四川XX集团网络安全升级方案

1. 背景及现状

四川XX集团经过20多年的发展,企业规模庞大,下辖四川XX塑胶、XXXX房地产、四川XX包装、金华XX塑胶包装、清远XX塑胶包装、四川XX物业管理等6家企业。业务稳步发展是XX本地知名企业。

在创业过程中,IT系统从无到有,逐步建立和完善,在因地制宜,从需求本身出发的指导方针下,集团公司已完成覆盖总部各单位的园区网,其中包含财务系统、ERP系统、视频监控等重要应用。各下辖子公司通过互联网直接访问集团公司的业务系统。

2. 风险分析

经过调研和访谈,我们认为XX集团信息系统目前存在以下风险及弱点:

2.1. 缺乏统一规划

由于企业发展不是一蹴而就,信息系统也是跟随企业发展进度逐步完成的,各个系统各自为政,没有统一规划和管理措施,集团信息部门希望尽快改变这一局面。

2.2. 安全措施和手段不足

在系统建设之初考虑的更多的是业务相关的特性,比如说ERP系统的各项功能是否符合企业的需要,而从安全性上考虑较少,先用起来再说,经过访谈和机房参观,我们发现目前只有一台防火墙作为安全设备对重要服务器进行了防护,办公网、视频监控网都没有相应的安全设施。

这不但会造成系统信息可能丢失、被篡改,严重情况下可能会带来一些法律风险。

分支机构通过金万维实现到集团公司互联,这种方式适用于小型企业和分支机构,但是已经不适应于XX集团这种大型企业,从业务稳定性和安全性来说,金万维都不适合在XX集团使用。

2.3. 系统可靠性比较低

目前集团网络有3条互联网出口,但是这3条出口是各自独立的,没有进行整合。分别对应办公网、服务器和视频监控3个主要部分。假设服务器链路中断,那么全集团将不能访问到ERP等,对集团生产科研工作开展将产生非常大的影响。

办公网如果需要访问到服务器,也需要通过互联网中转,数据通过互联网极易被篡改和监听,导致企业机密信息失窃。

3. 建议方案

3.1. 总体思路

首先,企业管理层需要认识到信息系统不是可有可无的,信息系统已经深入到企业生产管理的每个角落,信息部门需要同企业管理层保持紧密沟通,从专业的角度给管理层提出建议,避免企业在信息化发展上走弯路,花冤枉钱。

其次,信息部门需要立足自身企业的特点,结合同行业和其他先进单位的案例,与国内外知名厂商展开合作和深入沟通,为管理决策层提供正确的意见和方向。

根据目前XX集团目前的现状,我们认为信息部门的首要任务是正确识别安全风险,统一思想,统一规划,统一实施。

3.2. 建议方案

3.2.1. 网络改造

首先我们建议将现有的三条互联网出口统一到一套设备上来,通过路由策略部署实现多出口冗余,保证在任意两条链路失效的情况下业务系统还可以完全正常工作。

其次,通过防火墙设备实现访问控制策略,将重要服务器单列于防火墙DMZ区,所有需要访问业务系统的流量必须经过防火墙审查,同时将访问控制策略作用于防火墙,屏蔽无关或非法攻击。

由于视频监控内部流量较大,建议将视频监控单列一个安全区域,使从摄像机到NVR的流量不穿越防火墙,否则防火墙负担过重,需要选用高端设备,浪费钱。只需要将需要出局的流量(比如领导在外要观看视频这类流量)通过防火墙并做访问控制,就可以有效的降低核心防火墙负载。

为了提高系统可靠性,建议防火墙采用双机热备的方式组网,同时将3条外网线路通过交换机集中到一起接入到防火墙。这样可以保证核心出口的可靠性和稳定性。 建议每个分支机构部署防火墙,通过与集团本部防火墙建立端到端VPN隧道,实现安全和加密的业务通道。分支机构到互联网的流量从本地运营商出局,到集团公司流量则通过VPN加密,防止被公网恶意攻击者窃听和篡改。

四川XX集团网络安全升级方案插图

1.1.1. 安全策略

安全策略主要有以下几个方面:

