目录:安全产品案例发布时间:2018-12-18 14:19:09点击率:
在多元化的发展中,东莞烟草局的信息化建设一直秉承推动集团业务发展的思路,通过前瞻性的信息化建设,降低企业IT运营的成本、优化企业运营的流程、增强企业的业务效益,是东莞烟草局信息化建设一直努力的方向。
目前,东莞烟草局已建立起成熟的数据中心灾备体系,力求不断降低集团的业务运营风险,打造高效快速的业务体系。2002年,集团规划了二个中心五个信息站的IT建设思路,以应对相当数量的下属公司总部在香港、90%的企业又在内地的情况。香港深圳各建一数据中心,两地互为灾备,这既能保证下属企业(内地、海外)高效地访问数据中心,又减少了跨境通信线路带宽的建设成本,也实现了灾难备份。目前,两地数据中心承担下属300多家实体企业的门户、协调办公、财务管理、资金管理等应用。
随着信息化建设的不断深入,东莞烟草局集团的业务信息系统由分布式部署逐步走向集中式管理,以前双运营的数据中心,逐步发展为一个生产、一个备份的机制。但问题也随之而来:
一、数据中心跨境线路面临的带宽压力
东莞烟草局深圳香港两地的数据中心是通过跨境专线互联的,整个专线承载着集团各类应用系统、高清视频会议系统、集团IP语音电话系统等。视频会议系统、语音系统数据包一般不可压缩,大量的数据包传输对有限的专线造成了巨大的压力,导致数据拥塞,访问响应速度很慢,尤其是在高峰期间,甚至导致用户访问中断。
广域网加速解决方案
针对这种情况,是扩充专线?还是进行线路传输加速?经过深入分析,东莞烟草局终选择了广域网加速解决方案,因为东莞烟草局现有的相当数量的业务系统交互频繁、传输协议本身限制了数据传输速度,单纯提升专线带宽并没有显著效果,并且将大幅增加集团的带宽成本。
东莞烟草局广域网加速设备部署示意图
通过对国内外厂商深入考察,经过长达半年的测试对比,东莞烟草局终选择了深信服广域网加速设备。在实际应用环境下,深信服广域网加速设备对两地数据中心的数据传输平均提速达2.7倍,这极大地缓解了深港两地的通信压力,用户反映良好。按照国际跨境DDN线路租金来看,这项投资每年可为集团节约通信费50多万元。这也为东莞烟草局未来的网络建设提供了较好的平台。
二、数据中心、各地分支互联网出口带宽的压力
东莞烟草局曾遇到这样的问题:重庆分支访问深圳数据中心邮件系统时,速度非常慢,经过测试,我们发现原因在于重庆分支内网里,很多用户在进行P2P下载或观看在线视频,这挤占了正常的业务带宽,事实上,深圳、上海、北京等地也存在着这种情况,如何保证数据中心互联网出口的业务带宽呢?
上网行为管理解决方案
通过在互联网出口部署深信服上网行为管理设备,东莞烟草局成功降低了数据中心及各地分支带宽租用的成本。因为深信服上网行为管理设备成功杜绝了内网用户的P2P行为、在线看电影等行为,确保了有限的带宽资源全部为业务系统使用,这提升了单位的带宽利用率。针对关键的业务应用、核心业务部门进行带宽、流量的分配,东莞烟草局成功保障了相关业务应用的带宽,并且做到了根据业务、职位岗位需要,对内网不同层次的用户进行互联网访问权限的控制。
上网行为管理设备也保护了内网关键服务器的安全,大大减少了互联网流入内网的病毒威胁。因为通过在数据中心、各分支机构网络干路上架设深信服上网行为管理设备,东莞烟草局成功将高危网站、相关网络应用禁掉,减少了集团面临的外部威胁;利用上网行为管理设备的准入规则,各单位通过设置杀毒软件、补丁、注册表等安全元素的上网放行准则,强制内网用户提升安全等级,从内提升了内网安全体质。
事实上,整个集团的信息安全也得到了加强。上网行为管理设备通过强大的上网日志存储功能,满足国家相关法律要求,并且让东莞烟草局信息管理部门掌握网络架构优化的手资料。
三、用户身份安全认证的压力
东莞烟草局集团领导出差、驻外业务人员访问服务器上相关文件与业务系统时,现有的网络架构无法做到接入用户的强身份认证。且整个内外网用户的接入无法授权,这对东莞烟草局现有的信息资产威胁不小。
SSL VPN远程接入解决方案
通过考察测试,东莞烟草局选用了深信服SSL VPN进行了内网、外网访问的安全加固。所有访问数据中心各种应用的人员都必须先通过深信服SSL VPN的身份强认证,用户配备USB Key,以达到合法的身份认证,这极大地保障了远程接入访问业务应用的安全性。
深信服SSL VPN身份认证体系与东莞烟草局原有的LDAP服务器中的身份认证资源无缝结合,设备根据合法的身份分配对应的业务应用访问权限,这样就做到了不同的人用各自对应的业务系统,并且该SSL VPN的单点登录功能,避免了接入用户登录不同系统时都要输入密码的麻烦,使操作更简单易用。
在数据中心建设的道路上,东莞烟草局集团通过广域网加速+上网行为管理+SSL VPN远程登录的整合解决方案,成功解决了数据中心数据传输面临的速度、安全问题,也对整个业务网络的安全与规范、应用系统使用进行了卓有成效的管理。并且这一系列的网络架构优化成功降低了集团的IT运营成本,在新的数据中心网络连接架构下,东莞烟草局多元化的业务运营流程得以简化,效益也得到了明显的提升。
方案使用产品及模块:深信服 VPN-1150 二合一VPN/防火墙网关:
1.深信服 VPN-1150 二合一VPN/防火墙网关:
2.*深信服 VPN网关管理软件 V2.1
3.*深信服 VPN-1150硬件平台
4.跨运营商加速模块(VPN-1150)
5.多链路模块