【51CTO.com 綜合消息】江蘇省工商行政管理局履行本行政轄區(qū)下屬的13個地級市市場監(jiān)管和行政執(zhí)法工作職責。為江蘇的企業(yè)發(fā)展和市場繁榮提供了支持和保障。省工商局全系統(tǒng)要在保證系統(tǒng)穩(wěn)定運行方面做好以下幾個工作：一是要實施安全防御項目建設(shè)，初步構(gòu)建系統(tǒng)運行的安全防御體系，以先進技術(shù)手段的應(yīng)用進一步提升系統(tǒng)安全管理的水平；二是要嚴格落實各項管理規(guī)范，重點要推動機房建設(shè)與管理規(guī)范化活動；三是要扎實開展安全教育，提高全員安全意識，減少人為的安全事故；四是要繼續(xù)完善安全管理制度，細化崗位職責，落實安全責任制；五是要探索形成可行的安全應(yīng)急處置預(yù)案。

客戶名稱：江蘇省工商行政管理局

所屬行業(yè)：政府

客戶需求：江蘇省工商政務(wù)外網(wǎng)需要消除網(wǎng)絡(luò)安全隱患，解決非法入侵、非法訪問等網(wǎng)絡(luò)安全問題。

產(chǎn)品型號：Hillstone SA-5020

實現(xiàn)功能：NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）、安全防護、虛擬路由器、會話限制、病毒防護和QoS。

江蘇省工商局網(wǎng)絡(luò)需求

因缺乏網(wǎng)絡(luò)安全設(shè)備，日常管理難度大，計算機系統(tǒng)易遭受蠕蟲、木馬等病毒危害，不法入侵者的破壞，P2P下載擠占帶寬，上網(wǎng)行為得不到有效的監(jiān)控。為了加強網(wǎng)絡(luò)安全建設(shè)以及內(nèi)部管理，增加政務(wù)外網(wǎng)網(wǎng)絡(luò)的安全性和抵抗風(fēng)險的能力，迫切需要建設(shè)一套全面網(wǎng)絡(luò)安全體系。具體安全需求如下：

1.將服務(wù)器網(wǎng)絡(luò)和辦公網(wǎng)進行隔離，避免與外部網(wǎng)絡(luò)的直接通信，保證網(wǎng)絡(luò)結(jié)構(gòu)信息不外泄。

2.限制網(wǎng)上服務(wù)請求內(nèi)容，使非法訪問在到達主機前被拒絕。

3.綜合的病毒防護體系建設(shè)。

4.掌控網(wǎng)絡(luò)資源利用率。

Hillstone SA-5020在江蘇省工商局項目中的方案特點

在江蘇省工商局網(wǎng)絡(luò)邊界出口布署一臺Hillstone SA-5020多核安全網(wǎng)關(guān)，由于防火墻隔離的是不同的安全區(qū)域。防火墻劃分為三個安全區(qū)域，分別為內(nèi)網(wǎng)區(qū)域、外網(wǎng)區(qū)域、DMZ（非軍事區(qū)）區(qū)域，把特定對外提供服務(wù)的服務(wù)器部署在防火墻的DMZ區(qū)域，內(nèi)部用戶接到內(nèi)網(wǎng)區(qū)域，Internet互聯(lián)網(wǎng)接入外網(wǎng)區(qū)域，防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，根據(jù)安全策略控制出入網(wǎng)絡(luò)的信息流。再加上防火墻本身具有較強的抗攻擊能力，能有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動，內(nèi)部網(wǎng)到服務(wù)器組間通信，以及控制服務(wù)器對外發(fā)布信息，從而為江蘇省工商局網(wǎng)絡(luò)的安全提供了有力的保證。整個項目系統(tǒng)解決方案的拓撲如下圖所示： 

圖1

江蘇省工商局網(wǎng)絡(luò)拓撲圖

在本項目中，依靠積累多年被證實的專業(yè)硬件安全產(chǎn)品研發(fā)和市場經(jīng)驗，Hillstone 山石網(wǎng)科安全解決方案針對江蘇省工商局網(wǎng)絡(luò)的邊界安全控制、攻擊防護、QOS帶寬管理、病毒防護等方面保證互聯(lián)網(wǎng)應(yīng)用數(shù)據(jù)傳輸?shù)陌踩裕畲蟪潭鹊卮_保江蘇省工商局政務(wù)外網(wǎng)關(guān)鍵業(yè)務(wù)的不間斷運行。 

◆SA-5020強勁的性能表現(xiàn)

