Check Point 及 i-Security 携手部署网络整体解决方...

Check Point 及 i-Security 携手合作为 云南大型烟草集团部署网络整体解决方案 保护网络安全 优化业务流程

案例背景 随着信息化程度的不断提高，很多大型企业的商业运作，诸如：采购、生产、销售等越来越多地以电子商务的形式得以实现；一些先进的管理理念，诸如：ERP、CRM、SCM等的实现同样基于内联网甚至互联网。对于一个大型企业，如何给自己的电子商务提供一个安全的平台，如何充分利用网络资源优化业务流程，节约成本、提高效益，这些都是在部署网络的时候需要考虑的问题。

位于云南省的一个大型烟草集团根据自己的实际情况为了提高其信息网络的效益和安全性，经过详细的评比及研究后，决定部署一个为其量身定做的网络整体解决方案，这个项目采用了Check Point 及i-Security的解决方案，由北京盛港世纪有限公司安全顾问负责集成。这个项目利用网安专业平台结合防火墙、VPN技术，不仅保护了企业整体网络安全，还有效地管理、控制了企业信息资源的存取，优化业务流程。无论从安全还是从优化管理的角度考虑，本方案都是成功的，具有借鉴意义。

客户网络环境面临的挑战 这家烟草集团的总部位于云南省昆明市，遍布全国各地的28个分支机构和办事处每天都有与总部以及相互之间的庞大的信息流通过互联网传输，且信息流具有相当的保密级别；流动工作人员与企业内部之间的信息交换以及庞大的供应商群与企业间的业务往来也增加了网络结构的复杂性。

通过对网络环境的分析可知，该集团广泛地利用内联网与互联网做信息互通，虽然享有低成本与高效率的好处，但是同时也产生信息安全与资源存取管理与控制的问题。本方案就是针对上述缺陷提出的一整体解决方案，其目标为：网络安全与有效管控资源存取。具体如下：

1． 阻挡任何可能会威胁到企业内部网络安全的流量进入 2． 合法的访问安全进出 3． 企业内部不同部门人员的访问权限管理 4． 实现互联网上传输的数据链路加密 5． 出差、流动人员的安全访问及权限管理 6． 协作供应商的合法、安全访问及权限管理 7． 方便、快捷、灵活的配置管理

网络整体解决方案－Check Point与i-Security紧密结合的解决方案 根据本身的网络安全需求，以及安全顾问的建议，集团决定通过网安专业平台与防火墙软件技术的紧密结合来保护企业网络的整体安全。在总部和各地分公司分别安装企业级和分支机构级防火墙系统来管理控制合法的访问进出互联网并保护企业内部免受来自互联网的攻击；对于一些小型办事机构、供应商、出差流动人员的管理控制则通过VPN技术实现；另有防病毒产品保护企业免受病毒的侵袭。具体实施如下：

企业总部和一级分公司－防火墙级保护 通过对市面上众多防火墙系统的安全性，技术的先进性、可靠性、易用性以及性价比等几方面的综合评估，该集团选用了i-Security SP系列防火墙系统。 i-Security SP系列是美国i-Security公司与信息网络安全业界处于领先地位的Check Point公司紧密合作推出的网安专业平台。它集成了Check Point业界领先的核心技术:状态监测、应用智能等，实现了硬件专用平台与软件操作系统的无缝结合；硬件方面，i-Security独有的安全优化芯片(SEC)和 TCP/IP减负载引擎技术(TOE)的应用分担了CPU大部分的底层检测负荷，使CPU处理能力更多的用在高层检测上，从而提高了系统整体性能。

本方案中，企业总部防火墙系统选用Check Point VPN-1® Pro™ 配合i-Security SP-5500。SP-5500的热插拔组件（电源、硬盘等）设计，以及3.2G的防火墙吞吐率完全满足了企业的网络需求并具备可扩充性。企业总部使用双防火墙构建双链路负载均衡，防火墙处理能力超逾6G，更实现了和ISP链路冗余的系统高可用性。

各地分公司防火墙系统选用Check Point Express和i-Security SP-3040。SP-3040是i-Security SP系列中适合中小型企业及分支机构的安全专用产品，其规格、性能与高可用性完全满足该集团一级分公司的网络需求。

小型办事机构、流动人员、供应商－VPN保护与管理 企业的小型办事机构、流动人员同样随时都有存取企业信息资源的需求，如何安全地访问，有效地控制其权限，本方案中采用VPN技术通过在互联网上建立一条加密的通道建立一个虚拟私网，企业的小型办事机构、流动人员可以随时接入Intranet进行移动办公；企业也可以通过VPN远程实现EPR项目及企业的供应链管理(SCM)。基于SSL VPN技术的Web应用、无客户端还具有相当的安全性特点，本方案采用SSL VPN技术为供应商与企业之间的电子商务提供一个安全的平台，他们相互之间可以在上面进行一些诸如下订单、客户关系管理之类的商业活动，完全无忧于信息安全，而且非常容易使用 – 只要会使用Web浏览器的用户都不会觉得有困难。

集中式管理 i-Security SP防火墙系统采用的Check Point安全管理架构(Smart Management)可实现对防火墙和VPN策略的集中式管理，方便、快捷。本方案中，总部、各地分公司防火墙和办事机构、流动人员的VPN保护统一在总部Smart Center进行集中式管理。各分支机构无需投放额外的资源用于技术支持，节约了企业运营成本。

安全系统测试及评估 根据企业的网络环境和需求分析，本方案提出了安全、可靠、优化管理、高性价比的网络整体解决方案。本方案通过了专家分析，企业运行测试，最终赢得了企业的认可。

以下部分配合附图，用于说明以及强调图中Check Point VPN-1® Pro™技术的特性和优点：

Check Point的VPN-1® Pro™产品特性： ● 提供与 FireWall-1 的完全集成 ● 通过 IPSec、L2TP、SSL 和强大身份认证来保护通信 ● 支持集中的、集成的和基于策略的安全管理 ● 支持范围广泛的开放式服务器和设备平台 ● 通过 SecureXL 提供市场领先的性能

Check Point的VPN-1® Pro™产品优点： ● 确保企业资源和 Internet 通信的最大安全性 ● 提供范围广泛的安全远程访问部署选项和用户认证 ● 简化安全管理 ● 以更卓越的价格性能比提供平台适应性 ● 支持高度可伸缩的 VPN 和多千兆的安全性能