重慶港務局網絡安全系統分析
重慶港系國家一類口岸,主要從事港口裝卸、客貨運輸、水陸中轉、倉儲服務、物流配送、酒店旅游等多種綜合性經營服務。重慶港務物流集團是具有現代企業制度雛型的大型國有獨資企業,是重慶市重點企業。
重慶港務物流集團的網絡組建于1996年,不僅連接港務集團的辦公網絡,而且與下屬各級單位連通,是整個重慶港業務運轉必不可少的信息載體,其網絡結構和系統應用復雜多樣:網絡由集團中心網絡和下屬單位局域網組成,上行出口通過防火墻與Internet連接。防火墻在整個集團的網絡安全體系中處于橋頭堡的地位。
曙光防火墻一夫當關,保護內網安全
根據重慶港務局網絡安全性的要求,在內網和外網連接的出入口配置曙光天羅防火墻,根據港務局應用服務的種類設定恰當的安全規則,從而保證內網安全不受侵害:
Ø 防火墻處于內外網的連接關口,可以為網絡提供較高的基礎安全服務,如:防止端口掃描、DDOS攻擊等攻擊數據包、控制用戶網絡訪問行為、過濾P2P協議數據、建立帶寬管理機制,對不同的外出訪問占用的帶寬進行統一的分配、抗IP欺騙,防止其他接口區域的IP被此接口區域內的主機冒用等等。
Ø 內網通過防火墻訪問外網采用地址轉換(SNAT)技術,外出訪問的數據包出去的時候改變原地址(SNAT);數據被動回來通過防火墻進入內網的時候改變目的地址(UN SNAT)。這樣,就可以對外網屏蔽內部網絡包括IP地址,網關等任何內網信息,從而提高了網絡的安全性。
Ø 港務局網絡服務器應用種類繁多,為提高網絡服務的安全性,采用地址映射技術隱藏內部網絡結構。用戶訪問服務器對外提供的服務,目的地址為防火墻網口地址,防火墻將訪問服務器對進出的數據進行相應的地址轉換(DNAT)。這樣,即保證了網絡訪問的正常,又能有效地保護對外服務器的安全。
此外,從拓撲圖上可以看出,移動辦公和下屬單位上行連接到集團網絡中心,都通過信任度較低的Internet互聯網絡。在后續的項目中,將采用曙光防火墻內置的VPN功能,為集團中心和下屬單位構建專用的加密隧道,防止異地互聯時產生的數據泄密風險。
曙光防火墻功能全面,滿足應用需求
曙光天羅防火墻以優異的性能、全面的功能、以及良好的網絡兼容性獲得重慶港務局用戶的高度評價。曙光防火墻的突出特點可以歸結為高安全性、高可靠性、高性能、高適用性的“四高”特點:
高安全性
使用專用的安全操作系統,專為安全應用設計開發,最大程度確保系統自身的安全性。管理系統采用國際流行的“三權分立”方法,形成一個相互制約的穩定系統。除本地串口管理方式外,管理員與防火墻之間的連接,采用128位的高強度加密通訊,黑客根本無法破解。
高可靠性
采用工業控制級硬件平臺,相關的零部件全部達到工業級要求,確保物理層可靠性。專用的操作系統,系統內部全部使用零拷貝技術,充分保證了系統的性能,提高了可靠性。
高性能
精簡的操作系統,專用硬件及先進的核心處理機制的完美結合,實現高吞吐量、高帶寬的安全檢測,確保安全的同時,保證正常的網絡應用。高性能的數據通訊模型,采用自適應的設計模型,過濾和通訊處理并發處理。
高適用性
支持眾多的網絡通訊協議,并對各種協議可以進行細粒度的過濾,如IPX、NetBEUI和大部分的P2P協議,可以充分保證正常的網絡應用。支持混合工作模式、高級路由、日志與審計、流量控制、雙機熱備、應用代理、雙接入、內容過濾、VPN等強大的功能。
重慶港務集團項目的成功實施,為曙光網絡安全產品在物流行業的應用和推廣提供了典型的案例,樹立了良好的典范。