首页 - 典型案例 - 电信行业案例

海南联通 IT承载网NGFW解决方案

发布日期:2020,06-24

1、客户介绍

中国联合网络通信集团有限公司海南分公司,以下简称“海南联通”,主要经营固定通信业务,移动通信业务,国内、国际通信设施服务业务,数据通信业务、网络接入业务和各类电信增值业务,是海南省很具影响力的三大电信运营商之一。海南联通依托中国联合网络通信集团有限公司的雄厚实力,立足海南,致力发展通信业务,建立起了覆盖全省的高质量通信、营销、服务网络,服务日臻完善,客户规模不断扩大,成为海南电信市场的重要力量。目前,公司的服务、营销和基站网络等遍布全岛各地,下设海口、三亚、儋州等20家分公司。

海南联通IT承载网是海南联通全省的办公网络,承载着海南联通OA,邮件,财务、ERP等,总共十几种业务系统的日常工作。一直以来,海南联通都非常重视IT承载网的信息化建设,包括线路升级、设备升级、新业务系统建设、网络安全建设等。最近几年,由于公司网络规模不断扩大,网络接入方式多种多样(包括移动用户、VPN用户),且互联网威胁有75%集中在应用层,所以海南联通IT承载网信息化改造被提上日程,他们需要一个更加稳定、安全、易管理的IT承载网络。


2、项目背景

2.1网络现状描述

海南联通总部的IT承载网现有两个互联网出口链路,都是联通自有的线路,出口总带宽为1Gbps。通过IT承载网访问互联网的人数将近5000人,包括公司员工、外来访客等。其中有1000人左右使用WIFI接入,且人数在逐年增加。IT承载网络现有OA、财务、邮件等十几个业务系统。

2.2网络存在的问题

从2013年开始,海南联通IT承载网经常出现网络丢包情况,IT主管部门经常接到其他业务部门投诉“打开网页越来越慢,影响工作效率”。IT部门通过仔细排查,发现部署在IT承载网的互联网出口的传统防火墙长时间运行不稳定,性能无法满足大流量需求。因为海南联通IT承载网建设时间较早,在最初设计时,只部署了传统防火墙作为安全防护设备。

随着公司网络规模的快速扩大,且对员工的网络应用没有合理的管控,导致出口带宽利用不合理,传统防火墙的性能成为了网络出口的瓶颈。

传统防火墙缺乏对应用层的安全防护,随着互联网应用的不断增加,网络威胁的方式多样化,内网用户面临着被病毒感染、漏洞攻击、侵犯隐私等应用层的威胁。

对于上述网络安全问题,已经引起海南联通主管领导的高度重视,所以主管领导亲自责成IT部门,限期完成对IT承载网安全防护设备的全面升级改造。

2.3下一代防火墙需求分析

海南联通IT承载网对于安全防护设备的需求主要有以下四点:

第一、高性能、高可靠性要求。海南联通IT承载网覆盖范围大,用户多,经过互联网出口网络流量主要包括用户访问互联网的数据流量,还有出差用户访问业务服务器的流量。防火墙作为互联网出口重要的设备,需要具有更高的流量吞吐能力。

防火墙设备作为整个IT承载网出口的重要设备,需要采用双机的模式进行部署,保障IT承载网接入互联网的可靠性。

第二、网络应用可视化管理。由于联通办公网用户数量很多,大部分来自各个市县用户,为了保障办公网络正常稳定运行,提高员工工作效率,防止信息泄密,需要对办公网用户、应用及内容可视化管理及控制。

第三、网络流量管理需求。随着上网用户的不断增多,互联网应用的增长,特别是P2P、网络视频的在办公网络中广泛出现,员工上网经常出现网络卡顿、掉线等现象。因此,IT承载网需要部署网络流量管理系统,实现对全省用户上网的流量、应用等进行有效控制。

第四、一体化的安全防护需求。海南联通办公网已经部署桌面级的防病毒软件,但是在网络边界,传统防火墙无法阻断基于应用的病毒扩散、恶意入侵等威胁。因此,本期的IT承载网改造对防火墙的需求,不仅要具有传统的防火墙功能,还需要具有入侵防护、防病毒、防恶意软件等方面的防护能力。       

通过对上述需求的分析发现,传统的防火墙已经无法满足当前的网络安全需求,只有真正意义的下一代防火墙才能做到全方位的安全防护和高性能流量转发。


3、网康解决方案

3.1方案概述

网康科技下一代防火墙NGFW以双机备份模式(HA模式)部署在海南联通IT承载网出口,替换掉原有传统防火墙。NGFW除了具有基本防火墙的NAT、HA、链路负载功能外,更重要的是集IPS、AV、URL过滤等业界最常用的安全防护的一体化方案,有效应对海南联通IT承载网面临的互联网威胁。在解决了用户网络安全防护,流量管理等迫在眉睫的问题同时,也满足了客户对网络出口高性能、高可靠性的需求。

