登录
【编者按】
作为一家大型的电力企业,新疆巴州电力公司电力营销管理信息系统按照数据集中的原则进行总体设计、分步建设实施,采用了宽带和电信DDN专线两种网络方式连接各个供电公司,将所有的营销业务工作都纳入到集中统一的计算机管理中,通过电子传票、工作流技术、分级授权完成业务工作的自动分配和流转,并提供基于浏览器的综合查询、统计分析和辅助考核,为巴州电力公司电力营销工作的开展提供有效的技术支持。为了保障全市供电安全,完善用电管理,巴州电力公司建设了比较完善的局域网。然而电力企业网络不仅要解决内网办公和远程办公问题,还要满足电力营销网点、电力合作企业通过外部互联网络接入电力网的要求。深信服科技SSL VPN解决方案通过混合式的安全认证和易于部署的接入方式,协助巴州电力公司组建了安全、高效的VPN网络。
【正文】
案例背景
公司: 新疆巴州电力公司
地点: 新疆
行业: 电力行业
VPN解决方案:SINFOR SSL VPN远程混合安全认证互联
案例概述
新疆巴州电力公司为新疆辖区覆盖面最大的电力公司,下辖众多的供电所,目前有巴州电力公司已使用DDN专线与总部相连,但是对于地理位置偏远的下属单位,专线部署成本高昂,更重要的是很多地方甚至无法布及。新疆巴州电力公司希望此次利用VPN技术将这些分支机构与总部互联,将公司电力营销充分的扩展到每一个所辖的分支机构,在统一的平台下使用公司内部OA办公等系统,提高协作效率,降低部署成本。另外,电力企业网络不仅要解决内网办公和远程办公问题,还要满足电力营销网点、电力合作企业通过外部互联网络接入电力网的要求。
完善的企业网络,应该在严格防止企业信息资源被非法窃取的同时,还为各类远程登录用户界定身份和设置相应的权限,对合法的访问要求提供方便,并且尽可能降低信息安全策略的实施和维护成本。深信服SINFOR SSL VPN系列产品提供更加安全的混合式策略身份认证SSL VPN接入解决方案,使远程访问用户能够通过互联网更加方便、安全、快速的访问企业内部的各项信息资源,同时也提供给客户各更加丰富的功能体验。巴州电力公司网络中心的周工这样讲到:“新疆地域辽阔,我们每去一次地方单位进行维护网络通常都很麻烦,距离最近的单位也有400百公里远,现在过SSL VPN远程可以解决了,效率明显提高了很多。”
巴州电力最终决定采用深信服SINFOR M5400-S二合一的SSL VPN防火墙网关,该系列网关具备IPSEC和SSL 两种功能。使得电力公司进一步提升网络安全机制,以提高电力信息服务及管理水平。
详细需求及解决方案
巴州电力信息网络在建设过程中形成二个显著的特点:下辖各供电所和部分电力营销网点的网络规模比较小,与巴州电力公司总部以及直属单位之间没有专线互联,需要通过Internet提供远程接入;电力公司职员在进行远程移动办公时需要通过Internet快速、方便、安全地访问巴州电力内部网络,及时获取必要的办公资源;巴州电力公司各营业点和合作企业需要通过互联网快速的把数据远程录入电力营销系统业务数据库中。
为实现电力网的上述需求,就不仅需要解决接入问题,并且还要提供一整套安全、访问和控制机制。深信服科技为巴州电网提供了以下的解决方案:
大量移动用户、营业网点、合作企业与总部的互联
1、SINFOR SSL VPN于总部的部署方案
巴州电力公司总部部署了防火墙,网络的规划和建设非常严格,综合考虑各种部署形式所带的来的风险,最终采用了单臂模式。SINFOR SSL VPN网关采用单臂模式部署与原有防火前的后面,只通过一根网线与交换机相连,开放前置防火墙的443端口进行监听即可。
和多数SSL VPN不同,SINFOR SSL VPN网关集成了高性能的企业级状态防火墙,对外只开放443端口,能有效保护内部服务器免受来自Internet的各种攻击。内置的防DOS攻击功能,不仅可以有效防范来自外部网络的DOS攻击,对于内网计算机发起的DOS攻击,SSL VPN安全网关也可以进行防御。
