互聯(lián)網(wǎng)技術(shù)的發(fā)展對運(yùn)營商來說是挑戰(zhàn)更是機(jī)遇,4G網(wǎng)、IMS、云計(jì)算、NFV等新技術(shù)的引進(jìn)使得運(yùn)營商的全業(yè)務(wù)能力如虎添翼。與此同時(shí),新技術(shù)所帶來的安全威脅問題也日益突出。
運(yùn)營商所遭遇的安全威脅,不論是內(nèi)部產(chǎn)生的、還是外部產(chǎn)生的,由于它與外界信息不斷進(jìn)行交互,正所謂“能力越大、責(zé)任越大”,它的安全保障不容馬虎!
某運(yùn)營商網(wǎng)絡(luò)安全改造的困擾
某大型運(yùn)營商企業(yè)是集廣播電視網(wǎng)絡(luò)運(yùn)營商和節(jié)目集成商為一體的國有企業(yè),不僅可承載傳統(tǒng)的廣播電視相關(guān)的模擬電視、數(shù)字電視等各種業(yè)務(wù),同時(shí)還經(jīng)營VPN接入、網(wǎng)絡(luò)視頻會議、個(gè)人寬帶、視頻監(jiān)控等各種IP數(shù)據(jù)業(yè)務(wù)。其擁有全市用戶200余萬,集團(tuán)用戶若干,是全國知名的廣播電視網(wǎng)絡(luò)運(yùn)營商之一。
該企業(yè)的安全負(fù)責(zé)人卻正在為公司的最新安全改造項(xiàng)目而頭疼,由于近年來IP業(yè)務(wù)突飛猛進(jìn)的發(fā)展,早先的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)存在的問題使得矛盾日益突出,已經(jīng)無法滿足其下一步運(yùn)營。在此次網(wǎng)絡(luò)安全系統(tǒng)改造中,安全部門亟需解決幾個(gè)問題:
1.此次網(wǎng)絡(luò)安全改造不能再重蹈之前的覆轍,設(shè)備的功能和性能選型需要考慮一定的前瞻性,要能滿足公司未來至少5年的發(fā)展。
2.由于不同業(yè)務(wù)區(qū)域共享總出口,且其出口分布在兩個(gè)不同的機(jī)房,并同時(shí)需要具備高帶寬、高實(shí)時(shí)性的特點(diǎn),要求設(shè)備支持異地容災(zāi),同時(shí)可靠性且切換時(shí)延的要求高于普通數(shù)據(jù)業(yè)務(wù)。
3.雖然公司的安全系統(tǒng)建設(shè)起步較早,但是由于以往采取各個(gè)部門獨(dú)立采購的決策模式,導(dǎo)致公司的現(xiàn)網(wǎng)中自上而下已有十多套不同品牌的防火墻,SSL VPN、上網(wǎng)行為管理,防病毒網(wǎng)關(guān)等設(shè)備,部分設(shè)備采購年限較長,已經(jīng)脫保,存在安全風(fēng)險(xiǎn)。同時(shí)這些不同品牌設(shè)備的運(yùn)維管理也給公司的安全管理帶來了巨大的挑戰(zhàn)。新的安全系統(tǒng)需要對現(xiàn)有分布在企業(yè)內(nèi)各個(gè)不同部門自有安全系統(tǒng)進(jìn)行整合,但不能以犧牲性能和可靠性為代價(jià)。
4.新的安全系統(tǒng)作為系統(tǒng)的核心,需要針對7個(gè)不同的內(nèi)部的應(yīng)用系統(tǒng)提供不同的安全策略防護(hù)和安全功能,同時(shí)具備高可靠性和高冗余性。
此次改造的過程不能影響業(yè)務(wù)的正常運(yùn)行,不但要變更小和成本低,還要考慮多個(gè)業(yè)務(wù)系統(tǒng)的平滑遷移,而這一切需要在一個(gè)月內(nèi)的完成設(shè)計(jì)論證和測試。
Check Point無縫對接運(yùn)營商需求
