广州海关纵向网隔离与安全防护


在广州海关,山石网科企业安全设备 部署在省级节点和各个地市节点之间,启用防火墙、抗攻击、防病毒、入侵防御等功能,实施隔离与综合性的防护,保障海关关键业务应用的安全性。

在本项目中,山石网科企业安全设备通过独有的VSwitch功能,实现了“多桥”并行接入,在不改变用户原有的网络环境下,方便地进行了部署和配置,从而大大简化了安全改造的难度,获得用户好评!

需求分析

类似于其他纵向政务网络,广州海关的纵向网络也是分为省、市、县三级,在省级节点,各个市级单位的网络,通过专线直接连接到核心交换机,实现纵向的海关政务访问,但是在安全建设中带来了问题,传统防火墙往往需要对线路进行汇聚,然后才能在汇聚的链路上进行接入,实现隔离与访问控制,因此这就需要额外增加路由器,将各个市级节点的链路汇聚后方可部署防火墙,这无疑增加了额外的成本。为此广州海关对于需要引入的安全设备,提出了如下的要求:

● 可支持“多桥”部署:引入到海关网络中,不需要改变原有的结构,可灵活部署在省级节点和各个地市节点之间,并实施有效的隔离与访问控制;

● 多种安全功能实施综合防御:引入的安全设备可支持多种安全功能,在防火墙访问控制的基础上,还能够对访问数据包进行深度检测,能够防范病毒、攻击等行为;

● 高性能:特别是开启了多个安全功能后的整体工作效率,至少应保障能够近1Gbps的安全检测效率,以保障多个市级节点接入后,并开启开去多个安全检测功能后,海关的整体政务运行效率。

解决方案

由于山石网科SG-6000-G5150支持”多桥“的部署模式,因此完全可符合广州海关对安全设备的要求,在不影响当前网络结构和配置下,每个地市的接入链路都配置在一个VSwitch下,这样数十个下级海关节点就开启了数十个VSwitch,每个VSwitch之间均通过访问控制规则,限制不同海关节点之间的安全访问,形成如下图所示的安全配置方案。山石网科SG-6000-G5150配置在多桥模式下,在不影响原有的网络结构下,还保障了系统的工作效率,实现了各个接入分支间的隔离与安全控制,还发挥了如下的安全作用:

● 综合安全检测与控制

山石网科企业安全设备提供了多个安全检测与控制功能,在广州海关,企业安全设备开启了防火墙,防病毒,入侵防御功能,对各个分支接入到海关的访问数据包进行深度检测,通过访问控制限制了非法的接入访问,防病毒则限制了恶意代码的传播,如侵防御功能对攻击数据包进行了检测与阻止,多种技术对访问进行了综合性的防御与控制。

● 高性能安全过滤

山石网科企业安全设备采用了多核硬件架构,在多个核内并行处理数据包,提升了工作效率;此外,企业安全设备还采用统一检测引擎技术,实现一次解包全面检测,大大降低了单个数据包的安全检测延时;两种技术综合起来,使得整机在全安全功能开启模式下,具有良好的工作性能,并达到近1Gbps,完全符合广州海关对性能的要求。

运行效果

山石网科企业安全设备的多桥模式,特别适用于广州海关,每个分支的接入链路均配置在不同的VSwitch上,实现了不同分支分之间的隔离,并通过多种安全检测与防御功能,对接入访问进行了深度的检测与控制,从而保障了广州海关业务访问的安全性。

相关产品