思科为东方企业打造安全的网上家园
敬业的IT人
互联网
佚名
2008-2-1 12:06:06
这是一个崇尚个性的年代。门户网站希望能提供个性化的内容和服务,网民希望可以个性化地生活在网上,就连系统集成商们也希望自己能够为不同的用户提供富有个性、量身定作的解决方案。在东方网上家园网站的网络建设中,思科系统公司为东方企业定制了一个富有个性化的网络安全解决方案,之所以说富有个性,不但因为这个方案是根据东方网上家园的具体特点而打造,还因为尽管这个方案是网络安全的解决方案,但整个方案却是围绕思科高性能的交换机——Cisco Catalyst 6509而展开的……
东方网上家园网站是东方企业推出的一个门户网站,这个网站的服务包括:网站生成与发布、域名解析、Email、BBS、可视电话、网络寻呼、IP电话等。东方企业希望通过这个网站把用户和网络真正的结合在一起,让用户更加方便、安全、放心、省心地使用互联网,真正快乐地生活在网上。
“让用户快乐地生活在网上”是东方企业建设东方网上家园的美好愿望,但实现起来并不容易,需要克服许多困难、解决许多问题,其中网络安全问题就是需要首先解决的一个非常棘手的问题。作为一个向用户提供各种网络服务和资源的门户网站,东方网上家园具有功能多、服务杂、用户多、类型杂等特点,可以说,东方网上家园既是信息交换中心枢纽,同时也是安全事件的多发地带,其网络安全的防护必然是各项工作的重中之重。
选用思科个性化的安全解决方案
东方企业对东方网上家园网站的网络安全非常重视,经过严格的招标的慎重的比较,东方企业最终选择了思科系统公司个性化的网络安全解决方案。在思科的网络安全方案中,并没有出现一堆诸如防火墙、IDS等网络安全设备,核心设备却是Cisco Catalyst 6509交换机,至于各种网络安全功能则是通过集成在这台交换机上的各种网络安全模块实现的。Catalyst 6509是思科公司最新的交换机产品,作为业界领先的交换机平台,Catalyst 6509交换机可以高度集成思科各种网络安全硬件模块,包括防火墙服务模块、IP安全虚拟专用网(IPSecVPN)服务模块、入侵检测系统模块和网络分析模块(NAM)。如果将这些安全模块结合在一起使用,客户将能够在交换机上部署综合安全性,而无需分别管理的不同设备。在东方网上家园的网络系统中,Cisco Catalyst 6509不仅是骨干交换设备、Internet接入路由设备,同时还是整个系统的网络安全中心。
一台交换机守护两个网段的安全
作为东方网上家园的网络安全中心,Cisco Catalyst 6509要确保两个网段的安全,既要守护着面向Internet公网的用户主机服务器的安全,同时也要守护面向Intranet私网的数据库服务器和目录服务器的安全。
1. Internet公网安全
面向Internet公网的用户主机服务器包括统一认证(SSO)服务器、转址服务(Redirect)服务器、主站服务器和DNS(Main)服务器等,这些服务器所提供的服务都是关键性服务,其它的访问服务都依赖于这些服务,一旦这些服务器出现安全问题,整个东方网上家园网站就有瘫痪的危险,所以保护这些服务器的安全稳定非常重要。这些面向Internet公网的用户主机服务器每天都处于大量用户的并发访问下,经常会产生尖峰负载,这对负责这些服务器安全的网络安全设备提出了很高的要求,最基本的要求是这些安全设备必须有足够的带宽,更为重要的是这些设备在确保网络安全的同时不能影响到正常的网络速度。
作为网络安全中心,Cisco Catalyst 6509内部带宽可以达到720 Gbps,具有400+Mpps交换能力,支持最多576个10/100/1000M以太口,可以满足最高要求的服务器接入能力。东方网上家园用户主机服务器直接对不同的用户群进行服务,各主机间没有相互依赖关系,故每台主机以100M以太口直接接入骨干Catalyst 6509交换设备,完全可以保证用户的高速访问;Cisco Catalyst 6509支持高性能的5Gbps防火墙模块,通过集成多块模块,防火墙的带宽最大可以扩展到20Gbps, Cisco Catalyst 6509上的防火墙模块的高吞吐量决定它能够在一个平台上同时提供高质量的安全功能和其它扩展功能,非常适合为数据流量大,对速度非常敏感的服务器组提供安全防护。
对于尖峰负载问题, Cisco Catalyst 6509通过配置的 7层交换机模块,对访问负载进行均衡。7层交换机模块与骨干交换机间采用背板接口连接,能够达到32G的带宽。采用思科7层交换模块可以使整个6509交换机的所有端口都具有7层交换的能力(最多支持576个10/100/1000M以太口),还可以通过下连二级交换机来扩展其端口数量(实际交换机选择需根据下面所需要挂接的具体服务器数量来确定)。同时,通过负载均衡技术,将实际的服务器隐藏起来,增加了系统的安全性。
2. Intranet私网安全
