电力系统网络安全解决方案.pdf

StoneSoft China Power Electricity Industry Security Solution StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 2 目录目录 一、关于 StoneSoft.3 二、电力系统的网络安全风险控制.4 三、电力系统网络安全解决方案目标.8 四、StoneSoft 电力系统安全解决方案设计思路.10 五、StoneSoft 电力系统安全解决方案设计方案说明.13 六、StoneSoft 网络安全产品介绍.20 七、StoneSoft 管理系统.27 八、StoneSoft 产品关键特性.30 StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 3一、关于一、关于 StoneSoft StoneSoft 公司(HEX:SFT1V)是一家全球性的公司，她专注于企业级的网络安全保护和网络商务连续保证。她自有的 StoneGate安全平台整合了防火墙,VPN 和 IPS，给苛刻的商务应用提供了有效灵活的防护。StoneGate 内置了采用负载均衡技术的 StoneBeat。StoneSoft 的产品构想是构建能互操作的产品，这些产品通过分布式的安全策略的执行，具有集中的管理,有效的分层防护或者深层防护。Stonesoft 提供在那些网络的解决方案中所必须的产品，而这些创建好的网络是安全,有效,可管理以及可升级的。Stonesoft 的全球总部在芬兰的赫尔辛基；美洲总部在美国佐治亚洲的亚特兰大；亚太地区总部在新加坡。Stonesoft 在美洲设有许多办事处，包括墨西哥和巴西。她在欧洲的英国、德国、法国、意大利、荷兰和西班牙都设有办事处。Stonesoft 在全球拥有超过 250 名员工。2005 年 8 月，Stonesoft 公司在中国上海成立了办事处。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 4二、电力系统的网络安全风险控制二、电力系统的网络安全风险控制 事实证明，由于电力系统一直以来网络结构和业务系统的相对封闭性，电力系统出现的网络安全问题也基本产生于内部。但是，随着近年来与外界接口的增加，特别是与银行等合作单位中间业务的接口、网上电力服务、三网融合、数据大集中应用、内部各系统间的互联互通等需求的发展，其安全问题不仅仅局限于内部事件了，来自外界的攻击已越来越多，已经成为电力不可忽视的威胁来源。但是，未来电力系统网上服务所采用的策略一般是由省局做统一对外服务出口，各级分局或电力公司和电厂将没有对外的出口；从内部业务应用的角度来看，除大量现存的 C/S 结构以外，还将出现越来越多的内部 B/S 结构应用。所以，对于电力系统整体来说，主要问题仍有一大部分是内部安全问题。其所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。对于电力来说，主要是保护电力业务系统的安全，其核心在于保护电力数据的安全，包括数据存储，数据传输的安全。影响电力系统网络安全的因素很多，有些因素可能是有意的，也可能是无意的误操作；可能是人为的或是非人为的；也有可能是内部或外来攻击者对网络系统资源的非法使用。21 针对电力网络信息系统安全的威胁：2.1.1 人为的无意失误 如安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享信息资源等都会对网络安全带来威胁。电力中心或分中心主机存在系统漏洞，主机管理员安全意识和知识较差,容易被攻击者利用后通过电力网络入侵系统主机，并有可能登录其它重要应用子系统服务器或中心数据库服务器，进而对整个电力系统造成很大的威胁。2.1.2 人为的恶意攻击 这是计算机网络所面临的最大威胁，黑客的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的可用性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害，并导致机密数据的泄漏和丢失。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 52.1.3 网络和系统软件的漏洞和“后门”随着各类网络和操作系统软件的不断更新和升级，由于边界处理不善和质量控制差等综合原因，网络和系统软件存在越来越多的缺陷和漏洞，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标和有利条件，当前世界范围内出现大量黑客攻入电力网络内部的事件，这些事件大部分就是因为安全控制措施不完善所导致的。另外，软件的“后门”有些是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。