  1. 禁止从互联网访问办公网。
  2. 只允许访问视频服务的某些IP和端口,杜绝针对视频监控系统漏洞的溢出攻击。
  3. 只允许访问内部服务器的某些特定端口和应用,杜绝非法访问和溢出。同时禁止服务器主动向外发起连接。

2. 投资预算

2.1. 预算清单

型号描述单价数量小计备注
SRX340-SYS-JBSRX340服务网关包括硬件(16GE,4x MPIM插槽,4G RAM,8G闪存,电源,电缆和RMK)和Junos软件基础(防火墙,NAT,IPSec,路由,MPLS和交换)。6分支机构可选
SRX345-SYS-JBSRX345服务网关包括硬件(16GE,4x MPIM插槽,4G RAM,8G闪存,电源,电缆和RMK)和Junos软件基础(防火墙,NAT,IPSec,路由,MPLS和交换)。2 
SRX345-IPS-3IPS入侵防护三年授权 2 核心防火墙可选配
EX2300-24TEX2300 24端口10/100 / 1000BaseT,4 x 1 / 10G SFP / SFP + 3 
EX-SFP-1GE-LXSFP模块 20 初设数量
总计 

1.1. 产品选型及说明

本方案中涉及到以下几款产品:

1.1.1. SRX340和SRX345

SRX300业务网关产品线由一系列安全路由器组成,它们提供很高的性能和业已验证的部署支持,企业可以利用它们构建连接数千个站点的全球网络。为通过WAN或互联网连接站点提供Ethernet、serial、T1/E1、xDSL和3G/4G LTE无线选项。业内最好的高性能IPsec VPN解决方案,提供全面的加密和身份验证功能来保护站点间的通信安全。多种规格和自带GbE端口上的以太网交换支持,为关键任务型部署提供了经济有效的选择。瞻博网络的自动化和脚本编写功能以及Junos Space SecurityDirector,能够降低运行的复杂性,简化新站点的预置。

SRX300产品线能够识别3500多种L3-7应用,包括Web 2.0和P2P应用,如Skype、torrent等。通过结合使用应用信息和用户上下文信息,SRX300产品线能够生成带宽使用报告,实施接入控制策略,并为WAN接口的出站流量分配优先级和限速。这优化了分支办事处的资源利用,改善了应用和用户的体验。

SRX300产品线为网络边界提供一整套应用安全服务、威胁防护和情报服务。这些服务包括:入侵防御系统(IPS)、基于用户角色的防火墙控制、基于设备和基于云的防病毒、防垃圾邮件和增强的Web过滤,从而保护你的网络远离内容传播的

最新威胁。瞻博网络Spotlight Secure提供全面的安全情报,针对与命令和控制(C&C)相关的僵尸网络提供自适应的威胁防护,并基于GeoIP执行策略。客户还可以利用他们自定义的第三方通知来防止高级恶意软件和其它威胁。SRX300业务网关运行瞻博网络Junos操作系统,这种业已验证的操作系统目前已经应用于全球前100家服务提供商的核心互联网路由器。其经过严格测试的运营商级IPv4/IPv6、OSPF、BGP路由特性和多播特性,已经在15年以上的全球部署中得到了验证。

SRX345业务网关将安全服务、路由、交换和WAN连接性整合到一个1U设备中,适合于大中型分布式企业。SRX345是一种经济高效的集成化网络和安全平台,最多支持5Gbps防火墙和800Mbps IPsec VPN。

四川XX集团网络安全升级方案插图1

SRX340业务网关将安全服务、路由、交换和WAN连接性整合到一个1U设备中,能够安全地连接用户的中型分布式企业。SRX340是一种经济高效的集成化网络和安全平台,最多支持3Gbps防火墙和500Mbps IPsecVPN。

四川XX集团网络安全升级方案插图2

在本方案中,我们在集团本部采用SRX345作为核心安全设备,搭配SRX345-IPS-3 IPS选件实现集团信息中心的安全性。

在分支机构采用SRX340作为安全设备,与集团中心SRX345实现VPN互联。

1.1.1. EX2300

EX2300 以太网交换机提供小巧、高密度、经济高效的解决方案,适合高度注重节约空间和能源的网络环境。EX2300外形小巧,仅需占用1U空间,因此极为适合工作组环境中的访问层部署,以及规模较大的网络中的融合网络访问。

