中小企业VPN防火墙应用案例
一、用户需求分析(一)中小企业网络安全现状
国内中小企业数量众多,网络利用率高,随着中小企业信息技术应用水平的提高,相伴而来的各种信息安全问题越来越明显。而中小企业由于自身技术力量薄弱,安全机制普遍不足,在信息化管理方面和网络安全防范方面也相对薄弱,因此,中小企业普遍面临严峻的安全形势。
(二)用户概况
某企业中心在北京,下属深圳、上海、天津、广东、福建5个大的分支机构,其中每个分支机构有50台左右终端,此外,还有20个分布在全国各地的小分支,每个分支有1~2台终端。随着信息化建设的接入,各个分支机构需要上传企业中心的敏感数据(如销售业绩,项目报备,产品进销存等信息)由原来的“人”传输逐渐转为网络传输,而各个分支机构之间的传输也逐渐转为网络化,以加速企业的现代化进度,提高效率。由于在传输过程中有些秘密信息,所以网络的安全问题已经越来越受到领导的重视,目前该企业没有网络安全防范措施。网络结构示意图如下所示:
二、用户安全风险分析
随着信息化进程的深入和网络应用的快速发展,信息网络化已经成为企业信息化的发展大趋势,信息资源也得到最大程度的共享。但是,紧随信息化发展而来的网络安全问题日渐凸出,网络安全问题已成为信息时代企业共同面临的挑战。
该企业存在的安全威胁主要表现在:
非授权访问:没有预先经过授权就使用企业网络或计算机资源,有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。如身份假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息。),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。对于企业信息来说,更是存在着大量的秘密数据,如果这些数据在传输过程中被窃取,后果不堪设想。
破坏数据完整性:以非法手段窃得对数据的使用权,对数据进行删除、修改、插入或重发某些重要信息,以干扰用户的正常使用。例如,企业传递的文件内容被恶意窜改,后果则会十分严重。
拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
众所周知,网络安全涉及到网络系统的各个方面,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能构建完美的安全体系。因此,必须将各种安全技术与运行管理机制、人员安全意识与技术培训、安全规章制度建设相结合。
三、解决方案
(一)技术方案
针对该企业目前的现状和所面临的问题,卫士通公司技术专家在认证调研之后,和企业的网管人员一起仔细研究了可实现的各项解决方案的可能性、可行性和真实环境的测试。最终选择了卫士通公司的中华卫士WFW-FW-BN210 VPN防火墙的设计方案。
该项目总计部署中华卫士 VPN防火墙26台,具体配置如下所述:
在企业中心和各个分支点部署一台带中华卫士VPN防火墙设备,对各分支点与企业中心之间以及各分支点之间的网络数据进行加密传输。
对所有针对企业中心的网络请求和数据交换进行控制,根据用户需求只开放授权用户和限定服务的访问,并对网络的各种攻击行为进行防御,拒敌于系统之外。
在方案中我们还建议企业在内部网络的所有主机上安装网络防病毒软件,防止隐藏在正常文件交换中的计算机病毒进入内部系统。网络防病毒最重要的是对邮件交换系统、文件共享系统和内部信息系统的防护,切断病毒在内部网络传播的途径,防止病毒在内部网络的蔓延和大范围破坏。
该项目部署示意图如下所示:
/qzone/newblog/v5/editor/css/loading.gif
防火墙/VPN系统部署拓扑图
在方案中主要使用中华卫士VPN防火墙系统,通过一台设备就实现了高强度的访问控制和信息加密传输,部署之后每个分支的所有用户都可以通过VPN加密通道与中心实现加密连接,而且分支与分支之间也可以进行安全的数据传输。如果有在外出差的领导需要安全的接入到企业内网中查询或下载数据,则可以通过PPTP协议与中心防火墙进行VPN连接,通过身份认证后即可以对中心服务器的指定资源进行访问,这种方式时远程终端不需要安装任何软硬件产品,只需要Win2000以上的操作系统即可实现。这种模式在很大程度上节约了用户的投资,快速实现了企业对网络的安全需求。
(二)应用效果
该项目使用中华卫士VPN防火墙系统实现了企业的加密安全传输,同时也实现了各个远程节点的加密安全接入,保证了信息传输的机密性、完整性,防火墙作为企业网络系统的关卡极大地降低企业内部遭受网络攻击的可能性。工程实施后,我们对业务数据传输的稳定性、数据包时延、安全性、管理和维护性等各项性能参数进行了收集、分析,结果满足了企业对网络的传输要求,并且经济实惠。已经过几个月的试运行,整体设备运行稳定,得到了用户的高度评价。
页:
[1]