邮政行业解决方案
1 、背景情况
从“信息化高速公路”到“数字地球”,信息化浪潮席卷全球。某省邮政行业经过多年的信息化建设,已经建成完善的网络系统,并且在邮政电子化与信息化方面作了大量工作,产生良好的管理、经济等方面效益。随着信息化建设的不断深入,对于信息系统依赖程度的日益增强,信息安全问题已经困扰到某省邮政的业务流程,受到相关领导的重视,建立一套完善、安全、稳定的信息化系统已经迫在眉睫,以满足目前和今后一段时期内的信息化运行的需要。
信息系统网络分成两个部分组成:储蓄网、邮政网,“两网”隔离,形成各自相对独立的网络。
储蓄网是邮政储蓄业务的信息化平台,包括:储蓄、储蓄卡、信用卡、中间业务,卡业务,代收费业务,而在增加代收电话费、水电费、代收保险费、证券转账等业务的同时,也需要与电信运营商、自来水公司、电力行业、保险公司、证券交易所等单位的网络互联。
邮政网给予传统邮政业务提供信息化平台,包括综合网系统、速递系统、中心局系统、转运系统、电信业务等,同时,提供185、183等网上业务。其外联包括:综合网全国中心、Internet、183全国中心、各个网点等。
2 、应用需求
对于储蓄网及邮政网信息系统来说,需要与外部多个网络互连,有多个网络边界需要进行保护,内网有提供服务的各种服务器,如财务、OA服务器等等,这些服务器都需要进行相应的保护,总体说来,邮政行业的需求归纳如下:
• 确保各边界节点的接入安全;
• 确保接入储蓄网及邮政网系统的各个节点网络之间传输的信息的保密性、完整性和可用性,防止机密信息在传输过程中被窃取、篡改和破坏;
• 确保只有合法用户才可访问储蓄网和邮政网,防止非法用户进入;
• 要防止外部入侵,DDOS等网络攻击;
• 需要对员工浏览的网页进行内容过滤,不让员工登录一些娱乐性,股票性等与工作无关的网站;
• 保证远程用户能够安全可靠的使用网银;
• 保证外部合法用户可以从各种网络条件下安全接入到内网的服务器中获取资料;
• 保证员工从外部接入到内网时的接入安全;
• 不需要用户安装客户端,直接通过WEB界面即可接入,并能够支持各种C/S应该的安全访问;
• 提供丰富的认证方式,可支持邮政内网已有的LDAP认证服务器进行认证。
3、 解决方案
通过对邮政系统的应用需求进行详细的分析,我们采用中华卫士防火墙+中华卫士SSL VPN系统来解决邮政系统的网络安全问题。
中华卫士防火墙主要用来解决下列需求:
访问控制
防火墙最重要的一个功能就是访问控制功能,它能够将内网与外网在逻辑上进行隔离,在网络边界上使用防火墙,能够实现内外网之间的访问控制。中华卫士防火墙不仅能够实现内外网之间进行访问控制,还可以对内网中不同的逻辑区域进行访问控制,如可以将邮政内网分为几个区域,办公室,财务室,查询室……等等,中华卫士防火墙可以实现这些内网区域之间的访问控制,如财务室的员工可以访问办公室,而办公室却不能访问财务室,等等,提供更加细粒度的访问控制功能。
防攻击
对于日益流行的DOS/DDOS攻击,中华卫士防火墙采取了一系列措施。首先,针对基于TCP的网络应用,中华卫士防火墙采用SYN Cookie认证机制,通过SYN Cookie认证的数据流才是合法数据流,可以进行会话或者规则的检查,如果无法通过SYN Cookie认证,则认为是非法的数据流,直接将报文丢弃。
针对UDP和其他协议的报文,采用基于源IP地址进行统计限制的方法,避免IP地址攻击。如有2个HTTP服务器需要进行保护,每个HTTP服务器可以提供200M的浏览服务,假设黑客对HTTP服务器发动攻击,由于有大量的伪装IP,很快就耗光了HTTP服务器的带宽,因此当正常用户访问时,HTTP服务器就无法提供服务,黑客达到了攻击的目的。而中华卫士防火墙采用了统计限制的方式,如可以限制同一个源IP地址不能超过1M,这样就能将伪装IP的多余链接限制住,保证HTTP服务器还有剩余带宽给正常用户。统计项可以包括新建链接速率、链接总数、转发流量等。
通过这些方法中华卫士防火墙可以极大的减轻DOS/DDOS攻击对网络的威胁。
内容过滤
在邮政系统中,可能经常需要控制内部网络对某些站点的访问,如禁止用户访问某些站点(如暴力、色情、言辞反动的主页等)或站点中的某些网页;仅允许用户访问某些站点或站点中的某些网页等。这就需要有效的管理工具来给管理员提供严格的管控手段,有效地实现地址过滤的功能。中华卫士防火墙提供URL过滤和网页内容过滤功能,不仅可以控制用户对站点的访问,还可以控制用户对网页内容的访问。系统提供灵活的管控手段,可根据管理员的设定自动控制用户对网站或网页的访问,提供细粒度的内容过滤规则。