有两种 EX2300 交换机型号可用,在单个平台中提供 24 或 48 个 10/100/1000BASE-T 端口。两种型号均有支持/不支持 IEEE 802.3af 以太网供电 (PoE) 或 802.3at PoE+(用于为所连接的网络设备供电)的选项。可选的前面板 10GbE 上行链路端口支持连接到更高层的设备。

EX2300 交换机支持瞻博网络的集群交换技术,允许最多四个平台互连为单个逻辑设备进行管理。交换机还可配置为 Junos Fusion Enterprise 部署中的卫星设备,此类部署将大量接入交换机聚合到一个逻辑管理平台之中。

四川XX集团网络安全升级方案插图3

1. Juniper(瞻博网络)介绍

1.1. 从数字看瞻博

  • 我们搭建了全球规模最复杂、要求最严格的网络,我们的客户包括全球顶尖的电信运营商和“财富 100 强”中的 99 家企业
  • 全球 5 大社交媒体网站的运行都基于瞻博网络的架构,每天支持的更新超过45亿次
  • 在全球8大证交所中,有7家在瞻博网络产品的保护下进行运行
  • 620 多家美国联邦机构部署了瞻博网络的产品
  • 我们在47个国家开设了123个办事处,员工超过一万名
  • 我们在全球拥有12,000多家渠道合作伙伴
  • 我们在全球运营着16个24小时服务的技术支持中心
  • 我们已连续3年被评为全球“最具商业道德”的企业之一

整个世界正经历着前所未有的飞速发展,业务数据量每 1.2 年即增加一倍。网络能够将我们最优秀的人才、最先进的思想和最美好的愿望凝聚起来,共同应对全球所面临的各种挑战,因此可以说,网络具有前所未有的重要性。云计算和移动互联网的发展所趋,将可能扩充网络的覆盖范围,同时带来用户、新流量和新内容的爆炸式增长。面对如此高涨的需求,传统的思维模式无法将这种可能变为现实。然而今天,瞻博网络正致力于改变和挑战传统的网络模式,并提供创新的解决方案。

1.2. 我们的愿景

我们相信,网络能够传播知识、增进了解,是促进人类进步最重要的工具。今天,整个世界比以往任何时候都更倚重高性能的网络。同时,也比任何时候都更需要网络创新来发挥我们的全部潜能。

在应对全球所面临的关键挑战方面,网络发挥着核心作用。在医疗行业,要在服务水平较低的社区实施全新的低成本移动护理模式,必须以网络为基础。在能源行业, 网络有助于更快地输送清洁的可再生能源。在教育行业,更多的人可以利用网络来访问高质量的教学资源。由此每个具有社会经济学背景的人都能够自学和参与全球的经济活动。归根结底,网络作为一个平台,已经改变我们与政府机构进行互动、开展日常商务活动,以及与家人和朋友保持联络的方式。

每天,瞻博网络都在帮助客户搭建世界上最好的网络。我们的每一个创新构想、我们的每一次技术开发,都是源于我们要帮助客户解决最严峻的挑战,使他们能够在今天和未来参与竞争和不断发展。

1.3. 我们的服务对象

如果您的企业要依靠网络来执行重要的交易、应用和服务,与瞻博网络合作将是明智的决策。

虽然我们的客户群已经从最复杂的电信运营商,扩展到部分最具规模、最具影响力的企业级用户,但我们一直秉承同样的理念:我们始终专注于了解客户的需求,只有这样,我们才能够发现和解决他们所面临的最棘手的问题,而这些问题甚至是其它厂商解决不了的。

我们致力于开发各种解决方案,为客户提供真正的竞争优势:可以在数分钟(而非数月)内向市场推出新的创收服务:也可以降低网络成本;建立更智能、更高效的业务流程;为其最重要的资产提供安全保护;还可以提供更丰富的终端用户体验。无论面临什么挑战,我们的客户每天都期待为自己的企业构建最好的网络。他们借力瞻博网络,实现此目标。

