| 出版日期:2004-08-09 总期号:1337 本年期号:58 |
|
 |
安全网关确保数据安全
文 广西福利彩票发行中心 林岗 广西福利彩票发行中心于2002年10月开通了全热线电脑彩票销售系统。全区(省)3000多台彩票投注机利用中国电信的VPDN网络与南宁中心实时热线通信。各地市设管理处,为安全考虑,管理处的关键交互业务操作如兑奖,注销业务使用投注机通过VPDN网络实现。管理处信息查询等非关键业务计算机通过VPDN拨号访问Web服务器实现单向数据查询。这种方式缺点是速度太慢,56Kbps拨号访问,查询典型的3000条报表要5分钟以上。 为解决速度问题,使用了PPTP With MPPE VPN来访问中心Web服务器。由于一般终端使用ADSL上网,速度1Mbps以上,速度明显加快。典型查询一般1分钟内完成。该方案缺点是安全性不够。由于美国安全出口的限制,Cisco路由器的MPPE加密只能做到40位,黑客也可能通过侵入终端电脑获得中心路由器地址及登录密码。 安全网关是可靠桥梁 使用安全性高的安全网关即可实现内外网安全快速数据交换的要求。我们选用安达通SGW25Bpro,该安全网关支持NAT-T和3DES加密,ePass1000 USB key 硬件身份认证,适用于普通ADSL动态地址共享上网,实现如下功能: 1.管理处直接使用公网地址单向访问Web服务器。 2.内部网服务器单向向Web服务器发送数据。 3.通过启用安全策略,远程计算机可以使用ePass1000 ,用3DES高强度加密VPN通道,访问内部网,实现必要情况下远程维护。 4.内部的HP服务器通过安全网关向公网的HP ISEE(HP instant support enterprise edition)服务器(80端口)发送系统监控数据。 ADT SGW25Bpro使用专用操作系统保证安全性,配置要点是设置地址、服务、安全规则,对于需要地址转换的要设置NAT或PAT,互相有对应关系,搞错源、目的地址/端口的方向或策略的次序等就可能访问失败。下面结合具体实现详细介绍。 安全策略配置 互联网计算机直接访问Web服务器时,公网IP和Web服务器地址进行静态端口映射,使用这种方式,可用一个公网地址支持多个Web服务器。 ePass1000中存储密钥,加密等级,被保护内网网段等信息,远程计算机使用ePass1000进行身份认证,3DES+AH,168位的高强度加密的安全VPN通道,定时更换密码,目前很难破解。USB key采用PIN密码保护key中信息,有效防止网络入侵者非法窃取key中通信参数。 HP公司提供了远程自动监控功能,ISEE系统(HP instant support enterprise edition)。利用安装在服务器上的软件及时将搜集到的设备信息或故障信息通过互联网发送给HP的ISEE服务器,做到实时远程监控。 安全网关确保系统安全 系统要求安全性第一,但为了维护管理方便,不可避免地要对外数据交换,特别要利用互联网这种方便快捷无所不在的网络,利用安全网关及其附带的防火墙功能,可以方便安全地实现这些与外部连接的问题。安全性使用网关本身的操作系统和软件开发的安全性保证,通过版本升级或者产品更新,可以保证系统的安全。 |
||||||||||||||||||||||||
