移动安全 安全管理应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用案例 >

天融信防火墙守护电力企业虚拟化之路

时间:2013-05-06 11:18来源:TuZhiJiaMi企业信息安全专家 点击:
近日,某电力企业作为国内范围较大年夜的发电集体之一,跟着企业范围的延续强大年夜,集体总部及部属十余个“专业公司”总部将统一迁进新址以知足营业快速成长的需要。按照该电力企
Tags案例(164)防火墙(206)天融信(39)虚拟化技术(5)  

  近日,某电力企业作为国内范围较大年夜的发电集体之一,跟着企业范围的延续强大年夜,集体总部及部属十余个“专业公司”总部将统一迁进新址以知足营业快速成长的需要。按照该电力企业组织机构复杂年夜、利用类型繁多和收集布局复杂等特点,在新办公大年夜楼的信息化扶植中将对收集进行全新的打算与设计,而手艺的“进步前辈性、靠得住性”成为此次项目扶植的首要方针。

  天融信NGFW猎豹防火墙按照设计要求将摆设在整套收集最为关头的互联网鸿沟位置,在知足收集层面对高可用性的严格要求根本上,实现对集体局域网、集体总部DMZ区与互联网区之间的鸿沟安然防护。除此以外,因为各个专业公司对外营业不归并采取自力运营的营业模式,使各公司具有自力的系统运维团队,而在DMZ区也具有各自的利用系统办事器群。是以,在共享物理鸿沟的环境下,将经由过程天融信NGFW猎豹防火墙的网关虚拟化手艺为不合专业公司DMZ区实现流量的逻辑划分,最终实现构建虚拟化鸿沟安然防护系统的扶植方针。

  具体需求以下:

  1. 实现集体局域网、集体总部DMZ区与互联网区之间的鸿沟安然防护;

  2. 为各个专业公司分派虚拟防火墙系统,实现专业公司DMZ区的虚拟安然域划分;

  3. 各专业公司运维人员对各自的虚拟防火墙系统进行自力运维;

  4. 防火墙与内网互换机之间经由过程ICMP报文探测实现内网冗余链路的故障动态切换;

  5. 防火墙采取热备模式,经由过程非对称双机Metric设计实现矫捷的双机切换鉴定机制;

  相干收集示意图以下:

天融信防火墙守护电力企业虚拟化之路

  摆设

  上文提到,因为各个专业公司对外营业的自力性,经由过程在专业公司DMZ区摆设虚拟防火墙系统来实现虚拟安然域划分与防火墙建设的自力运维。那么,实现该需求的前提是肯定在该收集环境下若何摆设虚拟防火墙系统,而摆设虚拟防火墙系统的关头在于采取何种收集接口类型进行虚拟用户的流量划分。天融信NGFW猎豹防火墙的网关虚拟化手艺可以撑持多种虚拟防火墙系统的接口分派方案,包含物理接口、SVI接口和路由子接口。本案中,因为需要为十余个专业公司别离摆设虚拟防火墙系统,采取将物理接口划分至不合虚拟系的方案将造成端口资本的华侈并且扩大性较差,是以,SVI虚接口的接口分派方案无疑是本案的首选。

  NGFW猎豹防火墙与上联互换机之间的两条物理链路(黄色)别离为全部专业公司DMZ区的上、下联链路。防火墙的两个物理接口建设为Trunk模式,并按照专业公司数量别离划分出响应(三层)VLAN。两个接口Trunk模式下的各个VLAN成对分派给各个虚拟防火墙系统别离作为上联与下联接口,最终构成十余组基于SVI虚接口的虚拟防火墙系统,且各虚拟防火墙为路由模式。如许一来,各专业公司运维人员可经由过程各自虚拟防火墙系统的SVI虚接口IP对系统进行自力运维与治理,并且不合虚系统之间的建设互不干与。

  示意图以下:

天融信防火墙守护电力企业虚拟化之路

  收益

  操纵网关虚拟化手艺可以或许实现一台物理设备上的虚拟安然域划分,比拟摆设多套物理设备的解决方案,削减了企业的成本投进。从收集治理的角度来讲,网关虚拟化可以或许为不合的租户或营业部门供给自力的系统登岸界面、对象治理及安然策略系统,使建设思路加倍清晰,权限界定加倍明白。别的,网关虚拟化手艺可以或许在用户营业划分产生改变或产生新的营业部门时,只针对逻辑设备进行增加与调剂,晋升工作效力的同时,加强了安然策略摆设的矫捷性。

------分隔线----------------------------

推荐内容