全球顶尖的服务供应商都在运行瞻博网络的产品,包括最具规模、业务最繁忙的有线和无线运营商、有线电视和卫星电视运营商、内容和互联网服务提供商,以及云和数据中心提供商。与瞻博网络合作的客户还包括:主要银行及其它的全球金融服务机构、全球 8 大证交所中的 7 家、政府部门和美国联邦机构、医疗和教育机构、能源和公用事业公司,以及“财富 100 强”企业中的 99 家。

他们为何选择瞻博网络? 原因很简单,因为我们能提供创新的理念、战略合作以及承诺,帮助他们构建世界上最好的网络。

“作为一家出色的合作伙伴,瞻博网络一直在帮助我们发展和扩充网络来满足客户不断增长的业务需求。”

——中国移动

“瞻博网络不断为我们新型的消费模式和商业服务提供创新技术和扩展支持,同时还提供简便的管理和灵活性,以支持不断改变的流量模式和应用需求。”

——Verizon

瞻博网络的与众不同之处

瞻博网络的研发投入占收入的百分比超过了业内的任何同行。瞻博网络在网络技术领域的各个层面中都有突破性的创新,包括芯片、系统和软件。

芯片:我们的 Junos® One 系列处理器前所未有地将芯片与软件集成在一起,扩展了网络性能。

系统:我们强有力、简便的网络架构能够满足路由、交换和安全市场的需求。我们通过全新的视角来应对每个架构挑战,研究与物理相关的障碍,如性能、电源、可靠性、 散热和加热。因而得以实现了许多突破性的网络创新,并应用到我们的产品之中,这些创新包括融合式超级核心、通用边缘、虚拟化数据中心,以及包含交换、安全和无线产品在内的 Simply Connected 产品组合。

软件:我们的路由、交换和安全产品统一使用瞻博网络 Junos 操作系统,这让竞争对手无法企及。利用我们的 Junos 和 JunosV 应用引擎平台,客户网络的运维将随着时间的推移变得更加轻松。

我们不断推出突破性的领先技术来改变网络的经济性和客户体验。 我们通过降低网络的购置成本和运行成本,显著提高了客户的经济效益。利用我们独特的 Junos 平台和 JunosV 应用引擎,网络的运维将随着时间的推移变得更加轻松,同时带来最高水平的客户体验。

通过这种方法,我们构建了更强有力、更安全和更可信的网络,而且我们的安全产品能够为不同环境提供端到端的安全保护, 从数据中心到园区和分支办事处环境,再到设备本身。我们的安全解决方案能够从源头阻止攻击。我们在为电信运营商市场开发安全软件和可扩展的高性能系统方面积累了丰富经验,这使我们能够成为重要的合作伙伴并以新方法保障 LTE 等新技术的实施。

我们触及网络的所有层面,提供卓越的客户体验。我们开展的所有工作都是在帮助客户发现、了解和解决至关重要的业务问题。在瞻博网络,我们的每一位工程师、销售人员、支持代表、管理人员和合作伙伴,都专注于提供战略、架构和技术支持来帮助我们的客户构建面向当前和未来的最佳业务网络。

1.4. 创新的传统

在公司20多年的发展历程中,瞻博网络的解决方案一直在挑战人们业已接受的标准和常规,推出了一系列突破性的创新技术,为客户带来市场竞争优势。我们不是在复制竞争,而是在观察世界,认真研究最棘手的挑战,同时开发新的解决方案来改变现状。

我们正是基于挑战传统思维的愿望而创建了瞻博网络。在创建伊始我们就拥有革命性的理念——将芯片技术应用于核心路由,以实现高密度、高速的网络。

作为我们的首款产品,瞻博网络 M40 多业务边缘路由器率先采用了我们基于芯片的分组转发技术,该技术能够显著提高性能、改进架构,并为上世纪 90 年代末互联网的自由发展提供了帮助。M40在架构上的重要突破是实现了控制平面与转发平面的分离,这一理念现已成为新兴的软件定义网络 (SDN) 的重要特征。M40 在路由、交换和安全领域引发了新一轮的技术创新,使我们的客户在构建最佳网络方面拥有了竞争优势。

