大型企业的信息系统在网络升级改造时往往考虑到安全要求。 湖南石油分公司在省中心信息系统升级时对安全措施有所考虑,但地、市、县等公司均未作安全建设。企业资源计划ERP的应用对网络系统的性能和信息系统整体安全性提出了更高的要求。根据ERP系统的建设要求,各地、市、县和相关企业都需要纳入到ERP系统中来,从而对全网络信息系统提出了进行安全体系整体规划和部署的要求。
 
对防火墙的技术要求
      网络信息系统安全体系涉及到信息系统中的主机、网络、数据、应用和管理等各个层面,防火墙是网络安全体系统中非常重要、也是很常见的安全设备之一。
 
中石化湖南石油分公司对防火墙设备提出的明确要求如下:
支持高可用性;
支持×××透明接入;
支持VLAN划分;
支持组播策略控制;
支持透明接入到网络系统中;
具有先进行,代表防火墙的发展方向;
易于管理,支持多种管理方式,管理界面支持中文;
适合大面积部署,产品有明细的系列划分,能满足不同规模企业的应用。
 
选择对FortiGate防火墙的理由
      通过对国内外各种防火墙设备的现场环境模拟测试, 湖南石油分公司选择了美国Fortinet公司的FortiGate防火墙。 因为这款防火墙不但满足了他们的各种功能要求, 还集成了防病毒和防恶意代码功能,能够将病毒和恶意代码危害阻挡在网络信息系统外,以保证网内系统稳定安全地运行, 而且适合大规模部署,具有突出的易用性、灵活性和集中控管能力。
 
      湖南石油分公司把FG-1000千兆防火墙部署在省石化网络中心, 其千兆性能完全满足可能出现的100M+28M(100M为互联网接入、28M为SDH接入)峰值进出流量。而且, 两台FG-1000组成高可用性HA,支持省级分公司24 x 7 x 365的不间断运行。同时, 湖南石油分公司在14个地(州)分公司部署百兆级FG-200防火墙。
 
方案描述和系统部署拓朴图
200575212659946.jpg
 
省石油系统综合安全网关连接拓扑图
 
      如上图所示,省中心部署了四台FG-1000,用于高可用性HA, 两两互为热备且负载分担。其中两台用作互联网接入的访问控制和阻挡病毒***, DMZ区接入对外服务服务器,如Web服务、Email服务等,内部区接入局域网。另外两台用作专门保护ERP数据资源和ERP服务器, 既限制了局域网内对ERP数据和ERP服务器的非法访问,也为防止***提供了第二层安全控制。
 
      地市分公司则分别部署了一台FG-200防火墙,以便对来自互联网和来自省级分公司的访问进行明细的访问控制,并对数据流进行深层检查,查、杀数据流中可能存在的病毒和恶意代码,保证各自分公司网络信息系统的安全性。 同时, 也可以避免各地市公司之间或省中心与地市公司之间因使用不慎而造成的误操作影响或破坏其它公司的应用。
 
FG-1000千兆安全网关的特点
在保证网络性能的基础上,实时消除病毒和蠕虫的威胁
提供完整的网络保护功能, 包括基于网络的防病毒、内容过滤、防火墙、×××、***检测和流量控制;
前面板LCD显示屏在没有外部控制台的情况下提供了简单的管理配置系统基本参数
高可用性对重要应用支持透明的故障恢复
多区域的支持允许细粒度的网络分段到一个区域,每一个区域具有独立的安全访问控制策略
硬件加速的、基于ASIC芯片技术的体系架构以及冗余的、热交换的电源支持提供了较高的性能和可靠性
专用的FortiOS实时操作系统使数据处理流程达到优化和加速。
 
FG-200百兆安全网关的特点
FG-200百兆防火墙适合部署在石油分公司下属的地(州)分公司。集成的防火墙和×××功能,基于ASIC芯片的结构,大大提升了安全网关性能。这款防火墙的特点如下:
防火墙性能达120Mbps
提供完整的网络保护功能, 包括基于网络的防病毒、内容过滤、防火墙、×××、***检测和流量控制
适合中小企业安全需求, 性价比高
支持中文的Web GUI和内容过滤,方便安全策略设计
操作简单,便于维护
 
实施效果
      自2003年12月, 中石化湖南石油分公司将FortiGate防火墙成功部署在其网络信息系统中后,其网络一直在安全、稳定、可靠地运行。