正在進(jìn)行安全改造的這家運(yùn)營商企業(yè)最終選擇了Check Point作為其安全規(guī)劃的合作伙伴,是因?yàn)槊鎸ψ陨淼男枨螅珻heck Point都給出了無縫的對接和響應(yīng)。
據(jù)介紹,作為企業(yè)網(wǎng)絡(luò)的核心,運(yùn)營商IT承擔(dān)著MIS、財(cái)務(wù)、OA、IDC、B2B等7個(gè)子系統(tǒng)的安全控制和接入,重要性非常高,要求電信級安全可靠產(chǎn)品:
Check Point的61000安全系統(tǒng)的全冗余設(shè)計(jì)所帶來的業(yè)務(wù)連續(xù)性和可用性,可滿足電信和數(shù)據(jù)中心的最嚴(yán)苛的冗余性要求。Check Point 61000的所有組件均支持在線熱插拔,為獲得最高可靠性,Cluster XL可在一個(gè)機(jī)框內(nèi)的多個(gè)安全網(wǎng)關(guān)模塊之間工作。Check Point Sync XL提供安全網(wǎng)關(guān)模塊之間系統(tǒng)和安全信息的高效同步,從而保證高系統(tǒng)性能。當(dāng)兩臺61000在高可用性模式下工作,可以完全消除由于系統(tǒng)宕機(jī),升級,更換組件所導(dǎo)致的停機(jī)時(shí)間。
其次,由于是用在總部企業(yè)網(wǎng)絡(luò)核心,連接7個(gè)業(yè)務(wù)區(qū)域,是網(wǎng)絡(luò)安全隔離的核心;考慮到不同業(yè)務(wù)系統(tǒng)的安全需求,要針對不同業(yè)務(wù)系統(tǒng)來開啟不同的安全功能和安全策略,這些安全功能和策略需要完全隔離,不能互相影響:
Check Point VSX虛擬化安全刀片功能為根據(jù)不同業(yè)務(wù)區(qū)提供針對性的虛擬安全網(wǎng)關(guān),如OA區(qū)提供IPS/防病毒/應(yīng)用管控/防僵尸網(wǎng)絡(luò)/DLP數(shù)據(jù)防泄漏等功能;DMZ區(qū)提供IPS/防垃圾郵件等功能;MIS區(qū)提供IPS/SSL VPN等安全功能;財(cái)務(wù)區(qū)提供IPS/防病毒/沙盒等安全功能。
Check Point VSX的另一創(chuàng)新在于能做到對資源完全隔離和精細(xì)化控制。VSX不但能夠?qū)?shù)百個(gè)安全系統(tǒng)集成在一個(gè)單一的硬件平臺,做到對每個(gè)安全系統(tǒng)的進(jìn)程,文件,日志完全隔離。VSX可以對任意一個(gè)虛擬安全系統(tǒng)進(jìn)行單獨(dú)的操作和變更,任何一個(gè)虛擬系統(tǒng)發(fā)生故障都不會影響到其他系統(tǒng)。VSX可以為每個(gè)虛擬安全網(wǎng)關(guān)設(shè)置獨(dú)立的CPU和內(nèi)存資源,可以有效的控制每一個(gè)子系統(tǒng)的新建和并發(fā)性能。
另外,網(wǎng)絡(luò)安全改造策略數(shù)支持能力要強(qiáng),這個(gè)項(xiàng)目估計(jì)要有600多條組策略,可以拆解成80000多單條策略,而之前有國內(nèi)廠商FW高端設(shè)備測試,添加策略編譯后直接系統(tǒng)溢出。考慮以后還會有大量的策略添加,需要確保能支持大量策略的支持:
Check Point支持完全的組狀態(tài)策略,而且沒有策略限制,在統(tǒng)一的管理策略編譯后才下載到安全網(wǎng)關(guān)上,不會因?yàn)椴呗跃幾g造成安全網(wǎng)關(guān)系統(tǒng)影響網(wǎng)絡(luò)應(yīng)用。而且支持GUI圖形界面,可以對象間拖曳拷貝,支持管理界面通過策略收縮條進(jìn)行策略類型整合,對于今后大量策略的添加管理可以節(jié)省管理時(shí)間。