近来,我们成为了首批认识到云计算对网络具有潜在影响、并积极做出响应的公司之一。服务供应商和企业正在利用基于云的业务模式和虚拟化优势,以便在数小时而非数周的时间内在线启用服务器和存储设备。但是,要部署以硬件为中心的网络 , 依然要用数月的时间。

为此,瞻博网络再次挑战固有的传统网络方法。作为开放式可编程网络的行业领导者,我们为 SDN 在高性能网络中所起的革命性作用,确立了清晰的愿景。我们以软件为中心的业务模式能够增强终端用户的体验,提供一条虚拟化和自动化客户网络的途径,从而提高客户的经济效益、灵活性和敏捷性,并加快向云的迁移。

1.5. 不断扩充的全球影响力

我们建立了一个全球合作伙伴生态系统,它专注于提供和布局新网络,帮助我们的客户提升实际的业务价值。作为对瞻博网络技术和产品的补充,这些合作将充分利用生态系统所带来的一流的解决方案和行业技术,满足更广泛的客户需求。 瞻博网络正与全球的12000多家渠道合作伙伴一起,帮助我们的客户取得成功。

作为企业公民表率,支持可持续的未来发展

作为一家企业和全球社区的一员,瞻博网络的企业公民责任感和可持续发展的战略,为我们应对所面临的最艰巨挑战奠定了基础。这种战略基于我们的创新精神和全体员工的热忱,确保我们做出负责任的选择。瞻博网络将自己定位为节能领域的领导者。我们旗舰平台的能效通常比竞争对手的设计高出 1.2-1.9 倍,而且,我们正在为网络设备制定第一个行业级能效标准。我们还在积极地影响和帮助全球的客户、合作伙伴和员工社区,以及新兴市场和需要我们的领域。2000 年以来,由员工推动创建的瞻博网络基金会已帮助过 500 多家非盈利机构,并提供了1100多万美元的奖金来支持对全球做出重要贡献的机构。

我们致力于创建卓越执行的文化,并体现在我们运营的方方面面。2012年,我们的总部搬到了新园区中通过了 LEED 金级建筑认证的高楼,从而扩展了我们的ISO 14001认证范围,与 2009年(基准年)相比,我们在全球范围内的每平方英尺二氧化碳排放量减少了10%。我们承诺始终按照最具商业道德的标准开展业务,并在“优秀企业公民”的评选中得到了高度的认可和表彰,包括连续 3 年被全球著名思想库美国道德村协会 (Ethisphere Institute) 评选为全球“最具商业道德的企业”。

1.6. 瞻博之道

作为企业,我们最重要的财富是我们的员工。我们的员工是深思熟虑的观察者和独具创新的问题解决者。他们聪明、好学、开放,他们一直在寻求更好的解决方案。我们的企业和文化能够激发员工以最好的状态投入工作,这便是瞻博之道。

“不断增长的移动性呼唤移动安全保护和设备管理,我们很高兴能与瞻博网络合作,因为他们了解消费者和企业 IT 领导者的需求。”

——三星

1.7. 瞻博网络里程碑

1996年2月/瞻博网络公司成立

1998年7月/瞻博网络发布了Junos操作系统

1998年9月/瞻博网络发布第一款产品-革命性的M40核心路由器,为互联网的自由发展提供支持。

2000年9月/瞻博网络发布M系列多业务边缘路由器

2002年4月/瞻博网络发布了新的旗舰产品- T系列核心路由器

2004年4月/瞻博网络进入企业和安全市场,发布了J系列业务路由器和SA系列SSL VPN设备(自 2008年以来,我们一直是高端防火墙安全领域的头号厂商, 而且自SSL VPN出现以来,一直在该市场保持领先。)

2006年10月/瞻博网络推出了新一代分组转发引擎技术I-芯片,这是新的以太网运营商平台MX系列3D通用边缘路由器的基础。

2007年6月/瞻博网络发布T1600核心路由器

2008年1月/瞻博网络推出 EX 系列以太网交换机,进入企业交换机市场(2008 年以来,瞻博网络在以太网交换机市场获得了最快速的增长。)

