广州海关纵向网隔离与安全防护

在广州海关，山石网科企业安全设备 部署在省级节点和各个地市节点之间，启用防火墙、抗攻击、防病毒、入侵防御等功能，实施隔离与综合性的防护，保障海关关键业务应用的安全性。

在本项目中，山石网科企业安全设备通过独有的VSwitch功能，实现了“多桥”并行接入，在不改变用户原有的网络环境下，方便地进行了部署和配置，从而大大简化了安全改造的难度，获得用户好评！

需求分析

类似于其他纵向政务网络，广州海关的纵向网络也是分为省、市、县三级，在省级节点，各个市级单位的网络，通过专线直接连接到核心交换机，实现纵向的海关政务访问，但是在安全建设中带来了问题，传统防火墙往往需要对线路进行汇聚，然后才能在汇聚的链路上进行接入，实现隔离与访问控制，因此这就需要额外增加路由器，将各个市级节点的链路汇聚后方可部署防火墙，这无疑增加了额外的成本。为此广州海关对于需要引入的安全设备，提出了如下的要求：

● 可支持“多桥”部署：引入到海关网络中，不需要改变原有的结构，可灵活部署在省级节点和各个地市节点之间，并实施有效的隔离与访问控制；

● 多种安全功能实施综合防御：引入的安全设备可支持多种安全功能，在防火墙访问控制的基础上，还能够对访问数据包进行深度检测，能够防范病毒、攻击等行为；

● 高性能：特别是开启了多个安全功能后的整体工作效率，至少应保障能够近1Gbps的安全检测效率，以保障多个市级节点接入后，并开启开去多个安全检测功能后，海关的整体政务运行效率。

解决方案

由于山石网科SG-6000-G5150支持”多桥“的部署模式，因此完全可符合广州海关对安全设备的要求，在不影响当前网络结构和配置下，每个地市的接入链路都配置在一个VSwitch下，这样数十个下级海关节点就开启了数十个VSwitch，每个VSwitch之间均通过访问控制规则，限制不同海关节点之间的安全访问，形成如下图所示的安全配置方案。山石网科SG-6000-G5150配置在多桥模式下，在不影响原有的网络结构下，还保障了系统的工作效率，实现了各个接入分支间的隔离与安全控制，还发挥了如下的安全作用：

● 综合安全检测与控制

山石网科企业安全设备提供了多个安全检测与控制功能，在广州海关，企业安全设备开启了防火墙，防病毒，入侵防御功能，对各个分支接入到海关的访问数据包进行深度检测，通过访问控制限制了非法的接入访问，防病毒则限制了恶意代码的传播，如侵防御功能对攻击数据包进行了检测与阻止，多种技术对访问进行了综合性的防御与控制。

● 高性能安全过滤

山石网科企业安全设备采用了多核硬件架构，在多个核内并行处理数据包，提升了工作效率；此外，企业安全设备还采用统一检测引擎技术，实现一次解包全面检测，大大降低了单个数据包的安全检测延时；两种技术综合起来，使得整机在全安全功能开启模式下，具有良好的工作性能，并达到近1Gbps，完全符合广州海关对性能的要求。

运行效果

山石网科企业安全设备的多桥模式，特别适用于广州海关，每个分支的接入链路均配置在不同的VSwitch上，实现了不同分支分之间的隔离，并通过多种安全检测与防御功能，对接入访问进行了深度的检测与控制，从而保障了广州海关业务访问的安全性。