截止2002年11月底,杭州国家软件产业基地已经有软件企业620家,软件园企业89家;科技部认定的骨干软件企业10家。为了更好地服务这些企业并吸引更多的软件企业来软件产业基地发展,杭州国家软件产业基地有限公司经国家发展计划委员会批准,开始了"国家软件产业基地(杭州)网络建设项目"。
2002年12月29日,杭州国家软件产业基地有限公司和世导科技有限公司签署了《杭州国家软件产业基地公共服务与技术支撑平台设方案的共同认识》等合同。由世导负责杭州软件基地公共服务与技术支撑平台项目的建设和运营。整个"公共服务与技术支撑平台"从网络系统结构上看,可分为专网系统、运维内网系统及外网接入系统其中"公共服务与技术支撑平台"的建设最终将建成环绕杭州城的高速双向光纤专网,把坐落在市区范围内的各软件园区、企业聚集的商务楼宇及相关高校科研机构等联接起来。
网络安全需求
作为杭州国家软件产业基地的IP城域网,公共服务与技术支撑平台的作用非常重要,不但要为软件园区、企业单位、学校等提供高速的接入服务,同时还要提供网络测试专业实验室、VPN连接、IDC主机托管、电子教学、企业邮局系统、基地封闭式开发实验室等增值服务。
国家软件产业基地网络系统逻辑图如下:
从系统逻辑图可看出,公共服务与技术支撑平台是三个系统中规模最大、最基础的系统,大部分系统及设备都在支撑平台专网运行。由于所有的数据都要通过支撑平台的骨干网络进行转发,如果支撑平台出现安全问题,那么整个软件基地的网络系统将会有瘫痪的危险,所以支撑平台必须具备极高的安全性和可靠性。另外随着支撑平台网络的不断扩展以及接入支撑平台的软件企业的迅速增加,可以预见,支撑平台网络系统的安全风险也将会变的日益严重和复杂。基于以上考虑,杭州国家软件产业基地有限公司对支撑平台的网络安全建设提出了非常高的要求,把可靠性和安全性作为整个支撑平台网络建设的最高原则。
思科一体化网络安全解决方案
为了确保整个网络系统建成后的安全和稳定,杭州国家软件产业基地有限公司进行了严格的招标活动,经过认真的比较和分析,最后杭州国家软件产业基地有限公司决定全面采用思科系统公司这种独具特色的一体化网络安全方案。思科系统公司是全球知名的互联网设备和解决方案供应商,同时也是业界领先的网络安全设备和解决方案供应商。思科系统公司在透彻研究网络的基础上,通过在所有产品中都集成安全特性来打造一体化的网络安全。具体地说,就是思科公司除了提供防火墙等专用的安全产品外,还在路由器、交换机、无线网络设备等产品中都集成安全特性,从而保护网络上每个节点的安全。一体化网络安全解决方案可以做到融安全于网络中,不会在网络中留下安全死角,同时还具有实施方便、扩展灵活、保护投资等特点。思科一体化网络安全解决方案先进的安全理念得到了负责招标的专家和领导的一致好评。
思科为杭州国家软件产业基地实施的一体化网络安全方案主要是借助思科先进的交换机产品Catalyst 6509实现的。Catalyst 6509是思科公司最新的交换机产品,作为业界领先的交换机平台,Catalyst 6509交换机可以高度集成思科各种网络安全硬件模块,包括防火墙服务模块、IP安全虚拟专用网(IPSecVPN)服务模块、入侵检测系统模块和网络分析模块(NAM)。如果将这些安全模块结合在一起使用,客户将能够在交换机上部署综合安全性,而无需分别管理的不同设备。
思科根据软件产业基地网络系统的结构,制定了"自上而下"的方案实施原则,首先确保运维系统内网的安全,其次保证IDC机房、实验室及公共服务系统的安全,最后保证外网接入的安全。
为了保证运维系统的独立性及安全性,在网络建设后期从浙江通信单独租用SDH线路,连接世导、国软及联合,形成一个独立的内网。运维专网采用单独的IP地址与路由设计,保证安全。另外,在运维系统中安装VMS安全策略管理服务器,对全网的安全策略进行统一管理及监控。在世导Catalyst 6509交换机上安装VPN模块,提供外网的VPN接入终结。同时安装一台ACS身份认证服务器,提供对VPN拨入用户的认证、记账及权限策略分配。