2008年7月/瞻博网络推出 SRX 系列业务网关,集安全、路由和交换功能于一体。

2009年10月/瞻博网络发布 Junos Space 平台、Junos Trio 芯片组, 为 MX 系列提供 3D 扩展技术。瞻博网络发布其新网络战略

2010年10月/瞻博网络发布 Junos Pulse 移动安全套件

2011年2月/瞻博网络发布QFabric 解决方案和 MobileNet, 并推出VGW虚拟网关。

2011年3月/瞻博网络发布 Junos Express 芯片组,以支持业内第一个融合式超级核心平台PTX系列

2012年2月/瞻博网络发布 ACX 系列通用接入路由器

2012年5月/瞻博网络发布 Junos Web Secure,利用突破性的入侵诱骗技术来实时防御基于 Web 的威胁

2012年10月/瞻博网络发布 MX2020 3D 通用边缘路由器,这是世界上最强有力的边缘服务引擎

2013年2月/瞻博网络发布 Junos DDoS Secure,并推出 Junos Spotlight Secure,这是第一种基于云的全球威胁情报服务

2013年3月/瞻博网络发布PTX3000, 这是世界上最小型的融合式超级核心

2013年5月/瞻博网络推出 JunosV Contrail,为 SDN 提供了一个基于标准的, 高可扩展的网络虚拟化和智能控制解决方案

2014年2月/利用业内唯一开放、安全、多层和多域的 SDN 解决方案扩充了产品组合。 新的软件和硬件 (包括JunosFusion和 NorthStar Controller) 使服务提供商能够构建高智能的网络,从而加速服务的创建,并实时交付新的定制化服务

2014年11月/瞻博凭借首款运营商级虚拟路由器 (vMX 3D 通用边缘路由器),为网络行业确立了新的标准

2014年12月/瞻博推出了OCX1100,这是首款同时采用Open Compute Project(OCP) 硬件设计和运营商级网络操作系统 Junos® OS的交换机

2015年3月/瞻博发布增强的 Converged Supercore®,这是业内最强有力的核心路由平台

2015年4月/瞻博推出业内最快的防火墙 SRX5800

2015年9月/瞻博发布 Unite 架构,提供简便、安全的网络基础架构解决方案,为企业网络带来云的性能、自动化和简洁性

1.8. 互联网里程碑

1969年10月/ARPANET开始投入使用

1984年1月/Apple Macintosh 推出

1985年11月/Microsoft Windows 推出

1996年/互联网主机将近1000万台。全球的互联网用户达到4000万,分布在150个国家。全球进入互联网时代。

1997年9月/Google 搜索引擎推出

1998年4月/Netflix DVD 租赁业务推出(今天,在北美地区,Netflix将近占了高峰时段下载流量的1/3)

2001年1月/在线文档共享出现,全球的互联网用户达到4.95亿。

2003年/每周的网上零售额达到创纪录的20亿美元, 比2002年增长了25%以上。

2003年3月/第一个商用3G网络推出

2004年2月/Facebook 推出(截至2013年3月,每月活跃的Facebook用户达到11.1亿。)

2005年2月/YouTube 推出

2006年7月/Twitter 推出(每天约发出4亿条信息)

2007年1月/全球的互联网用户达到13.74亿

2007年6月/phone 推出

2008年/移动应用下载量达到5.05亿(到2016年,下载应用数量将增加579%,达到3100亿!)

2009年/北美地区的宽带使用率达到 64%

2009年12月/全球的互联网用户达到18.05亿

2010年6月/Sprint在美国发布了第一个移动WiMAX(4G)电话。移动应用下载量达到81.54亿(到2020年,联网设备数量将增加192%,达到280亿台)

2011年3月/北美宽带普及率将近71%

2012年6月/超过24亿人在使用互联网服务。占到全球人口的1/3以上(到2017年, 在线人数将增加35亿 ,约为全球总人口的一半)

2103年2月/移动服务用户数量几乎达到了全球人口的总量

2103年4月/全球出售的平板电脑超过笔记本电脑

2014年/全球互联网用户已超过30亿人,占全球总人口的40%

2015年1月/全球共有超过36亿的独立移动设备用户,同比增长5 %。接入互联网的移动设备总数超过70亿台

友情链接

Juniper网络技术论坛