与时俱变，以保持续运营
—— 某电网公司防火墙系统解决方案

就目前电力行业用户而言，电网和电厂无疑是电力行业用户的核心。而二者之间的信息沟通不可或缺。自从电力行业组织机构重组和区域重新划分之后，厂网拆分以及三网融合、数据大集中等多种IT应用出现，不仅要求电厂、电网用户内部网络的互联互通，还要求二者要开放更多的外接网络端口。

电网用户更是如此。“售电”是电网用户的主要业务之一，除ERP、OA、CRM 等内部应用之外，还需开展电力营销、网上客服等新业务。新业务的开展又让电网公司必需与银行等第三方服务机构发生业务关系，电网公司网络也需向其提供外接网络端口。

电力行业网络端口开放使该行业的信息安全问题由原来仅限于内部事件，转变为现在来自外界的攻击将越来越多，原有网络安全设计很难满足这种变化。众所周知，电力行业是一个关系到国计民生的行业，其行业最大的特点是不容中断，即便是5 个“9”（99.999％）的安全系数保证也有可能造成极为恶劣的负面影响。

根据安全域部署防火墙
根据Juniper 对实际需求的分析并结合国调对二次系统的相关建设要求，将某电网公司信息系统划分为以下几个大的网络安全域：IDC 核心区、办公区、广域网接入区、Intranet DMZ 区（即外网部分，含Internet DMZ 区）和Internet 区等5 个安全域。

同时，通过对安全域的进一步细分，可以将上述安全域进一步细分为管理安全域、服务器群安全域、关键办公（人事、财务、领导部门）安全域、普通办公安全域、广域网接入安全域、Intranet DMZ 服务安全域、拨号网接入安全域、Extranet 接入安全域、Internet 接入安全域等。

在本方案中，主安全域的划分主要通过防火墙及入侵检测防御系统（IDP）实现。通过其它安全系统进行安全配套。考虑到IDC 核心区及办公区网络系统在整个某电力信息系统中的核心地位，因此将原单机单网的核心网络交换机升级成为双机双网结构，通过双网双机的备份提高系统的性能及可靠性。局域网办公区和IDC核心区通过楼层/汇聚交换机接入核心交换。鉴于IDC核心区的安全性要求极高，数据核心交换机也将配置为双交换机模式。

某电网总公司安全域的逻辑细分图如下图所示：


Juniper 提供的方案中采用了千兆防火墙系列产品：ISG 1000、ISG 2000与Netscreen-5200。 ISG 1000/2000 是代表着全球最先进防火墙技术的产品，最有价值的优势在于其卓越的实际环境性能、稳定性和与IDP 硬件集成的特性，Netscreen-5200 是业界最高容量的防火墙，并可支持万兆以太网接口。ISG 1000/ 2000、Netscreen-5200 能全面适应某电网安全发展的需要。该系列防火墙拥有高性能的真正的ASIC 硬件平台、ScreenOS 安全操作系统、 Security Manager 集中管理工具、齐全的高密端口布局，体现了软硬兼顾、内外统一、应用灵活、集中管理等多种设计优点。

本规划书中Juniper采用防火墙系统来对企业网络的所有不同安全域互联接口进行安全控制，包括Internet 进出口控制、内网外网接口控制、广域网进出口控制及IDC 进出口控制。

总公司防火墙系统部署图如下图所示



防火墙高可用性设计
由于某电网公司的核心业务服务器、数据库服务器及所有的核心数据存储都位于IDC核心数据区，因此IDC数据核心网络是否能安全可靠运行关系到整个企业信息系统的安全性和稳定性。作为网络系统的重要组成部分之一，IDC核心数据区防火墙系统的可用性也将直接影响着整个IDC 核心数据区的可用性。Juniper 建议IDC 区防火墙系统与其核心交换机系统一样采用双机方式运行。同时为了进一步充分发挥防火墙设备的高性能，Juniper 建议该双机系统以并行方式运行，这样1+1=2 充分发挥双机的性能。真正意义上做到高可靠性和高性能兼得的双机运行。

