新闻中心
  FortiGate 解决方案
  卡巴斯基网络版(反病毒)解决方案
  深圳福义轩信息技术服务级别及优势
  WatchGuard防火墙系列解决方案
  SonicWALL防火墙解决方案
  Sophos UTM 防火墙安全解决方案
  BlueCoat网络安全解决方案
  CheckPoint 解决方案
  网康上网行为管理解决方案
  安全咨询
  云安全技术公共服务平台
  风险评估工作管理
  安全及运维
  山石网科的专业培训2017年时间安排
  安全技术服务
  桌面云解决方案
  山石网科产品的2017年度保修说明
  智慧城市信息安全运营保障系统
  新华三H3C解决方案
 
首页 > 解决方案 >FortiGate 解决方案 >大型能源企业网络安全解决方案
 
大型能源企业网络安全解决方案
[ 2009-4-13 23:24:45
图片


在某能源省公司网络建设中,通过FortiGate实现了SDH和Internet的链路备份。
1. 在SDH专线和Internet接入链路均正常工作时,某能源省公司总部与市/州级油库之间的业务数据通过专线传输,Internet接入只用于互联网访问;
2. 当SDH专线故障时,利用IP VPN技术,在Internet上利用公用线路资源构建自己的私有数据网,总部和市/州级油库之间通过防火墙设备建立VPN数据连接通道,在建立VPN连接的同时,提供数据的安全加密和认证。Internet接入同时还提供互联网访问;
3. 没有SDH专线接入的部分小型油库/加油站始终通过Internet上的VPN与某能源省公司总部互访。
系统配置部署:
1. 总部:
 在总部的外网出口处配置两台高性能、高可靠、高速的防火墙设备FortiGate 3000做热备份,充分保证网络的可用性。
 FortiGate 3000提供5000个并发VPN通道的连接能力,防火墙速度达2.25Gbps,168位3DES数据加密处理速度为530M,并发的数据会话可达1,000,000个。在总部保证无阻塞的数据交换是设计的关键点。同时开启防病毒功能,将病毒挡在湖南石化网络之外。
2. 数据中心:
 在总部数据中心的服务器群与核心交换机之间部署两台FortiGate 800做热备份,保证数据中心服务器的可用性。
FortiGate 800提供400,000并发连接数和600Mbps的网络吞吐量,完全可以满足对数据中心服务器群的大量访问。
3. 各市/州级油库:
 在各市/州级油库出口处配置FortiGate 200产品,FortiGate 200为10/100M接口, 支持DMZ接口,既提供了各市/州级油库连接Internet的NAT功能,同时可以保护内部应用服务器。另外利用内置的VPN能力,和总部建立加密数据通道,并且可以通过总部和其他市/州级油库进行数据交换。
4. 小型市级油库/加油站:
由于小型市级油库/加油站计算机台数少,传输数据量小,出于成本考虑,无需在网关处配置FortiGate防火墙设备,只需要在相应的计算机上安装FortiClient VPN客户端软件即可使用Client到网关的VPN通信,同样可以满足安全需求。
5. 出差移动用户
在笔记本电脑上安装FortiClient VPN客户端软件,实现Client到网关的VPN通信。
VPN网络方案说明:
本方案******的特点是利用Internet上的VPN链路作为某能源省公司SDH专线的冗余,当专线正常通信时,业务数据以明文的方式通过专线传送,Internet仅仅作为外网访问使用,使链路得到合理优化的利用,同时保证了安全和效率。
 当SDH专线故障时,所有数据均通过Internet传送,其中业务数据经过VPN的加密和认证,同样可以保证数据的安全性。
本方案******程度上保证了数据的安全和效率。
在防火墙的系统配置中,网络用户的Internet访问通过NAT(地址转化)的方式进行,并且可以设定两种应用的不同带宽,我们需要保证VPN通道数据的带宽为******,这样,使访问Internet的数据流量完全不影响私网数据的传送。
整个网络建设有以下优点:
1. 适宜具体需求,满足用户的应用;
2.完整的解决了私网互连和上Internet之间的问题;
3. 可行性强,实施方便,在各分支网络中不需做其他工作;
4. 减少整体投资,具有良好的性能价格比;
5. 系统可扩展性强,因为IP VPN是建立在公网上的私有连接,因此当网络拓扑改变时,只需更改软件配置,不依附于资源提供商和物理设备;
6. 数据高度保密, 提供IPSEC *********别的安全保护
 本方案提供了良好的网络的集中管理和监控功能。利用防火墙设备,可以严格的控制数据的流向和各种数据服务,方便管理各总部的网络配置。
利用防火墙设备的日志、监控、告警功能,可以方便的管理和监控各总部的网络运行状态。