采用单臂模式部署的另一个好处是,即使SSL VPN网关出现故障也不会影响电力公司原有的网络。
阿巴州电力公司总部的SSL VPN部署好之后,移动用户、营业网点以及合作单位都不需要再做任何配置。但是不同的远程访问用户所使用的资源的是不一样的,权限的划分和管理也非常重要。SINFOR SSL 设备具备更细致的权限划分,能将不同的访问组和用户进行权限的划分。
2、混合式身份认证
虽然SSL VPN在互联网中建立的隧道是通过严格加密的,中心的数据信息通过隧道把客户端需要的数据发给用户,但是客户端的合法身份如果没有灵活的方式和安全机制,确保企业内部信息网络免受非法用户的恶意访问和攻击,机密信息可能就被非法用户给利用。
如果客户端机器是一个非健康的主机,例如中了病毒或木马,一旦VPN网关认证了客户端的合法身份,内网的服务器感染病毒的机率就会大大提高。SINFOR SSL VPN网关通过对客户端的安全检查了保护巴州电力公司内网的安全。用户通过个人电脑浏览器打开SSL 登录界面时,SINFOR SSL VPN安全网关通过客户端计算机安全扫描功能,检查计算机系统是否打了补丁、是否安装有相应杀毒程序等,保证SSL VPN接入安全,避免客户端计算机的不安全因素通过SSL VPN传输到企业内部网络产生的安全隐患。还可以根据不同的安全级别进行访问权限的划分。
在巴州电力公司内网中部署了LDAP认证服务器,内网用户的用户名和密码已经存入了服务器中,由于用户数量较大,电力公司希望把这些用户的用户名和密码直接导入SSL VPN网关,使用认证服务器的用户信息对远程访问用户身份进行验证,同时也希望对每个用户进行快速授权分配。深信服SINFOR SSL VPN网关支持通过与用户的LDAP认证服务器结合使用,解决了这个问题。
对电力公司内部移动办公的用户采用SMS(短信认证方式)、基于USB DKEY的多重身份认证机制保证接入端的安去性。移动用户需要将USB DKEY插入USB口输入PIN码后,客户端将向SINFOR SSL VPN网关发起请求,当SSL VPN网关收到请求后启动短信猫以短信的形式向用户发送随机的密码,用户通过在浏览器输入该密码才可以安全访问内部资源。
3、快速访问
传统的SSL 数据传送都是经过没有压缩的,这样会导致客户端访问Web资源和C/S应用时速度低下。巴州电力公司部署的SINFOR SSL VPN安全网关,内置基于硬件的压缩算法和硬件加速卡,提升了网络的吞吐量,该网关采用了基于硬件的GZIP和LZO高速流压缩算法大大提高了终端用户在使用Web资源和C/S应用时的访问速度,减少下载时间和网络流量。SINFOR SSL VPN安全网关内置了硬件SSL 加速卡,将需要计算程度较高的加密/解密流程从CPU中分离出来,提高了SSL VPN网关的性能。
下辖分支结构的互联
巴州电力公司下辖30多个分支机构,目前通过ADSL拨号方式上网,但是都没有相应的防火墙设备。公司总所部署的SSL VPN网关具备独特的IPSec和SSL二合一的功能并配置了防火墙,下辖的各分支机构通过IPSEC VPN进行了互联且通过防火墙形成了对各个分支机构的整体防御。与总部形成了一个更大的网状网络,实现数据的大集中。
案例特点:安全性、扩展性、高速度
SSL VPN解决方案很顺畅地融合到巴州电力目前的网络架构中,基本没有更改目前用户的网络架构,对当前的系统应用也没有任何更改,从而使得网络和应用升级相当平滑。各级领导、管理和技术人员,以电力经营网点及合作伙伴,也都能利用远程办公模式访问到电力系统内部网相应的信息资源。 SINFOR SSL VPN为巴州电力公司的业务和办公应用系统提供了一个最易部署、最适合、最满足需求的SSL VPN解决方案。
| 第1页: 第1页 |