以冗余对方式部署时，操作系统可以在冗余系统之间自动映射配置，以提供工作防火墙和VPN 会话的维护功能。这些设备可以使静态信息（如配置）和动态实时信息同步。因此在故障切换同步期间可以共享以下信息：连接/ 会话状态信息、IPSec 安全性关联、NAT 流量、地址簿信息以及配置变化等。

防火墙双机解决方案所采用的先进故障切换算法可提供网络流量重新路由，以免在出现设备故障的情况下发生连接中断。在进行故障切换时，备份设备已经包含有必要的网络配置信息、会话状态信息和安全关联，因此可以在一秒种之内完成切换，继续处理现有流量。利用内置的故障切换协议和动态路由功能，企业可以在全网状网络环境或负载分担环境中部署防火墙双机系统。

防火墙系统的双机工作方式可以提供多种配置选项，包括：主动/ 被动方式及主动/ 主动方式。

■主动/ 被动：一台设备作为主要设备，而另一台设备用作其备份。主设备向备份设备发送它的所有网络和配置设置以及当前的会话信息。如果主设备出现故障，备份设备就升级为主设备并继续进行流量处理。（如下图）

■主动/ 主动：两台设备都配置为主动，通过负载分担机制来分担分配给它们的流量。每一台设备约处理50% 的网络和VPN流量。如果一台设备出现故障，那么另一台设备就成为主设备并处理所有流量。（如下图）

■主动/ 主动全网状：两台设备都配置为主动，网络和VPN 流量同时通过两台设备。如果一台设备出现故障，那么另一台设备就成为主设备并继续处理所有流量。在全网状模式下，必须进行吞吐量调整以确保在出现故障切换时设备性能不会受到影响。（如右图）


为了实现最高的可用性并确保两个设备的同步，高端的防火墙安全产品一般都有一对专用的高可用性接口。如果到一个接口的连接由于某种原因而丢失，同步信息就会通过另一个接口传输。
■心跳信息丢失
■任何接口上的链路丢失
■无法接入配置的IP 地址或一组监控的IP 地址

在本项目中Juniper 采用主动/ 被动方式完成IDC 隔离防火墙及内外网隔离防火墙的高可用设计。后期随着系统安全可靠性要求进一步提升，及信息中心技术人员技术的提升，Juniper 建议将该防火墙双机系统的连接方式升级为Full Mesh 方式。进行从设备到链路的全备份。

安全多样性导致UTM 使用
项目完成之后，经过了一段时间的实际使用，解决了用户对网络安全的需求。然而随着时间的推移，用户发现网络安全出现了新问题：网络遭受的攻击已经不是过去病毒或者是黑客单纯性攻击威胁，信息安全日益成为发展成为多种安全威胁混合性攻击。


实际上，并不是只有该电网公司遇到这类网络安全问题。电网公司用户遇到的信息安全威胁具有一定的代表性。据Juniper 网络公司发起的一项调查研究显示，在接受调研的中国企业中有63% 在去年受到了病毒或蠕虫攻击，而41% 的公司受到了间谍软件和恶意软件的攻击。预计针对中国企业网的攻击在近期将不会减弱。超过半数的被调查者都认为今年会有更多的病毒和蠕虫攻击。中国网络在去年遭受到的混合性网络威胁攻击中，病毒和蠕虫攻击占63%；间谍软件和恶意软件攻击占41%；非预谋内部攻击占29%黑客攻击占14%；拒绝服务（DoS）和分布式拒绝服务（DDoS）攻击占13%。

安全领域的专家一致认为：网络安全需要一个多层次的防护。为应对复杂且随时都有可能发生的攻击，企业不得不需要布置层次化的安全产品系列。真的如此吗？

并非如此。随着信息安全防护技术的发展，市场上出现了统一威胁管理（UTM，United Threat Management）技术。UTM 是将企业防火墙、入侵检测和防御以及防病毒结合于一体的设备。因此很多像该电网公司一样的企业都计划把更多的投资花费在入侵检测和防护（IDP）等能够抵御混合性威胁的设备上。

