深信服AF能源行业案例集.docx
《深信服AF能源行业案例集.docx》由会员分享,可在线阅读,更多相关《深信服AF能源行业案例集.docx(15页珍藏版)》请在冰豆网上搜索。
深信服AF能源行业案例集
深信服科技有限公司
2014年08月
深信服科技能源行业案例集
五矿邯邢矿业
应用背景
五矿邯邢矿业有限公司是中国五矿集团公司全资子公司,是目前国内最大的国有独资大型黑色冶金矿山企业,是我国重要的钢铁工业原料生产基地。
公司总部位于历史文化名城、成语典故之都邯郸,业务遍布河北、山东、安徽等地。
五矿邯邢矿业有限公司前身为邯邢冶金矿山管理局,于1951年7月建矿,先后隶属冶金工业部、国家冶金工业局、中央企业工委、国务院国资委。
2004年6月,经国务院和国务院国资委批准,与中国五矿集团公司重组。
2010年12月24日改制为五矿邯邢矿业有限公司。
五矿邯邢矿业有限公司历来重视网络安全建设,早上2007年外网就采购了juniper的防火墙、启明星辰天清汉马入侵防御设备部署在网络出口。
但是随着网络安全形势发生变化,五矿邯邢矿业有限公司意识到下一代安全的应用层防护必要,邀请深信服过去测试下一代防火墙产品。
需求分析
由于客户网络出口带宽100M,还有数台业务服务器、两个分支单位。
建设的重点将是在网络出口的整体安全防护、服务器安全建设和分支单位安全隔离。
(1)单位上网人数在500人左右,带宽大小、上网安全等问题是非常棘手需要解决的。
(2)服务器的安全由于之前连接到核心交换机上,服务器的安全一直都没有,同时也缺乏服务器针对应用层的安全防护。
(3)由于分支众多,此次改造只是涉及到两个分支,怎样去保障分支单位的安全风险不会造成总部的影响?
把安全风险控制到最小的范围内。
解决方案
Ø深信服下一代防火墙针对业务服务器区服务器集群构建全七层安全防护功能,实现了L2-L7的整体防护;
Ø深信服下一代防火墙能为办公区域提供安全的上网环境,杜绝了病毒、木马、钓鱼等威胁;
Ø在分支与总部互联中使用下一代防火墙对分支的安全威胁尽量控制在其中一个分支内,避免一个分支出现问题影响到总部或者其它区域。
应用效果
深信服下一代防火墙构建L2-L7的整体安全防护,不仅解决了网络层的安全问题,还能有效的防御基于漏洞的入侵攻击、基于应用的入侵攻击,能够有效的检测阻断病毒、木马、钓鱼等威胁。
我们经过了长达6个月的稳定性、安全性等各个方面的严格测试,最终采用了深信服的下一代防火墙产品,这些产品确实为我们五矿集团的内部网络提供了专业全面的安全防护,整体上满足我们的预期。
华润电力
应用背景
华润电力是华润(集团)有限公司的旗舰附属公司,主要在中国较富裕或资源丰富的地区投资、开发、经营和管理发电厂、煤矿及新能源项目。
随着华润电力信息化建设的蓬勃发展和业务市场的不断扩大,分布在全国各地的各项目公司面临着访问总部共性系统的需求,同时广域网运行效率和稳定与企业的业务关联更加紧密,网络安全、数据安全变得尤为重要。
广域网的运维和管理的要求也在不断的提升,从网络安全、应用安全到业务数据安全的要求都在不断的提高。
需求分析
广域网确保了总部和各级项目公司之间的互联互通,但是,随着广域网上各种应用的业务量和复杂度不断提升,其安全及性能问题变得越来越突出,主要问题包括:
Ø安全组网:
如何实现安全组网,并在安全组网的基础下减小运维成本?
Ø访问控制:
如何实现各项目公司和总部间、各项目公司之间复杂的访问控制?
Ø安全威胁:
项目公司的安全级别低、安全管理松散,容易引入蠕虫、木马、病毒、黑客等,如何防范这些安全威胁在广域网上快速扩散?