據(jù)悉,由于之前發(fā)生過DNS被惡意攻擊的安全事件,因此對于設(shè)備的性能有較高的要求,同時(shí)兼顧企業(yè)未來5年發(fā)展的信息安全需求,因此設(shè)備必須同時(shí)具備高性能和良好的可擴(kuò)展性:
Check Point 61000是行業(yè)內(nèi)最快的安全系統(tǒng),為大型數(shù)據(jù)中心提供可升級的性能。它基于多刀片硬件ATCA可擴(kuò)展平臺,高達(dá)400Gbps的單機(jī)吞吐能力,超過2億的并發(fā)連接數(shù)和每秒3百萬的新建會話的能力為大型數(shù)據(jù)中心帶來無可比擬的性能。61000系統(tǒng)同時(shí)也具備非常靈活的可擴(kuò)展性,通過所用硬件安全網(wǎng)關(guān)模塊數(shù)量的靈活性,可在一個(gè)機(jī)框內(nèi)提供40 - 400Gbps的吞吐量。
同時(shí),不可忽略的是,由于目前企業(yè)都要求人員精簡,而一個(gè)管理員可能管理大量的安全系統(tǒng)應(yīng)用,再考慮到日常維護(hù)人員策略變更的審批流程,甚至今后的各個(gè)分支的安全管理,如何更好的利用現(xiàn)有資源,進(jìn)行更加簡單便捷的管理模式:
Check Point提供了優(yōu)秀的集中管理解決方案。
首先,Check Point拋棄了傳統(tǒng)的被動防御模式,從“不出事”到主動監(jiān)管網(wǎng)絡(luò)安全事件狀態(tài)。
其次,Check Point的管理是集中式管理,策略統(tǒng)一配置和智能校驗(yàn)。
第三,針對目前很多大型企業(yè)都有指定的集成商人員進(jìn)行日常維護(hù),為了更好的解決,集成商維護(hù)人員日和企業(yè)管理人員對于每天策略變更的的審批流程合理化,Check Point提供世界先進(jìn)的SmartWorkFlow工作流程智能化管理模塊。
第四,針對企業(yè)未來可能對分支的多級管理體系,Check Point提供多級管理技術(shù)體系,可以建立多級管理機(jī)制,在安全部門統(tǒng)一指導(dǎo)監(jiān)控管理下,各部門管理員進(jìn)行對本區(qū)域范圍進(jìn)行日常管理。
后記
Check Point 在緊急調(diào)動測試設(shè)備,并在模擬環(huán)境測試后,一個(gè)月內(nèi)進(jìn)行了測試上線,并在不中斷業(yè)務(wù)的前提下完成了業(yè)務(wù)系統(tǒng)的平滑遷移,此后的一周內(nèi),客戶直接訂購了2臺正式設(shè)備并完成切換;一年多來,設(shè)備一直運(yùn)行正常,客戶的運(yùn)行在上面的包括MIS、視頻會議等7個(gè)系統(tǒng)也均穩(wěn)定運(yùn)行。
對于Check Point 的高性能安全網(wǎng)關(guān),運(yùn)營商客戶非常滿意,在簽定后續(xù)服務(wù)基礎(chǔ)上,正著手準(zhǔn)備把其他業(yè)務(wù)部門的安全網(wǎng)關(guān)逐步整合到Check Point 61000平臺上,并將Check Point 的61000高性能安全網(wǎng)關(guān)放在了網(wǎng)絡(luò)的最核心位置。在此,要說的是,有相當(dāng)數(shù)量的安全廠家在很多行業(yè)領(lǐng)域內(nèi)發(fā)展和應(yīng)用很好,但由于運(yùn)營商行業(yè)的獨(dú)特特性,很多卻難以獲得運(yùn)營商的青睞,而通過這次網(wǎng)絡(luò)安全改造,Check Point贏得了了客戶對其品牌和產(chǎn)品的信任。
京公網(wǎng)安備 11010502049343號