东方网上家园Intranet私网网络提供了各台服务器对数据库和目录服务器的访问,Catalyst 6509把数据库服务器和目录服务器与Internet隔离,使Internet用户数据与服务器内部数据分离,增加安全性,同时还可以减轻骨干交换机上的负载。
深度防护,滴水不漏
思科公司推荐东方网上家园网站的网络安全建设参考《思科公司的企业网络安全体系架构(SAFE)技术白皮书》,逐步建设一套一致的、覆盖整个公司的策略,集中的管理和报告机制,以及一套可确保深度防御(多层安全性保护)的持续的安全策略。深度防御是思科安全解决方案的核心。思科以Catalyst 6509交换机为基础,东方网上家园部署了由防火墙模块、入侵检测模块、用户认证体系和安全备份体系构成的深度防御系统。
1.防火墙模块
在网络核心交换机6509中推荐部署高性能的网络防火墙模块,此模块可以为核心6509交换机,核心路由器,外网服务器,内网服务器,数据库服务器和其他重要的服务器和重要网段(如:网管中心网段)提供保护。
2.入侵检测模块
为了能够对重要网段和重要服务器提供入侵监视、控制、联动防范功能,思科在数据中心的核心交换机6509中部署入侵检测(IDS)模块,防范网络病毒如:红色代码,NIMDA和SQL蠕虫病毒的入侵。在重要的服务器(如:Oracle/web /DNS/用户身份认证服务器)中部署基于主机的IDS软件系统。在分支机构的接口路由器中部署 IOS 软件IDS探测器。从而用较低的成本部署遍布整个东方家园网站的入侵防范探测系统。
在数据中心的网管中心部署入侵探测系统的中央管理系统,负责收集各个探测器的告警,并对各个探测器进行设置和管理。
3.用户认证体系
用户认证(SSO)部分采用SSL传输,保证用户认证信息的安全,为了能够降低服务器处理加解密的工作负担,采用专用Catalyst 6509 SSL加速模块,以优化性能并简化管理。
4.安全备份系统
为了能够最大限度的降低备份系统的成本,思科为东方网上家园实施了冷备份的解决方案,当主系统正常工作时,备份系统作为开发和实验系统;当系统发生故障时将整个网站的运作切换到备份系统上,从而最大限度的提高投资效率。
在东方企业和思科的通力合作下,东方网上家园的网络安全建设顺利完成。东方网上家园首期加载的网站生成与发布、域名解析、Email、BBS、可视电话、网络寻呼、IP电话等系统都已投入正常运行。建成后的网络完全满足了东方网上家园对网络安全的需求,为东方网上家园更好地服务用户打下了一个坚实的基础。
东方网上家园网站是东方企业推出的一个门户网站,这个网站的服务包括:网站生成与发布、域名解析、Email、BBS、可视电话、网络寻呼、IP电话等。东方企业希望通过这个网站把用户和网络真正的结合在一起,让用户更加方便、安全、放心、省心地使用互联网,真正快乐地生活在网上。
“让用户快乐地生活在网上”是东方企业建设东方网上家园的美好愿望,但实现起来并不容易,需要克服许多困难、解决许多问题,其中网络安全问题就是需要首先解决的一个非常棘手的问题。作为一个向用户提供各种网络服务和资源的门户网站,东方网上家园具有功能多、服务杂、用户多、类型杂等特点,可以说,东方网上家园既是信息交换中心枢纽,同时也是安全事件的多发地带,其网络安全的防护必然是各项工作的重中之重。
选用思科个性化的安全解决方案
东方企业对东方网上家园网站的网络安全非常重视,经过严格的招标的慎重的比较,东方企业最终选择了思科系统公司个性化的网络安全解决方案。在思科的网络安全方案中,并没有出现一堆诸如防火墙、IDS等网络安全设备,核心设备却是Cisco Catalyst 6509交换机,至于各种网络安全功能则是通过集成在这台交换机上的各种网络安全模块实现的。Catalyst 6509是思科公司最新的交换机产品,作为业界领先的交换机平台,Catalyst 6509交换机可以高度集成思科各种网络安全硬件模块,包括防火墙服务模块、IP安全虚拟专用网(IPSecVPN)服务模块、入侵检测系统模块和网络分析模块(NAM)。如果将这些安全模块结合在一起使用,客户将能够在交换机上部署综合安全性,而无需分别管理的不同设备。在东方网上家园的网络系统中,Cisco Catalyst 6509不仅是骨干交换设备、Internet接入路由设备,同时还是整个系统的网络安全中心。
一台交换机守护两个网段的安全
作为东方网上家园的网络安全中心,Cisco Catalyst 6509要确保两个网段的安全,既要守护着面向Internet公网的用户主机服务器的安全,同时也要守护面向Intranet私网的数据库服务器和目录服务器的安全。
1. Internet公网安全
面向Internet公网的用户主机服务器包括统一认证(SSO)服务器、转址服务(Redirect)服务器、主站服务器和DNS(Main)服务器等,这些服务器所提供的服务都是关键性服务,其它的访问服务都依赖于这些服务,一旦这些服务器出现安全问题,整个东方网上家园网站就有瘫痪的危险,所以保护这些服务器的安全稳定非常重要。这些面向Internet公网的用户主机服务器每天都处于大量用户的并发访问下,经常会产生尖峰负载,这对负责这些服务器安全的网络安全设备提出了很高的要求,最基本的要求是这些安全设备必须有足够的带宽,更为重要的是这些设备在确保网络安全的同时不能影响到正常的网络速度。