一体化防护才可确保安全
目前解决信息安全威胁问题绝不是处理好防毒、防黑即可确保网络无恙这么简单，而是需要一体化防护手段。

在安全技术体系上一体化信息安全技术模型主要包括：系统安全平台、应用安全平台和综合安全管理平台三个层面，通过三个层面平台的一体化部署及它们之间的相互支撑和配合充分地实现信息安全系统的P2DR2 功能需求，即：Policy （策略）、Protection （防护）、Detection （检测）、Response （响应）和Recovery （恢复）五个方面的安全需求。

系统安全平台：主要是指在安全域及深入防御思想的指导下，信息系统平台自身的安全加固及多安全域的配套安全设施强化。主要包括网络系统、主机系统及平台系统等系统自身的安全及安全加固（如用户弱口令强化、非使用网络服务关闭及系统升级打补丁等）；安全域的划分及安全强化设施（如防火墙、防病毒、入侵监测、漏洞扫描、物理隔离等）的合理部署。

应用安全平台：主要完成网络资源的身份管理、身份验证及网络应用资源的接入控制。网络应用的集中登陆，集中接入控制。具体技术设施包括门户系统（Portal）、身份管理系统（IM）、接入控制系统（AM）、证书系统（PKI）等。

安全管理平台：安全管理平台是安全技术体系的核心组成部分。是企业的安全管理中心（SMC）的重要支撑。主要完成安全系统的策略设置、安全事件监控及响应、安全审计、风险分析和决策支持。

Juniper 根据其一体化防护思路指导下推出了UTM 设备——集高级安全与全路由于一体的新一代安全多业务网关500（SSG 500）系列。该系列产品集成Juniper广受赞誉与认可的高性能VPN/安全与电信级路由技术于一体。各个产品型号完全是针对中型企业、大型企业分支机构、中小型企业等不同安全需求量身定制的。

值得注意的是，SSG产品应用范围广泛——可以防范网络及应用层的攻击，支持当前及未来的网络联接技术方案；在局域网安全基础上，还支持分支机构到总部的网络连接性能。

用户可将其作为网络安全设备使用：作为防火墙可为中型/ 中大型企业提供高级别的安全网网络能力；其VPN 功能，为客户提供高速WAN 提供高性能安全联网。

与其它信息安全设备提供商的产品相比，SSG产品系列不仅是用户的UTM 设备的理想选择，用户还可以将SSG 作为安全路由器使用。作为安全路由器，SSG产品除了安全以外，同时还能替代传统路由器，为企业提供安全与路由的一站式方案。考虑到用户网络应用的实际需求，对于超大规模网络用户，Juniper 建议用户还是应将路由和安全设备不要集成使用。

SSG 500系列产品内置深度检测等内容安全级的IPS功能，对网络进行由表及里的全方位防护，将主流网络安全设备的定义由FW/VPN集成推进到FW/VPN/IPS集成时代；配备ScreenOS，支持深度检测、状态检测等集成化入侵检测等内容级的高级安全特性；内置Web 过滤、防病毒、防圾邮件、防网络欺诈等新一代安全功能；实现网络安全与企业级路由功能一体化，简化网络设计，消除网络瓶颈，提高网络安全通信的效能；基于JUNOS 的完整的路由能力，支持RIP1/2、OSPF、BGP 等路由协议；支持FR/MLFR/FRPPP/MLPPP/HDLC 等多类型主流广域网联接；支持多类型高低速广域网接口，高至千兆以太网，低至64K专线/ ISDN 等；模块化、高性能、全千兆联网，性价比业界无与伦比；防火墙性能最高达1 Gbps，IPSec VPN 性能达500 Mbps；内置4 ×GE 端口，配有6 个I/O 接口模块；配备直流电源选项，配备电信机房要求的设备附件选项。

由于Juniper 网络公司原有防火墙均会被升级，使其具有UTM 功能。目前，该电网公司已经开始对原有网络安全设备进行改造——开始部署SSG 设备。

好东西，具体详细．:)

谢谢楼主！！！:D

写地不错，！！

电力的设备有些地方比电信的还好.

好东西................

二楼说的那确实是真的.