在世导Catalyst 6509交换机上配置防火墙模块FWSM,将IDC主机托管系统、平台骨干网连接、运维内网连接及Internet接入进行安全隔离。对6509交换机上的5个千兆及百兆接口配置为防火墙端口,同时分配名称、其中Outside口连接世导的Internet接入,Dmz1口连接平台骨干网络、Dmz2连接 IDC机房的服务器群、DMZ3连接身份认证系统,Inside口连接运维内网接入。对5个四个接口权限设置为:Outside为0、dmz1为40、 dmz2为60、dmz3为80、Inside为100(最高)。在国软6509上配置防火墙模块FWSM,将综合测试实验室及公共服务平台、平台骨干网连接、运维内网连接进行安全隔离。对分别连接四个区域的3个千兆及百兆接口分配名称、其中Outside口连接平台网络接入,Dmz1口连接综合实验室, Inside口连接运维内网接入。对3个四个以太网权限设置为:Outside为0、dmz1为50、Inside为100(最高)。
在世导及国软的6509交换机上安装网络入侵检测IDS模块,提供对多个网络的入侵检测。同时与防火墙模块实现联动,一但发现网络中存在攻击行为或是非正常数据包,立即报告安全管理中心,同时在防火墙上动态增加安全策略,对攻击行为进行隔离。
在接入网系统上,利用分布到各大楼的3550交换机提供的PrivateVLAN技术和安全访问控制列表ACL等安全交换技术,同时通过合理的IP地址分配策略和路由策略,提供对接入企业的安全控制。
方案实施拓扑图如下:
效果分析
思科一体化网络安全解决方案得到了国家软件产业基地的认可,可是作为设备供应商的思科公司,能够担任起网络安全的重任呢?
2003年堪称计算机病毒年,可是令人感到尴尬的是,对那些专业信息安全厂商来说,虽然自己一再声称能帮助用户解决网络攻击问题,但在新型攻击面前,自己却基本上无能为力,架设的防线形同虚设。就在人们困惑担忧的时候,一些老牌但却属于新生的力量站了起来。就像思科,众所周知,思科是全球著名的网络设备和解决方案的提供商,相对于专业信息安全厂商对网络理解的匮乏,思科则是这方面的专家,它掌握着网络底层协议和关键技术,从而能够做到操作系统、网络基础架构牢不可破,坚如磐石!
2003年11月,思科在全球发布了网络准入控制(Network Admission Control)计划,该计划是思科自防御网络计划(Self-Defending Network, SDN)的重要组成部分,是一套高度集成的一体化网络解决方案。思科自防御网络计划是一个创新的、多侧面的网络安全战略,其目标是提高网络发现、防御和对抗安全威胁的能力。网络准入控制(Network Admission Control)是思科自防御网络计划的重要组成部分。其核心思想是,控制访问权限,有效阻止不符合安全条件的设备及访问进入网络,并将其置于某个隔离区域之外,或者仅获得对计算资源的有限访问权限。网络接入控制与思科公司关于网络安全的其它技术,如入侵检测、防火墙、网络管理与流量分析、VPN等加在一起,就构成了自防御网络的全部内涵。
思科网络接入控制是通过与业内厂商合作来实现的,2003年11月,思科宣布与NAI、Symantec、Trend Micro三家国际反病毒软件厂商合作,通过思科安全代理软件(Cisco Security Agent)与防病毒软件的配合,将思科对网络恶意行为的防御能力延伸到服务器和PC端点上。2004年2月,思科又与IBM达成类似的合作,IBM将在其笔记本电脑和Tivoli网络软件两端支持自防御网络计划。思科今后还将把网络接入控制计划向更多的厂商和机构开放,与业界广泛合作,共同编织出一张抵御任何恶意行为的防护网。