Ø带宽保障:
非关键业务或垃圾流量占用了有限的广域网带宽资源,造成广域网拥塞,如何保证数据流在广域网中按业务的重要程度进行不同优先级的调度?
Ø安全管理:
如何实现广域网集中的安全管理,整网部署统一的安全策略,进行统一的安全事件监控?
深信服解决之道
深信服广域网安全建设解决方案充分考虑到广域网组网、运行过程中潜在的安全问题及可靠性问题,通过深信服下一代防火墙NGAF不同功能模块的应用,组成L2-L7层立体安全防御体系,实现广域网安全组网、广域网流量清洗的防护效果,确保广域网高安全和高可用。
深信服下一代防火墙NGAF提供了广域网安全建设需求的多维度集中化安全功能需求。
结合内置IPSECVPN实现广域网一体化安全组网的同时。
对广域网网络层到应用层进行L2-L7层流量清洗,有效的解决了广域网上病毒木马快速扩散及对总部应用层攻击的问题;为解决广域网带宽资源有限的问题,NGAF提供了基于应用的可视化带宽保障,保障核心业务正常运行;集中管理、统一监管解决了项目公司专业安全维护困难的问题。
深信服广域网安全建设方案实现了一体化安全的安全策略部署、L2-L7层的安全防护效果、高效的广域网流量清洗,可视化的流量带宽保障、集中管理统一部署的价值,在有效解决广域网安全问题的前提下,简化管理运维成本,实现了最优投资回报。
网络拓扑图如下:
应用效果
安全组网:
深信服下一代防火墙NGAF-IPSECVPN模块实现华润总部与项目公司的安全组网。
区域隔离:
深信服下一代防火墙NGAF实现项目公司对总部资源的访问控制与安全隔离。
深信服下一代防火墙NGAF访问控制具有用户与应用属性的优势,与AD域、radius等认证系统的结合,基于应用识别的访问控制可实现更精细的用户-应用的访问控制策略。
安全防护:
深信服下一代防火墙NGAF-IPS-WAF模块实现分支到总部的L2-L7层安全防护。
有效防止漏洞攻击、注入类攻击、恶意插件等攻击的威胁。
流量清洗:
深信服下一代防火墙NGAF通过网关处病毒木马在线查杀实现广域网流量清洗。
有效防止恶意流量通过互联网快速传播的风险。
带宽保障:
为在资源有限的广域网实现核心业务的可用性保障,深信服下一代防火墙NGAF通过基于应用的流量控制实现核心业务,如OA、ERP、视频会议等系统的可靠带宽保障。
使用评价
深信服下一代防火墙集成VPN、安全防护、上网管控、IPS等功能,一台设备就解决了华润电力在分支公司组网时面临的:
VPN对接、安全防护、行为管控、带宽分配等多个问题!
——华润电力信息管理部
山西煤炭专网
应用背景
2003年以来,随着山西省煤矿瓦斯监控系统联网建设的完成和近几年各种应用系统的不断增加,山西省基本建成了全省煤炭专网网络信息平台,构建了一个以省煤炭厅为中心汇聚点,联通11个地市煤炭局、五大煤矿集团公司、县煤炭局、1000多个煤矿的四级信息网络系统,实现了煤矿瓦斯监控、煤炭产量检测、安全生产调度、视频会议等应用信息系统联网。
网络传输采用SDH链路,省厅、市煤炭局、集团公司、县煤炭局、煤矿各节点之间采用E1接口2M链路专线联网。
同时全省1000多家洗煤厂和储煤厂与各地市煤管局相连通过煤炭销售票系统实现与山西省煤炭厅票证中心的数据上传。
随着全省煤炭信息化建设进程的推进,各种应用信息系统联网需求与日俱增。
特别是近几年新增的全省煤矿井下工作人员定位系统、煤炭产量远程视频监控系统、IP调度电话系统、煤炭票证管理系统等,网络处理的信息量持续增长,时常出现网络拥塞现象,影响了应用系统的正常运行。
目前的网络平台带宽和结构已经不适应发展的要求,迫切需要进行升级改造。
