Crossbeam防火墙使用案例

network

Crossbeam防火墙使用案例

2007-05-14　 进入论坛

一、城域网安全高可靠性解决方案 XX电力城域网是基于多业务传输平台（MSTP） 技术的信息系统的广域网；考虑到IP 网在传输数据库、管理信息、大数据量数据等方面的优势，除电力调度生产信息系统之外的应用信息系统都运行在该广域网上，例如：营销管理系统、生产和配电管理（DMS/GIS）系统、办公自动化（OA）系统、企业资源计划（ERP）系统等的应用。 MSTP 广域网是基于SDH 传输技术的多业务传输数据网，对于IP 应用来说，在逻辑上可以把它看作单纯的IP 网，本网络由相关主要节点组成MSTP 主环，包括电力公司本部―――新大楼、市区供电公司、市东供电公司、市南供电公司、客户服务中心―――南京路、数据中心和超高压公司，除去超高压公司和南京路外，其余节点MSTP 设备到各单位局域网交换机的链接均为双链路，其中，各供电公司下属的供电分公司分别通过光缆组成三个MSTP 子环，然后通过供电公司的节点和主环连接，各单位内部局域网通过MSTP 设备提供的千兆以太网端口和MSTP 广域网单链路连接，实现电力公司信息网络的互联互通，为各业务应用提供网络支持。 为保证各分公司的内网安全，在MSTP设备与各分司的核心交换机之间部署防火墙。在某些重用节点，MSTP设备与核心交换机之间采用了冗余配置：冗余MSTP模块、冗余链路和冗余核心交换机，示意图如下： 在加入防火墙后，必须保证系统不存在单点故障，同时不能影响当前的网络结构。通常的解决方案是通过防火墙双机冗余技术实现，但是这种方案有以下弱点： 1) 不能代替交换机传递HSRP消息，必须增加交换设备 2) 为保证不改变现有的网络结构，防火墙必须工作在透明模式，此时只能不能实现双机的负载均衡，只能实现热备。 通过在网络中部署全冗余配置的Crossbeam X45安全交换机，成功地解决了上述问题。增加X45安全交换机后的网络结构示意图如下： 该方案的优点如下： 1) X45安全交换机工作在透明模式下，同时代替原有的交换机传递HSRP消息，对于当前的网络结构没有影响。 2) X45安全交换机独有的单机高可用性技术，保证网络中不存在单点故障。 3) X45安全交换机内部的两个防火墙应用模块工作在负载均衡模式下，在保证系统高可用性的同时提高了系统的性能。 4) 未来可以利用X45的空余槽位实现安全功能的扩展，例如增加入侵防护模块、防病毒模块等等。 二、变电站网络安全高可用性解决方案 X市目前拥有数十座变电站，2010年将达到120座。为保证变电站网络的内部安全，需要在变电站网络与骨干网之间增加防火墙。由于变电站网络的特殊性，防火墙必须满足下列条件： 1) 对于目前的网络结构不做修改 2) 最大限度保证变电站网络的可用性，特别要考虑当防火墙供电发生故障时网络的可用性。 3) 易于管理维护。由于变电站遍布上海的各个地区，出现问题时管理人员很难及时到达现场进行维护，必须依赖变电站工作人员处理故障。当出现紧急故障时，必须保证本地工作人员能在2分钟内恢复网络的通畅。 4) 价格因素。由于变电站网络规模不大但数量较多，实现高可用性解决方案时必须充分考虑价格因素，传统的双机高可用性方式存在价格过高的问题。 Crossbeam 解决方案： 通过在变电站网络与骨干网之间部署单台Crossbeam C6防火墙为变电站网络提供高可用性安全解决方案。方案的特点如下: 1) 采用透明模式，对目前的网络结构不做修改 2) Crossbeam C系列防火墙特有的Bypass功能模块为变电站网络保证了最大限度的可用性。对于变电站这类对于网络的可用性要求高于网络的安全性的系统，在出现故障的情况下，必须首先保证网络的通畅。C6防火墙的Bypass模块可以在下列情况下直通，最大限度保证网络的可用性： a) 电源故障 b) 防火墙应用故障 c) 防火墙操作系统故障 3) C6防火墙提供简单易用的图形界面，方便非专业人员管理。同时当发生紧急故障时，本地支持人员在可以通过给防火墙断电的方式瞬时恢复网络。 4) 通过C6防火墙的Bypass功能（故障直通功能）可以提供安全防护的同时最大限度保证网络的可用性，不需要采用传统的双机高可用性解决方案，降低了成本。