作为网络安全中心,Cisco Catalyst 6509内部带宽可以达到720 Gbps,具有400+Mpps交换能力,支持最多576个10/100/1000M以太口,可以满足最高要求的服务器接入能力。东方网上家园用户主机服务器直接对不同的用户群进行服务,各主机间没有相互依赖关系,故每台主机以100M以太口直接接入骨干Catalyst 6509交换设备,完全可以保证用户的高速访问;Cisco Catalyst 6509支持高性能的5Gbps防火墙模块,通过集成多块模块,防火墙的带宽最大可以扩展到20Gbps, Cisco Catalyst 6509上的防火墙模块的高吞吐量决定它能够在一个平台上同时提供高质量的安全功能和其它扩展功能,非常适合为数据流量大,对速度非常敏感的服务器组提供安全防护。
对于尖峰负载问题, Cisco Catalyst 6509通过配置的 7层交换机模块,对访问负载进行均衡。7层交换机模块与骨干交换机间采用背板接口连接,能够达到32G的带宽。采用思科7层交换模块可以使整个6509交换机的所有端口都具有7层交换的能力(最多支持576个10/100/1000M以太口),还可以通过下连二级交换机来扩展其端口数量(实际交换机选择需根据下面所需要挂接的具体服务器数量来确定)。同时,通过负载均衡技术,将实际的服务器隐藏起来,增加了系统的安全性。
2. Intranet私网安全
东方网上家园Intranet私网网络提供了各台服务器对数据库和目录服务器的访问,Catalyst 6509把数据库服务器和目录服务器与Internet隔离,使Internet用户数据与服务器内部数据分离,增加安全性,同时还可以减轻骨干交换机上的负载。
深度防护,滴水不漏
思科公司推荐东方网上家园网站的网络安全建设参考《思科公司的企业网络安全体系架构(SAFE)技术白皮书》,逐步建设一套一致的、覆盖整个公司的策略,集中的管理和报告机制,以及一套可确保深度防御(多层安全性保护)的持续的安全策略。深度防御是思科安全解决方案的核心。思科以Catalyst 6509交换机为基础,东方网上家园部署了由防火墙模块、入侵检测模块、用户认证体系和安全备份体系构成的深度防御系统。
1.防火墙模块
在网络核心交换机6509中推荐部署高性能的网络防火墙模块,此模块可以为核心6509交换机,核心路由器,外网服务器,内网服务器,数据库服务器和其他重要的服务器和重要网段(如:网管中心网段)提供保护。
2.入侵检测模块
为了能够对重要网段和重要服务器提供入侵监视、控制、联动防范功能,思科在数据中心的核心交换机6509中部署入侵检测(IDS)模块,防范网络病毒如:红色代码,NIMDA和SQL蠕虫病毒的入侵。在重要的服务器(如:Oracle/web /DNS/用户身份认证服务器)中部署基于主机的IDS软件系统。在分支机构的接口路由器中部署 IOS 软件IDS探测器。从而用较低的成本部署遍布整个东方家园网站的入侵防范探测系统。
在数据中心的网管中心部署入侵探测系统的中央管理系统,负责收集各个探测器的告警,并对各个探测器进行设置和管理。
3.用户认证体系
用户认证(SSO)部分采用SSL传输,保证用户认证信息的安全,为了能够降低服务器处理加解密的工作负担,采用专用Catalyst 6509 SSL加速模块,以优化性能并简化管理。
4.安全备份系统
为了能够最大限度的降低备份系统的成本,思科为东方网上家园实施了冷备份的解决方案,当主系统正常工作时,备份系统作为开发和实验系统;当系统发生故障时将整个网站的运作切换到备份系统上,从而最大限度的提高投资效率。
在东方企业和思科的通力合作下,东方网上家园的网络安全建设顺利完成。东方网上家园首期加载的网站生成与发布、域名解析、Email、BBS、可视电话、网络寻呼、IP电话等系统都已投入正常运行。建成后的网络完全满足了东方网上家园对网络安全的需求,为东方网上家园更好地服务用户打下了一个坚实的基础。
- 最新文章
- 国泰君安广域网解决方案[02-01]
- 思科:引导BP进入精彩纷呈的数字世界[02-01]
- 思科完成对Airespace的收购[02-01]
- 2005年思科创新技术巡展全面启航[02-01]
- VoIP十字路口企业如何选择[02-01]
- 思科为惠普欧洲区提供技术支持[02-01]
- 相关文章
- 思科:引导BP进入精彩纷呈的数字世界[02-01]
- 思科完成对Airespace的收购[02-01]
- 2005年思科创新技术巡展全面启航[02-01]
- 思科为惠普欧洲区提供技术支持[02-01]
- 思科系统智能化交换机之路启程[02-01]
- 三层交换决胜应用与安全[02-01]