升级改造的内容为专线带宽扩容,专网节点的路由器、交换机升级,以及各节点配备安全设备实现服务器安全防护、专网边界安全隔离等。
需求分析
自2011年3月山西省煤炭工业厅组织山西煤炭系统各单位开展“山西省煤炭专网升级改造推进大会”后,全省各市煤管局和各大省属集团启动了自身的煤炭专网升级改造。
在2011年、2012年两年的煤炭专网升级改造项目中,深信服安全网关在众多安全产品中脱颖而出,全省煤管局、集团、煤矿、洗储煤企业共采用了深信服1300多台网络安全设备,其中包括山西省煤炭工业厅、大同市煤炭工业局、吕梁市煤炭工业局、晋中市煤炭工业局、晋城市煤炭工业局等各大煤炭工业局,和中煤平朔煤业、山西联盛集团、华润电力控股公司等各大煤炭集团,保证从省厅到各地市煤炭工业局、从省厅到各大煤炭集团、各大集团到下属煤矿的五级专线网络,不受网络安全威胁因素的困扰。
深信服解决之道
通过深信服应用层防火墙的2~7层安全防护体系、IPS入侵防护策略、病毒查杀策略,保证每个专网节点不受病毒等安全威胁因素困扰;特别是面向业务的安全防护理念,深信服应用层防火墙对服务器提供重点安全防护,通过SQL注入攻击防护、恶意脚本上传过滤、木马程序上传过滤、IPS入侵防护等保证煤矿六大工业控制系统(产量监控系统、人员定位系统、瓦斯监控系统、可视化交互系统、执法决策系统、视频会议系统)的安全。
在煤炭专网的省级节点、市级节点、集团节点、县级节点和煤矿节点,共5级节点部署。
深信服应用层安全网关,能够对来自非本节点的流量进行清洗,保证来访本节点流量的安全性,防止异常协议流量对本节点内部工业控制系统服务器的攻击,同时通过IPS入侵防护进行服务器安全保障,防止针对服务器漏洞的攻击行为对工业控制系统带来影响,全方位保证业务系统安全。
应用效果
深信服下一代防火墙提供了2到7层的安全防护,有效保障了山西煤矿专网从省厅到各地市煤炭工业局、各大煤炭集团、下属煤矿的各级专线的网络安全,有效保障了煤炭工业控制系统的安全运行,全方位保证网络和业务系统的稳定运行。
山东能源集团有限公司
应用背景
山东能源集团有限公司是经山东省委、省政府批准,由新汶矿业集团有限责任公司、枣庄矿业(集团)有限责任公司、淄博矿业集团有限责任公司、肥城矿业集团有限责任公司、临沂矿业集团有限责任公司、龙口矿业集团有限公司六家企业重组而成的山东省属国有独资公司。
注册资本人民币100亿元。
现有员工23万人,资产总额1673亿元,位列中国企业500强75位。
集团总部设在济南市。
需求分析
互联网出口及内网安全问题:
Ø可造成网站瘫痪的网络层+应用层拒绝服务攻击
Ø绕过防御体系对业务系统的信息泄露攻击
Ø可获得高级系统权限,造成系统瘫痪的漏洞利用攻击
Ø可造成数据库信息泄露、网站挂马篡改、资源获取的web攻击
深信服解决之道
山东能源集团外网接入区域早期部署了一台CISCO传统防火墙,为系统提供IP端口级的防护。
随着近年来应用层攻击的不断涌现,使用传统防火墙对重要业务系统进行防护已经很难满足当前互联网安全形势下的需求。
因此,山东能源集团在经过充分的论证及测试后,选择在网络前端CISCO防火墙和核心交换机之间双机部署深信服AF下一代应用防火墙,对单位提供应用层的安全防护。
深信服下一代应用防火墙除了能够与CISCO防火墙形成安全防护层级的互补外,还能利用不同厂商之间的防火墙平台形成异构安全架构,互相弥补对方的安全隐患,更加强化山能系统的安全防护级别,确保山东能源集团心应用系统的安全性以及稳定性。
应用效果
