技术中心
 
 

河北省沧州供电公司网络安全防护系统应用分析

   日期:2003-05-15     来源:中国测控网     作者:管理员    

沧州供电公司信息中心 孟海江
编者按在我国信息化应用热潮中,各行各业的众多企业已经搭建起自己的网络系统和应用系统。如何为系统运行提供行之有效的安全保护措施,已成为传统产业用户和新兴领域用户都密切关注和亟待解决的问题。本方案选择了两款网络安全系统解决方案,希望能为读者提供不同类型的网络安全应用策略。

  沧州供电公司采取两种安全措施,分别是网络防毒系统和网络防火墙系统,为该公司计算机网络和应用系统的顺利运行筑起了两道安全屏障。

  第一道安全屏障

  网络防毒系统

  系统选型 沧州供电公司选用Symantec企业级防毒软件Norton AntiVirus 7.0(以下简称NAV7)建立了网络防毒系统。通过多平台工作站和服务器的病毒码信息集中部署和产品更新,大幅度降低了部署更新的成本,并简化了企业服务器层次规划和创建。在该系统中,管理员从一个集中控制台设置管理策略,对基于DOS、Windows 3x、Windows 9x和Windows 2000的工作站以及基于Windows NT/Windows 2000 Server和NetWare服务器进行更新和配置。所有客户机均可锁定设置以防用户修改,也可在管理平台上对客户机进行配置并进行监控。一旦检测到病毒,该系统将自动修复并通过控制台向管理员发出报警。在该系统中,管理员只需在NAV7的安装过程中运行LiveUpdate并设置好其自动运行的时间。在以后的运行过程中,当满足设定的时间条件时,LiveUpdate会自动运行并进行病毒码信息更新。

  系统架构 在沧州供电公司计算机网络系统中,有5台服务器:两台Alpha小型机服务器组成负载均衡的集群系统,用于数据库服务器,安装了Tru64 Unix操作系统;两台HP企业级微机服务器LH3000,分别用于办公自动化系统和Internet代理/电子邮件系统,均以主机方式运行,操作系统为Windows NT 4.0;一台HP微机服务器LC3,用于网络防毒和数据备份,操作系统为Windows NT 4.0。网络工作站全部基于Windows 9x和Windows 2000。该公司网络防毒系统主要针对基于NT系统的服务器和全公司的网络工作站,其拓扑结构如图1所示。

  应用模式 沧州供电公司网络防毒系统采用C/S模式,在网络防毒服务器中安装NAV7.0服务器端程序,并通过Internet利用NAV LiveUpdate功能,从Symantec的免疫中心实时获取最新的病毒码信息。两台LH3000服务器和全公司的网络工作站都安装了NAV7.0客户端软件,利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描,并对发现的病毒采取相应措施进行清除。客户端根据需要可用三种方式进行病毒扫描:实时扫描、预置扫描和人工扫描。由于病毒扫描可能带来服务器性能上的降低,因此该系统全部采用预置扫描方式,将扫描时间设定在服务器访问率最低的夜间。网络工作站可根据各自需要,选择合适的方式进行病毒扫描。

  第二道安全屏障

  网络防火墙系统

  系统选型 沧州供电公司针对内部Intranet特点,选用企业级防火墙NetScreen100建立网络防火墙系统。该系统采用ASIC硬件方式处理防火墙访问策略和加密算法,减轻了CPU管理数据流的负担,并在速度上有较大提高。该系统在应用过程中,通过NetScreen100的网络地址转换(NAT)功能来隐藏内部网络的IP地址; 通过其动态访问过滤功能动态检查流经的IP数据包,根据设定的规则决定数据包是否可以通过,并将不合法的数据包过滤掉;通过其URL地址限定功能限制对某些站点的访问,防止内部网络对外部网络进行不安全的访问。同时在该系统中,NetScreen100提供的三个10/100M自适应以太网口,方便地实现了与网络设备的连接。管理员可采用浏览器、Windows 95/NT图形界面、SNMP Managers或命令行界面,进行过滤规则、流量带宽控制、优先级等方面设置。

  系统架构 沧州供电公司的Internet接入是通过省电力公司的Internet出口实现的。沧州供电公司在调度通信机房中,放置了一个PassPort路由器,通过微波通信与省公司的计算机网络相连。NetScreen100防火墙设置在PassPort路由器和内部网络设备之间,分别通过双绞线进行连接。同时,根据沧州供电公司的实际应用情况,在NetScreen100上设置了分组过滤规则,对内部网络与外部网络之间所有通信数据按照设定的规则进行检查。网络防火墙系统拓扑结构如图2所示。

  应用模式 沧州供电公司工作站对外部网络(Internet、省公司或其他电力公司网络)资源进行访问或收发电子邮件时,首先要通过Internet代理服务器进行身份验证。通过验证的用户发出或接收的数据包在NetScreen100上进行验证,符合规则的数据包可以正常收发,不符合规则的数据包将被过滤掉。外部网络的工作站对该公司内部网络资源进行访问时,其数据包同样要在NetScreen100中进行规则验证,非法数据包将被隔离在内部网络之外。只有安全的数据包(符合定义规则的数据包)才能在内部网络和外部网络之间进行通信,从而保证了内部网络的安全、可靠。


 
  
  
  
  
 
更多>同类技术
 
全年征稿 / 资讯合作
 
推荐图文
推荐技术
可能喜欢