VPN
中华卫士防火墙自带VPN功能,支持IPSEC VPN,L2TP VPN以及PPTP VPN,可实现网关—网关以及移动用户—网关之间的VPN组建,在邮政系统网络边界的防火墙可以确保两个节点网络之间传输的信息的保密性、完整性和可用性,防止机密信息在传输过程中被窃取、篡改和破坏。
中华卫士安全接入网关(SSL VPN)主要用来解决下列需求:
适应各种接入条件
中华卫士安全接入网关支持丰富的接入方式,如小区宽带接入、ADSL宽带接入、CABLE MODEM宽带接入、专线接入等多种Internet接入方式。中华卫士安全接入网关还支持丰富的终端及操作系统,甚至包括一些高端的PDA、智能手机、还有将来的3G手机。操作系统方面不仅支持 Windows 2000/XP/2003/Vista等通用的PC平台,还支持用户使用Windows Mobile平台接入,并且在Windows Mobile平台上能够提供任意的基于IP的访问,也支持非Windows的操作平台的远程接入,极大地满足用户的需要。
无缝集成到现有网络中
中华卫士安全接入网关可无缝集成到现有的网络环境中,企业无需购买其他硬件即可利用现有的网络基础设施组建VPN系统。
中华卫士安全接入网关基于SSL协议开发,企业员工及合作伙伴只要能上互联网 (Internet)即可接入,无须安装VPN客户端软件,直接利用标准浏览器就可以安全地接入SSL VPN以及访问内部信息系统。
每个企业都有自己的一些应用系统或者部署一些常用的服务来满足业务的需要,比如使用Outlook的日历安排功能来安排会议;使用OA系统实现办公自动化。员工主要的工作时间都是在企业内部使用这些特定的应用,因此员工在家里或者酒店需要访问这些企业资源时候也希望保持在公司内网中的使用习惯,不希望更换应用客户端软件,也不希望改变应用客户端的配置。中华卫士安全接入网关支持用户无论在公司内网还是远程接入,都不需要更改用户的使用习惯,实现透明接入。
支持各种C/S应用
传统的SSL VPN只支持B/S应用,而中华卫士安全接入网关不仅支持B/S应用,同时支持多种丰富的C/S应用,如邮件(Outlook、Express、Foxmail等)、远程接入(RDP、VNC)、文件共享(FTP、文件共享目录)、Telnet、ssh等应用,除此之外,还支持多种基于动态端口的应用协议,比如FTP, TFTP, Oracle, SQL server等。这些特性使得中华卫士安全接入网关能够最大程度的满足客户的应用需求。
支持第三方认证
中华卫士安全接入网关支持多种不同强度的身份认证方式,如用户名+口令、RADIUS、AD、LDAP、USB Key、证书、证书+口令、双因子认证等。并且,还支持企业已有的认证系统,如已有的RADIUS、AD或LDAP认证服务器。
4 、产品部属
系统部署示意图如下图所示。
储蓄网部署示意图:
.jpg)
邮政网部署示意图:
5 、应用效果
应用本方案后,邮政系统达到了下列效果:
• 防火墙在各个边界保护了内网的安全,并实现各个边界的访问控制策略;
• 防火墙内的VPN系统保证了防火墙所连接的两个网络之间数据传输的安全;
• 防火墙起到网络门卫作用,只有合法用户才可访问储蓄网和邮政网,防止非法用户进入;
• 防火墙有效的防止了DOS/DDOS等网络攻击,并与IDS一起联动,更能使网络攻击无处藏身;
• 防火墙内设置内容过滤规则,使内部办公人员不能随意访问外部网站;
• 在防火墙内设置P2P控制规则,有效的限制了员工不能使用BT大量下载视频从而占用大量带宽;
• 外部出差如果想接入邮政内网取资料必须先经过SSL VPN认证,从来保证了移动用户的接入安全;
• 储蓄用户通过网上银行进行支付查询等功能也需要先登录SSL VPN进行认证,保证了数据传输的安全;
• 在SSL VPN系统中配置原有LDAP服务器,可以将原有LDAP服务器上的用户帐号导入到SSL VPN中进行更细粒度的授权,也可以直接对LDAP组进行授权,配置好LDAP服务器后,用户在登录SSL VPN时就可以直接选择使用LDAP进行认证了,与原有认证服务器完美结合。