扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以进行有效检测和防护。系统安全漏洞的发现和黑客利用漏洞攻击之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试安全漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得愈发严重。
中兴通讯的ZXSEC US统一安全产品,是基于ASIC加速的硬件安全设备;系统采用先进的检测技术和独特的网络内容处理技术,集成了多种安全技术于一身。它能够通过简单的配置和管理,利用集中的管理平台,在不影响网络性能的同时,实时检测各种病毒、蠕虫入侵,阻挡来自垃圾、病毒邮件的威胁,进行Web 流量过滤等防护工作,以较低的维护成本为用户提供一个高级别保护的“安全隔离区”,构筑一个完善的安全防护架构。以下将介绍中兴通讯ZXSEC近年来在各行业所取得成功的十个经典案例:
一、客户口中的ZXSEC:
“使用防火墙后, 病毒明显减少甚至没有, 无故死机现象明显较少,真正体现了 ‘安全的网络’。
——中国石油化工总公司某省分公司
“天津北方教育网自安装上ZXSEC US防火墙以后, 服务器及办公网络没有遭到病毒攻击, 系统的灵活应用良好的稳定性给该网提供了安全保障。”
——天津北方教育网
“中国教育电视台自使用上ZXSEC US防火墙以后, 有效地管理控制访问, 一体化的安全功能为该网提供了安全保障, 达到了预期的效果。”
——中国教育电视台
“ZXSEC US防火墙系统稳定, 安装灵活, 配置简单, 细粒度的VPN 设置保障本企业数局安全传输, 效果良好。”
——华联超市
“TCL 集团销售公司VPN 专网目前的应用包括视频会议、销售系统、内部信息交流等应用。自2003年7 月开始验收至今, 系统稳定, 达到预期安全防护效果。”
——TCL集团销售公司
“兴业银行成都分行办公网/业务网自2003 年6 月开始验收至今, 两台ZXSEC US180 系统稳定,达到预期安全防护效果,特别在“冲击波”病毒爆发时,办公网ZXSEC US180有效检测并阻止“冲击波”病毒。”
——兴业银行成都分行
“重庆永川电信局永川在线网自2003 年6 月开始验收至今,系统工作稳定,服务器遭受的黑客攻击明显降低,防火墙阻断了许多攻击行为,并生成许多有迹可循的日志。我们收到病毒邮件的事情也少了很多,生成的病毒攻击日志极大地方便了管理员的工作,达到了预期安全防护效果。”
——重庆永川电信局永川在线网
“自2003 年5 月验收至今,系统工作稳定,达到了预期安全防护效果。”
——南方电力集团总公司
二、ZXSEC十个经典案例扫描:
1. 护航2009年大学生冬季运动会
2009年2月,第24届世界大学生冬季运动会在哈尔滨隆重开幕。中兴通讯作为本届世界大学生冬季运动会网络设备独家指定供应商,为组委会提供的ZXSEC US统一安全产品已经正式开始为本届大学生运动会服务。此次大学生运动会期间,ZXSEC US统一安全产品将为大学生冬季运动会的比赛场馆、计分中心、新闻处理中心等29个信息点提供统一的网络安全防护,包括防火墙防护、VPN数据安全传输、病毒检测与过滤等安全保护。在计分中心采用了两台ZXSEC US6110,在其它28个信息点,分别部署了56台ZXSEC US180,均开启了防火墙、防病毒、IPS功能,为整个大学生冬季运动会提供全面的信息安全防护。
2. 力保中国石油化工总公司某省石化业务永畅
网络系统说明:
中国石化某省网络是中国石化总公司某省分公司全省业务网,为全省的石油产品销售提供服务。全省网络由省中心、各城市、地市级、加油站、移动用户、县级等多层组成。本网络的业务和上网流量分开、并且业务流量加密。
网络配置:
该网络共安装使用 4 台ZXSEC US2010A,20 台 ZXSEC US350和若干台US180/120。在省中心安装两台病毒防火墙ZXSEC US2010A专用于防护数据中心服务器群,工作在透明 HA模式,启用 VLAN。