3.2一体化安全防护设计

网康下一代防火墙除了具有传统防火墙的基本功能外,还具有一体化安全防护体系,包括防病毒、防漏洞、防间谍软件功能。

(1)防病毒的配置

    海南联通办公网用户获取相关资讯,主要通过访问互联网。根据互联网第三方安全机构统计,办公网病毒的来源主要有两个:第一、PC终端的移动设备;第二、互联网出口。

当前,海南联通IT承载网中已经部署网络版杀毒软件,可以防护PC终端移动设备的病毒侵扰。而对于从互联网出口入侵的病毒,主要通过网康的下一代防火墙防病毒模块来防护。检查的对象包括ftp、http、pop3、smtp、imap的数据内容。网康防病毒模块采用本地AV、云AV的方式进行病毒查杀。以下是本期海南联通IT承载网的防病毒模块设置:

(2)防漏洞配置

漏洞防护主要针对网络中常见应用的漏洞进行防护。比如员工工作电脑的浏览器、办公软件、即时通信软件等,另外,服务器的数据库软件、中间件软件、操作系统等系统相关漏洞,进行安全保护。以下是本期海南联通IT承载网漏洞防护的具体配置:

(3)防间谍软件配置

间谍软件是在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。通过对这些软件的有效防护,能够提升用户隐私的防护,减少用户电脑资源开销。以下是针对海南联通IT承载网的防间谍软件的配置:


4、方案实施的价值

4.1方案的效果体现

- 投资效益最大化

网康下一代防火墙集IPS、AV、URL内容过滤等多种安全防护解决方案,用户只需要付出单台设备的投资,而获得多种安全解决方案防护的回报,极大提升用户的投资回报率。

- 应用可视化管理,简化网络复杂度,降低网络管理难度

网康下一代防火墙通过对互联网应用的高精准识别,网络管理员对用户网络应用、流量的使用情况一目了然。对于网络中的异常流量、异常事件,基于下一代防火墙的主页面,也能够很好的呈现,大大降低网络故障的定位。同时,防火墙还能够产生各种简单、易读、有价值的安全报表,有利于用户管理员工作汇报,也有利于用户领导对下一步的IT投资提供参考依据。

- 实现对BYOD用户的管理

对于用户办公网络中的一部分用户,使用自己的移动设备,比如智能手机、智能终端访问办公系统,下一代防火墙也能够识别出这些用户以及他们正在使用的应用。

- 充分利用现有网络带宽资源

通过对HTTP、邮件、DNS等传统应用进行了通道级的带宽保证,对下载、网多线程下载等行为的流量控制,优化了网络带宽,保障了网络内的上网速度流畅,提高了客户满意度,同时,实现了带宽的最大有效利用。

- 全面提升办公效率

通过流量控制系统进行应用封堵、流量限速等流量限制等手段,控制非关键应用,封堵无关应用,极大地提升环保的办公效率,用户反映明显的提升了办公的体验。

4.2竞争对比

本期的海南联通IT承载网防火墙项目过程中,遇到两个竞争对手,分别是Cisco、深信服。客户的网络原来使用的是Cisco防火墙,应该说,Cisco具有最大的客户优势,但是最终经过设备的功能演示,技术服务、现场响应等方面进行对比,客户最终选择了网康。在整个项目过程中,网康的竞争优势主要表现在以下两个方面:

第一、网康下一代防火墙能够对用户应用可视化的管理。通过设备上线,用户网络中现有的流量大小,流量中包含的应用,在线用户数等相关信息,都非常直观、实时的呈现出来。网康的设备上线后,海南联通的信息中心主任都经常登录到设备上去看网络使用情况。除此之外,还具有网络威胁可视化,网络的各种威胁攻击日志能够进行关联,非常方便用户对网络中威胁的深入分析。

从这点看,Cisco防火墙是不能够实现的。因为Cisco防火墙采用的是传统防火墙的设计,虽然也有界面操作,但纯粹是用于网络管理员调试使用,用户网络的实际使用情况,完全没有展现。而深信服的下一代防火墙,虽然也有应用的可视化界面,但还是不太直观,日志呈现比较技术化,可读性差,应该说,深信服产品的设计还是站在设备的角度,而没有站在用户的角度去下功夫。

第二、技术服务。海南联通IT承载网除了服务于海南联通内部日常办公,还承载着10010客服部分业务系统。因此,海南联通IT承载网要求7×24小时提供保障。当网络中出现频繁丢包情况时,最先要求去现场的是Cisco代理商,问题也没有解决。当用户给网康打电话时,通过简单的电话沟通后,网康工程师判断应该是Cisco设备出现了问题。挂完电话后,网康的工程师马上带上NF3000系列的一台测试机到客户现场。到达客户现场是中午12点半左右,通过中午一个小时时间,设备上架,调试,测试,网络恢复稳定,各业务系统也可以正常访问。设备上线后,网康工程师还在现场保障了一个下午。随后的几天,网康的工程师都与用户保持联系,随时关注客户网络情况,对于客户关心的问题做了详细专业的解答。

4.3总结

通过对几个安全厂家的防火墙测试,网康防火墙最终在设备稳定性、一体化安全防护、现场技术服务等方面赢得客户的信赖。尤其是在技术服务方面,更是想客户之所想,急客户之所急,以客户为中心的工作理念感动了客户。最后,网康下一代防火墙NGFW产品和网康品牌影响力在众多参与测试的友商中脱颖而出,成为海南联通IT承载网安全设备改造的唯一供应商。

通过海南联通项目的成功实施,网康科技的品牌影响力在海南市场大大提升。网康下一代防火墙NGFW产品功能和性能在运营商行业再一次禁住了严格考验。