完成上海英斯克技术公司办公网络、内部服务器群、外部公共服务器群的网络安全解决方案;第二期建立英斯克技术公司的外部移动用户与上海英斯克技术公司上海网络之间的VPN数据加密隧道。 首先,在上海英斯克技术公司的网络出口处部署Nokia IP网络安全平台作为防火墙和VPN系统,对进入上海英斯克技术公司网络的所有数据进行安全检查,并防止恶意的访问和暴力的攻击。考虑到上海英斯克技术公司网络对防火墙/VPN设备的功能、性能和价格的高要求。群柏数码科技公司和客户共同选定了Nokia IP530这款针对大型企业的中高端网络安全平台系统。为了保证整个系统的高可靠性,采用IP Clustering的双机动态负载平衡方案。单机的Nokia IP530作为防火墙系统,集成了CheckPoint NG VPN-1,最大防火墙吞吐量可达500Mbps,每秒并发连接数可达30万。 
英斯克技术公司网络拓扑结构图 Nokia IP530是一款经优化的、高性能安全平台,可为大型企业提供防火墙、VPN和入侵检测系统。它是专门为要求最苛刻的网络环境设计的,例如高通信量电子商务网站、公司数据仓库以及服务提供数据中心等。Nokia IP530占用两个机柜单元,是一个高端口密度系统,能节约宝贵的机柜空间。此外,其内部配置的一个PMC插槽允许支持IP530的强劲VPN硬件加速,同时保留了外部接口。 Nokia IP530支持动态路由并带有类型广泛的连接选项,包括10/100M以太网卡、多模光纤千兆以太网卡以及广域网卡,例如FrameRelay、V.35/X.21或T1/E1,能方便地集成到任何网络构架中。 此方案中成功实施了Nokia的高可靠性专利技术—IP集群(IP Clustering)技术。它可让多达四台设备作为单一网络,共享一个内在IP地址及一个外在IP地址。IP 封包处理 (IP Packet Processing)分布至所有集群成员网关节点(Member Gateway Nodes),以取得相等的成员负载处理(Member Processing Loads)。创造出一个完全冗余(Fully Redundant) 的分布式(Distributed)网络安全架构。 Nokia的IP集群技术,不再需要一般整合欠佳而费用高昂的第三方 VPN/ 防火墙负载平衡技术。其IP集群技术紧密整合了操作系统核心程序(Operating System Kernel)、IP集群代码(IP Clustering Code)及Check Point Software Technologies的VPN-1 与FireWall-1 软件。此外,也可以获得Nokia基于互联网的企业网络管理产品 Nokia Horizon Manager 的支持。这样,多台设备同时工作,可以实现防火墙/VPN吞吐性能成倍提升,最大限度地满足客户高带宽的网络需求,极大地保护了用户的投资。 其次,对上海英斯克技术公司网络进行多网段的安全规划。由于网段数量较多,同时要满足可扩展性的要求,客户要求每个防火墙系统必须提供至少6个百兆接口和一个千兆接口。Nokia IP530缺省提供四个10/100Mbps以太网端口和提供了三个CPCI插槽。每个CPCI插槽都可以配置四端口以太网卡或千兆网卡。因此,群柏数码科技公司为客户提供了两块四端口以太网卡和两块多模千兆以太网卡,每台Nokia IP530就达到了8个以太网端口和一个千兆端口。这样,完全可以满足客户对高端口密度防火墙的需求,同时还有一个CPCI插槽满足客户以后扩展的需求。 正如图中所示,将上海英斯克技术公司网络划分为公共服务器群区、内部服务器群区、内部办公网络区三个网络安全区域,实行不同的网络安全策略。 部署Nokia IP530以后,不同网段之间的访问都由防火墙进行控制,网络管理员可以设置每个网段的访问权限和安全策略,比如:可以设置内部办公网络这一网段的用户是否有权访问内部服务器群区网段中的资源等。在允许访问敏感的内部服务之前,要求用户进行身份认证。Check Point 自身提供三种认证方式:用户认证、会话认证、客户端认证。Check Point 的开放式体系结构允许将大量的身份验证解决方案集成到一个企业范围的安全策略中,包括 FireWall-1口令、智能卡、基于令牌的产品(如SecurID)、LDAP存储的口令、Radius或 TACACS+身份验证服务器和X.509 数字证书。 第二期,上海英斯克技术公司对外提供访问的公共服务器都划分在外部公共服务器群区。公司出差移动人员对内部服务器的访问采用Client to Site的VPN通道方式。实现外部用户和远程网络对上海英斯克技术公司系统资源的安全访问,实现了数据的强级别加密,防止商业数据泄露和被黑客窃取。 为了确保安全性和灵活性,Nokia IP530 VPN-1 提供对多种用户验证方式的集成支持。移动 VPN 用户验证可以采用以下方式完成:智能卡、基于令牌的产品,如 SecurID、LDAP 存储的口令、Radius或TACACS+服务器、预共享密码、X.509数字证书,甚至生物技术。 除了确保网络访问的安全之外,VPN 解决方案还必须保护被传输数据的保密性。通过遵循 IPSec 标准,Nokia IP530 VPN-1可以自动协商通信各方之间可用的最强的加密和数据验证算法。这包括用于数据加密的新的高级加密标准(AES)Rijndael 和 Triple DES 算法,以及DES、FWZ-1、DES-40、CAST-40这些算法。 运行效果 自从采用了Nokia IP530网络安全产品之后,解决了上海英斯克技术公司公司原来存在和希望解决的系统和网络安全问题,成功地对进出网络的所有数据进行控制,使各个安全区域之间的访问更加有效和安全。使用VPN通道传输数据既保证了数据的安全性又节省了拨入服务器所需的昂贵的长途电话费用。Nokia IP530运行非常稳定,适合在企业大中型主干网络中保护几百台主机,可以满足电信级、大企业级的需要,支持高可用性,支持更高带宽的需要、更高的端口密度,支持集成软件的全部功能。 上海英斯克技术公司的网络安全解决方案可以做为一个成功的企业案例,供其它大型和中型企业借鉴。群柏数码科技做为2001年度Nokia 网络安全产品的最佳代理商,在电信、银行、证券及大中型企业中都有非常成功的案例。针对不同的用户,群柏数码科技有限公司上海分公司会为用户量身定做高可靠性、高性能、高性价比的网络安全解决方案,以满足用户的全面需求。 |
||||||||||||||||||||||||