省中心与各城市之间有会聚点。在网络中心启动防病毒/蠕虫功能,进行网络攻击防御。
数据中心 IDC 也使用两台ZXSEC US2010A,作 HA连接,用做负载均衡,并开启防病毒功能。
在地市级,使用 ZXSEC US350工作在透明模式,并启用IPSec VPN 功能作为分支节点。
在加油站、移动用户和县公司,共有 2000 多个远程SSL VPN用户,用作为移动远程访问客户。对于县公司,使用低端US180工作在透明模式,启用IPSec VPN 功能作为分支节点;对于加油站,使用低端US120工作在透明模式,启用IPSec VPN 功能作为分支节点。
在全网安全总体部署下,各个层次办公点和加油站都达到网络安全防御的目的。
网络结构拓扑:
中石化总公司某省石化网络连接图
3. 多数据多业务广域网助推广东省粤电集团
广东粤电集团,是国家电网重要骨干成员,2008年8月与中兴通讯签订了数据多业务网络的建设合同。其中涉及到数据、VOIP、视频等多种业务形态,为了保障此网络安全运作,采用了2台ZXSEC US6110,10台ZXSEC US2010A来承担网关处、网络安全域划分工作。重点启用了防火墙、IPS、SSL VPN等重要功能,不但让网络得到了保护,SSL VPN更成为数据专网的补充,为中央党校移动办公用户提供接入功能。
4. 稳固屏障坚守天津北方教育网
网络系统说明:
天津北方教育网是天津市教育局直属单位,主要为天津的高校、中学提供服务。日用户访问量最高峰达到几十万个连接,总出口20M,提供游戏、电影、课件下载,bbs 论坛,Web 访问等服务。
网络配置:
天津北方教育网使用了两台ZXSEC US550,其中一台保护服务器,另一台保护内部局域网, 拥有60-100个用户。
1、 保护服务器(4-5 台)的ZXSEC US防火墙工作在透明模式;
2、 开放FTP、HTTP、SMTP、POP3、SQL Server 等服务;
3、 启用病毒检查和NIDS 功能,记录日志到远程;
4、 保护局域网的FGT 工作在NAT 模式;
5、 主要是使用从内部到外部的访问策略;
6、 开启NIDS 和病毒检查功能。
5. 打造中国教育电视台一体化的安全
网络系统说明:
中国教育电视台使用了两台ZXSEC US550,其中一台放在办公局域网(30 人以上)的出口(2M),另一台放在其他局域网(100 人以上)的出口(2M)。
1、 两台设备都工作在NAT 模式下;
2、 使用的功能基本类似,启用DHCP 功能、病毒检查、NIDS、记录日志到远程;
3、 防火墙的输入-〉输出策略,控制内部用户上网;
4、 输出-〉输入策略,保护内部服务器,提供HTTP、FTP 和邮件服务。
6. 构建五城市华联超市营业网
网络系统说明:
采用ZXSEC US70 和ZXSEC US550,北京、上海、广州、成都和郑州五个点之间用ZXSEC US70构建一个环路的VPN网络,北京中心处放置ZXSEC US550 作为与外部网络信息交换的网关。
1、 策略控制;
2、 Web 内容和有害网页控制;
3、 网络攻击防御;
4、 内部主机NAT 地址转换;
5、 内部服务器地址和端口保护;
6、 分支机构和总部的VPN 安全访问。
7. VPN 专网稳定TCL 集团销售网络
网络系统说明:
TCL 集团销售公司是TCL 集团下属家电产品销售公司,在全国建立了168 个分公司和经营部,是TCL集团规模最大的销售网络。总部采用一条10M 电信光纤和一条100M 联通光纤, 20 多个分公司到总部均有512K-2M 速率的DDN 专线。140 多个经营部均采用ADSL 或宽带上网。
网络配置:
TCL 集团销售公司VPN 专网采用了两台ZXSEC US550, 10 多台ZXSEC US180,100 多台ZXSEC US70。其中一台ZXSEC US550专门提供VPN 接入,一台ZXSEC US550提供服务器保护和Internet 接入。ZXSEC US180和ZXSEC US70安装在各分公司和经营部,提供VPN 接入、防火墙、防病毒保护。具体实施如下:
1、 全部实施VPN 功能,启动NAT 穿越功能;
2、 ZXSEC US180基本为固定IP 宽带网接入,采用NAT 模式;
3、 ZXSEC US70大部分为PPOE ADSL 虚拟拨号接入,采用NAT 模式;
4、 所有设备开启SMTP/POP 病毒扫描和蠕虫防护;
5、 分公司和经营部ZXSEC US均阻止外部到内部的访问,总部保护服务器的ZXSEC US550允许HTTP/SMTP/POP 端口;
6、 总部ZXSEC US550开启NIDS/IDP 和本地日志记录(防病毒日志、入侵攻击日志)功能。
8. “冲击波”克星:兴业银行成都分行办公网/业务网
网络系统说明:
兴业银行成都分行为福建兴业银行下属分行,其网络分为业务网和办公网两部分。其中业务网涉及对中国人民银行等其他银行的各种结算接口,该条链路业务较为繁忙,对链路及设备的稳定性要求较高。办公网由100 台左右的工作站和服务器组成,通过2MDDN 专线连接Internet。
网络配置:
兴业银行成都分行办公网/业务网采用了两台ZXSEC US180, 其中一台ZXSEC US180安装在业务网与中国人民银行结算中心之间,提供对业务网的保护,另一台安装在办公网连接Internet 之间,提供对办公网的保护。具体实施如下:
1、 安装在业务网的ZXSEC US180采用透明模式,办公网的ZXSEC US180采用NAT 模式;
2、 业务网的ZXSEC US180 只开启结算软件需要的指定服务端口,其他均阻断;
3、 办公网的ZXSEC US180开启内部— 〉外部,HTTP/POP/SMTP/DNS 服务,其他均阻断;
4、 两台ZXSEC US180均开启NIDS/IDP,办公网的ZXSEC US180开启HTTP/SMTP/POP 病毒和蠕虫扫描;
5、 办公网ZXSEC US180开启病毒攻击日志和入侵攻击日志。
9. 显著提升管理绩效:重庆永川电信局永川在线网
网络系统说明:
重庆永川电信局永川在线网是重庆永川综合门户网站,提供多种Internet 应用服务--永川在线web站点、Email 邮箱服务、在线游戏、视频点播等应用,拥有10 多台NT/UNIX 服务器,日访问量达40-50M 流量。
网络配置:
重庆永川电信局永川在线网采用一台ZXSEC US550,提供对在线网应用服务器的保护。具体实施如下:
1、 采用透明模式,开启SMTP/POP 病毒扫描;
2、 根据不同的应用服务器开启HTTP/SMTP/POP、游戏、远程管理等指定端口,其他均阻断;
3、 开启NIDS/IDP 功能,采用远程日志服务器记录病毒攻击和黑客攻击日志;
4、 开启病毒攻击和黑客攻击邮件警告;
10. 财务部的网络大门:南方电力集团总公司财务内部网
网络系统说明:
南方电力集团总公司财务内部网隶属南方电力集团总部网络,总部采用专线上网,财务部网络与总部网络采用100M 以太网连接,与其他部门有许多集团应用,但无任何安全防范。
网络配置:
南方电力集团总公司财务内部网采用了ZXSEC US350一台, 安装在财务部网络与总部网络之间,提供对财务部网络的保护。具体实施如下:
1、 采用NAT 模式,开启HTTP/POP/SMTP 防病毒扫描;
2、 只允许总部与财务相关的服务器访问财务部服务器指定服务,其他部门均不允许访问财务部;
3、 限制财务部上网,只允许部分人员访问Internet;允许访问总部其他资源;
4、 开启internal 端口和external 端口的NIDS/IDP,并开启病毒攻击日志和入侵攻击日志。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。