| 出版日期:2004-11-22 总期号:1366 本年期号:87 |
|
 |
一“墙”当关 万“毒”莫开
——飞塔FortiGate防火墙保长庆互联网安全 李丽 陕西长庆互联网是长庆油田的“信息高速公路”,为油田内部生产管理、办公、资源共享提供了统一的平台。该网络是由西安基地园区网和分布在陕甘宁三省区油田各个基地、作业区的局域网通过高速数据通道采用广域网技术互连而成的大型企业内部计算机网络。 西安基地园区网是以北电Accelar 8600网络交换机为核心的千兆高速以太网。下设二级交换机,二级交换和主交换机之间采用千兆光纤互连。西安基地园区网与分布在陕、甘、宁三省区的局域网采用广域网技术互联。西安网络中心是全网的核心接入服务点,中心设有主机服务区域,提供有内部/外部网站、内部/外部域名、集中认证、邮件、文件传输、视频点播、视频直播等服务。网络中心还装有网管系统、入侵检测系统、一次性/统一认证口令系统,可对各种网络设备进行监控和管理。 长庆互联网通过出口防火墙连接到国际互联网,与古城热线100Mbps互联,与中国石油信息网2Mbps带宽互联。整个网络对Internet访问的流量增长较快,最大流量已经超过100M,出口防火墙时常拥塞。 长庆互联网出口的网络状况与安全风险分析表明,长庆互联网面临着黑客、蠕虫病毒、网络入侵、不良内容、垃圾邮件等的攻击,需要使用专门的安全产品,从网络隔离、病毒防护、入侵检测、内容过滤等各方面进行全方位的保护。如果在长庆互联网出口分别部署防火墙、防病毒网关、入侵检测系统、内容过滤、VPN等一系列安全产品,采购成本及将来的维护成本都将过高。因此,在实施方案中,用户选择了飞塔(Fortinet)公司的新一代硬件综合安全网关FortiGate防火墙,在长庆互联网出口处形成综合安全防护体系,提供良好的性价比。 如图所示,在长庆互联网出口部署FortiGate 5020病毒防火墙,位于负载均衡设备的后方。FortiGate 5020提供8个千兆光纤口和8个千兆以太口,可以分别连接长庆互联网的核心交换机、外网服务器区以及中国石油信息网。对进出长庆互联网的网络流量进行从网络层到应用层的全面过滤。该设备可以提供8Gbps的防火墙吞吐量,完全可以满足长庆互联网出口的高性能要求。通过在防火墙上配置包过滤、状态检测、病毒防护、入侵检测、内容过滤等安全设置,便可对进出长庆互联网的网络互访进行黑客攻击、病毒、入侵和不良内容的全方位过滤。 为了保证网络的高可用性,实施人员在长庆互联网出口处,使用两台FortiGate 5020配置成热备式或负载均衡式的HA结构。使用热备式HA时,设备可以在两秒钟之内完成主从设备的切换,且所有会话状态都可以保持,很好地满足长庆互联网出口的高可用性需求, 同时提供大约两倍于1台设备防病毒及内容过滤性能。 FortiGate防火墙是一个集防火墙、防病毒、入侵检测/阻断、VPN(虚拟专用网)和内容过滤、反垃圾邮件等多项功能于一身的综合安全网关,核心技术是飞塔公司专利技术(行为加速和内容分析系统技术)。 在每块插卡上装有的FortiASIC内容处理器和FortiOS操作系统,突破了芯片设计、网络通信、安全防御等诸多难点,超越了传统防火墙仅能在网络层进行粗粒度的包过滤的安全功能,为长庆互联网提供全方位的安全保护。 
长庆油田业务网络拓扑图 |
||||||||||||||||||||||||||||