Hillstone SA-5020采用了創(chuàng)新的新一代網(wǎng)絡(luò)安全架構(gòu)，硬件平臺采用64位高性能的多核網(wǎng)絡(luò)專用處理器Multi-Core CPU（多達8核），內(nèi)部傳輸采用高達48Gbps高速交換總線，提供了更高、更可靠、更穩(wěn)定和更安全的綜合處理能力，給用戶留下了非常深刻的印象。在用戶的網(wǎng)絡(luò)中運行一段時間后，用戶就直言稱贊：性能非常卓越。 

◆SA-5020強大的邊界策略控制和多樣化的NAT

在項目部署時，用戶要求部門A跨區(qū)域只能訪問部門B的業(yè)務(wù)服務(wù)器，部門B跨區(qū)域也只能訪問部門A的業(yè)務(wù)服務(wù)器，而其他部門都能訪問部門A和部門B的服務(wù)器。但部門A的業(yè)務(wù)服務(wù)器對其他區(qū)域而言都是以部門C的地址呈現(xiàn)，部門B的業(yè)務(wù)服務(wù)器也同樣是以部門C的另一部分地址出現(xiàn)?？鐓^(qū)域訪問時源地址都要做NAT，從而隱藏原有的真實IP地址。按照用戶的實際要求，Hillstone山石網(wǎng)科給用戶設(shè)計的上述拓撲有效滿足了用戶的雙向NAT的需求和邊界的策略控制要求。

Hillstone SA-5020多核安全網(wǎng)關(guān)具有專業(yè)的防火墻表現(xiàn)，通過配置相應(yīng)的防火墻安全策略，做到了完美的邊界策略控制，有效達到了用戶的控制精確性和控制細粒度，從而最大程度地保障了部門A和部門B內(nèi)業(yè)務(wù)服務(wù)器的數(shù)據(jù)安全性。

此外，Hillstone SA系列多核安全網(wǎng)關(guān)可提供一對一、多對一、多對多、源NAT、目的NAT等多樣化的NAT方式。在本項目中，SA-5020上的源NAT、多對多的NAT和目的NAT高效的做到了各區(qū)域和A、B部門業(yè)務(wù)服務(wù)器的真實IP地址的隱藏，呈現(xiàn)給其它區(qū)域的是用戶規(guī)劃的IP地址，一定程度上保證了應(yīng)用的安全性。而獨特的雙向NAT使用保證了用戶網(wǎng)絡(luò)的應(yīng)用安全性得到了進一步地增強。 

◆SA-5020虛擬路由器功能

Hillstone SA-5020提供虛擬路由器功能，不同VR 擁有各自獨立的路由表。系統(tǒng)中有一個默認VR，名為trust-vr，默認情況下，所有三層安全域都將會自動綁定到trust-vr 上。系統(tǒng)支持多VR 功能且不同硬件平臺支持的最大VR 數(shù)不同。多VR 將設(shè)備劃分成多個虛擬路由器，每個虛擬路由器使用和維護各自完全獨立的路由表，此時一臺設(shè)備可以充當多臺路由器使用。多VR 使設(shè)備能夠?qū)崿F(xiàn)不同路由域的地址隔離與不同VR 間的地址重疊，同時能夠在一定程度上避免路由泄露，增加網(wǎng)絡(luò)的路由安全。 

◆先進的應(yīng)用層管控機制

Hillstone SA-5020能夠為用戶提供先進的應(yīng)用層管控技術(shù)，包括URL過濾、帶寬管理、P2P/IM管理等，能夠使用戶在保證網(wǎng)絡(luò)連通的前提下更細粒度地管控自己的網(wǎng)絡(luò)。 

◆高效的病毒防護功能

Hillstone SA-5020高效高性能的病毒流掃描技術(shù)保證了其作為防病毒網(wǎng)關(guān)能做到高吞吐量、低延遲的應(yīng)用要求，同時能給用戶帶來一個干凈、安全的網(wǎng)絡(luò)應(yīng)用環(huán)境，讓用戶的網(wǎng)絡(luò)和應(yīng)用再也不受病毒、木馬泛濫的困擾。

用戶評價

Hillstone SA-5020多核安全網(wǎng)關(guān)表現(xiàn)出來的性能非常卓越、非常強勁。其功能非常滿意的，專業(yè)化的防火墻功能加上精細化的邊界控制策略做到了我們想要求的安全控制，同時內(nèi)嵌的攻擊防護也非常好地解決了斷網(wǎng)問題?？傊琀illstone山石網(wǎng)科的安全解決方案加快了江蘇省工商局信息化安全建設(shè)，Hillstone SA系列多核安全網(wǎng)關(guān)無論從性能上、功能上、還是服務(wù)水平方面，都很好地滿足了我們的應(yīng)用需求，為江蘇省工商局提供了健康的網(wǎng)絡(luò)應(yīng)用環(huán)境，給我們帶來了更好的網(wǎng)絡(luò)應(yīng)用體驗。