深信服下一代应用防火墙为山东能源集团内网提供应用层安全防护功能,有效弥补传统防火墙在应用层防护的不足;
深信服下一代应用防火墙为山东能源集团服务器以及用户端提供漏洞防护功能,针对服务器提供入侵防护功能;
深信服下一代应用防火墙与防火墙形成异构,共同为山东能源集团提供安全防护。
贵州电网公司
背景介绍
贵州电网公司是中国南方电网有限责任公司下属的全资子公司,负责贵州省内的电网规划、建设、运行、管理和电力销售。
公司直属单位22个,并对全省88个县(市、区)供电(电力)局(公司)进行直管或代管,现有职工2.8万人。
需求分析
贵州电网各互联网出口分散,安全性能较弱,带宽资源浪费,缺乏统一管理手段和统一应用服务系统,安全和统一管理成为贵州电网十一五信息化发展规划首要解决的问题。
目前贵州电网已完成互联网统一出口三期建设,省公司部署大量对外发布应用系统,包括办公OA、邮件、门户网站等WEB服务器。
需要针对应用系统进行严格的安全防护,特别是现在越来越多的应用层攻击行为,如SQL注入、网页篡改等。
深信服解决之道
经过电网公司信息中心严格测试,最终选择部署两台深信服高端下一代应用防火墙系列产品的WAF安全网关,解决省公司互联网出口对外发布应用系统的WEB安全防护问题。
根据贵州电网网络环境和需求,深信服下一代应用防火墙互联网一体化安全解决方案。
通过在核心交换前端部署在两台深信服下一代应用防火墙,将web门户网站服务器与互联网进行安全隔离,进行有效的管控与安全防护,解决了贵州电网面临的门户网站安全问题以及内网办公区终端安全风险的问题。
强化的网站web安全加固。
深信服下一代应用防火墙为贵州电网对外发布应用系统提供基于web攻击过程的统一安全防护,提供针对黑客攻击过程提供完整Web系统安全防护,即针对黑客入侵三步曲即扫描、入侵、破坏进行统一的安全防护。
有效的保障了贵州电网门户网站的安全,从底层操作系统、到发布系统再到web网站应用程序提供了L2-L7层的web安全加固,减少了web门户面临的安全风险。
可视化的应用管控。
内网终端上网与对外发布应用系统共用同一互联网出口势必引入内网非法应用占用资源,上网缓慢、网站访问缓慢等问题。
通过深信服应用防火墙的可视化应用管控,使贵州电网内网上网终端的非法应用得到有效的控制,同时减少非法应用带来的安全风险。
应用效果
Ø防止因安全问题造成公司股价下跌、形象受损、客户信誉降低等问题
Ø保护机密信息、敏感数据不被泄露
Ø减少因泄露信息而产生法律诉讼的可能性
Ø满足有关法规对Web系统安全的规定
江门供电局
背景介绍
江门供电局已发展为广东电网公司直属国有大型一类供电企业,共有供电客户206万户。
2010年江门供电量168.8亿千瓦时,售电量163.5亿千瓦时。
本次的信息安全防护设备升级改造主要是对共享服务器的安全进行防护,负责整个江门供电局的文件共享服务。
目前文件共享服务器前端没有安全防护措施,本次规划对其共享服务器系统进行相应的安全防护改造,目的是提高安全防护水平,同时不影响高性能的文件共享服务。
需求分析
江门供电局原网络江门供电局本部局域网络与梅州供电局IDC中心通过一台网关路由器接入城域网,网关映射端口让服务器提供外网访问。
此次改造需达到效果如下:
Ø地址映射:
防火墙设备做网关部署,做地址映射,用户访问文件共享服务器需访问防火墙提供的IP。
ØAD域结合:
防火墙设备可以与AD域服务器实现联动实现用户身份认证和记录,对访问用户进行身份认证。
Ø日志和报表:
防火墙拦截危险行为后,可以进行记录,详细记录哪个用户、什么时间、传输哪个文件产生的病毒,并可以用报表导出。
Ø上传文件杀毒:
用户在使用文件共享服务器上传文件过程中,可以进行病毒过滤,并进行拦截。
深信服解决之道
通过在城域网出口,梅州供电局IDC中心以及本部局域网络之间部署深信服AF-3020,开启IPS模块,WAF模块,AV网关杀毒模块授权,保证三网通讯的一个安全防护。
AD域联动防火墙对用户认证。
拦截病毒雨攻击,记录报表进行分析。
对外业务发布系统防护:
Ø防止黑客入侵,获取权限,窃取数据:
通过NGAF的漏洞防护、服务器防护、病毒防护等多种应用内容防护功能,防止黑客入侵,保证服务器稳定运行;
Ø精确控制服务器外联权限:
通过NGAF精确的应用识别,放行服务器补丁升级、病毒库升级等必要外联流量,阻断各种无关非法外联流量;
Ø简化组网、降低延时:
NGAF具备L2-L7一体化安全防护功能,可以简化组网,减少故障点;通过单次解析引擎减低延时;NGAF高端客户典垄案例
内部终端安全防护:
Ø全面防护,标本兼治:
通过NGAF的恶意网站过滤功能,防止终端访问威胁网站和应用;通过漏洞防护、病毒防护、恶意控件/脚本过滤功能,切断威胁感染终端的各种技术手段;
Ø垃圾流量清洗:
通过NGAF智能的内容安全过滤功能,将病毒、木马、蠕虫、DDoS等各种垃圾流量清除,确保带宽纯净,防止病毒扩散
Ø精确识别,防止非法外联:
通过NGAF精确的应用识别,放行服务器补丁升级、病毒库升级等必要外联流量,阻断各种无关非法外联流量,防止终端被作为跳板入侵服务器
Ø一体化部署,配置简单:
NGAF具备L2-L7一体化安全防护功能,可以简化组网,简便管理,提高性价比;
应用效果
通过深信服下一代应用防火墙在城域网出口的部署,不仅为江门供电局城域网出口7层的流量迚行了有效的清洗。
同时为保证IDC中心的安全提供了有利的安全保障,AD域与防火墙联动更有效管理用户,有效的对内网的病毒进行防护并进行相应的记录分析形成报表。
增强了网络的管理性与易用性。
中电五十四所
背景介绍
中国电子科技集团公司第五十四研究所始建于1952年,是新中国成立的第一个电信技术研究所,是我国目前电子信息领域专业覆盖面最宽、规模最大的综合性骨干研究所之一,相继参与完成了“两弹一星”、“载人航天”、等数百项国家和国防重大工程建设单位。
需求分析
中电五十四所历来重视网络安全建设,引进了业界顶尖的网络安全设备。
但是仍然在2012年8月份,单位在部署了一流的防火墙和入侵防御后,邮件系统却遭受了黑客的恶意攻击。
邮件系统被入侵,导致了我单位的正常办公中断,影响非常恶劣。
部署在单位的传统防火墙和入侵防御根本就没有起到任何作用,轻易就被黑客绕过了。
解决方案
在邮件系统遭受到入侵当天,五十四所就联系了深信服,之后增加了深信服下一代防火墙,部署在了服务器的前端,替换了原来的安全设备。
在深信服NGAF上开启了下一代防火墙的入侵防御和web防护功能,并实现与防火墙策略的联动防护。
在部署了深信服下一代防火墙当天立马就发现了大量的web攻击日志,迅速拦截了来自互联网大量的SQL注入、XSS恶意攻击。
经过几天的观察,状态稳定了,邮件也使用正常了。
在经过长达两个月的长期试用考验,中电五十四所决定采购一台深信服下一代防火墙来做邮件服务器的整体安全防护。
应用效果
原来我们以为安全威胁其实就是一种看不见摸不着的东西,只要有安全设备,那就可以一切搞定。
但是实践证明,随着安全的发展,越来越的威胁都是来自应用层了,原来的一流安全设备放在现在已经不顶用了。
深信服下一代防火墙是确确实实帮助我们解决了安全问题。
设备使用稳定性也非常高,非常符合我们单位对网络的要求。
升级会员 