同时也存在BO，Netbus 等专业黑客后门程序，一旦通过网络植入电力主机，犹如电力系统的信息库被开了几个后门。2.2 电力系统网络安全风险和威胁的具体表现形式：各类内外安全风险和威胁的具体表现形式主要有：?UNIX 和 Windows 主机操作系统存在安全漏洞。?Oracle，Sybase、MS SQL 等主要关系型数据库的自身安全漏洞。?重要应用系统的安全漏洞，如：MS IIS 或 Netscape WEB 服务应用的“缓存区溢出”等，使得攻击者轻易获取超级用户权限。?核心的网络设备，如路由器、交换机、访问服务器、防火墙存在安全漏洞。?利用 TCP/IP 等网络协议自身的弱点(DDOS 分布式拒绝服务攻击)，导致网络瘫痪。?网络中打开大量的服务端口(如 RPC,FTP,TELNET,SMTP,FINGER 等)，容易被攻击者利用。?黑客攻击工具非常容易获得，并可以轻易实施各类黑客攻击，如：特洛伊木马、蠕虫、拒绝服务攻击、分布式拒绝服务攻击、同时可利用 ActiveX、Java、JavaScript、VBS 等实施攻击。造成网络的瘫痪和关键业务数据的泄漏、篡改甚至毁坏。?在电力内部网络中非法安装和使用未授权软件。对网络性能和业务造成直接影响。?系统及网络设备的策略(如防火墙等)配置不当。?关键主机系统及数据文件被篡改或误改，导致系统和数据不可用，业务中断等。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 6?分组协议里的闭合用户群并不安全，信任关系可能被黑客利用。?应用软件的潜在设计缺陷。?在内部有大批的对内网和业务系统相当熟悉的人员，据统计，百分之七十以上的成功攻击来自于企业系统内部。?与其他电力和合作单位之间的网络互通存在着极大的风险。?虽然将来由省局统一的 WEB 网站向外发布信息并提供网上信息服务，但很多分局和分公司仍允许以拨号、DDN 专线、ISDN 等方式单独接入互联网，存在着由多个攻击入口进入电力内部网的可能。?系统中所涉及的很多重要数据、参数直接影响系统安全，如系统口令、IP地址、交易格式、各类密钥、系统流程、薄弱点等，技术人员的忠诚度和稳定性，将直接关系到系统安全。?各局使用的 OA 办公自动化系统大量使用诸如 WINDOWS 操作系统,可能存在安全的薄弱环节，并且有些分局可能提供可拷贝脚本式的拨号服务，拨入网络后，即可到达电力的内部网络的其它主机。?系统为电力客户提供方便服务的同时，数据的传输在局外网络和局内局域网络的传输中极有可能被窃取，通过 Sniffer 网络侦听极易获得超级用户的密码。电力安全方案要能抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致的一次系统事故或大面积停电事故，二次系统的崩溃或瘫痪，以及有关信息管理系统的瘫痪。随着计算机技术、通信技术和网络技术的发展，电力系统网上开展的业务及应用系统越来越多，要求在业务系统之间进行的数据交换也越来越多，对电力网络的安全性、可靠性、实时性提出了新的严峻挑战。电力系统网络的安全性和可靠性已成为一个非常紧迫的问题。2.3 安全保护对象 电力信息系统网络中的所有重要资源和关键资产都是需要重点保护的对象。从数据角度来看，包括：业务数据、管理数据、客户数据、数据库系统等。从软件角度来看，包括：电力综合业务应用系统，MIS(OA)系统、网上电StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 7力信息系统，网络管理系统等。从提供系统关键服务角度来看，包括：OS(AIX、Solaris、WINDOWS2000等)、Voice over IP 服务，Video over IP 服务，WWW、DNS、SMTP、POP3、内部文件服务、中间件等.)。从主机和服务器硬件角度来看，包括：电力业务系统主机、OA 服务器、各类业务通讯前置机、邮件服务器、数据库服务器、Web 服务器、其它业务服务器等。从 TCP/IP 网络角度来看，包括：核心路由器、边缘路由器、拨号访问服务器、核心交换机、二级楼层交换机、防火墙、重要的业务网段等。我们认为安全问题应保护的除了具体可见的对象以外，还有许多无形的对象，例如：电力综合业务和服务系统的对外形象和客户关系等，这也是安全系统建立的长期目标之一。网络系统的一个关键特点就是能为客户和电力自身提供7*24*365的不间断服务。所以无论是哪一部分都需要我们保障其安全的运作。2.4 电力系统的安全策略 总体来说，电力系统安全解决方案的总体策略如下：分区防护、突出重点分区防护、突出重点 根据系统中业务的重要性和对一次系统的影响程度，按其性质可划分为实时控制区、非控制生产区、调度生产管理区、管理信息区等四个安全区域，重点保护实时控制系统以及生产业务系统。所有系统都必须置于相应的安全区内，纳入统一的安全防护方案。区域隔离区域隔离 采用防火墙装置使核心系统得到有效保护。网络专用网络专用 在专用通道上建立电力调度专用数据网络，实现与其他数据网络物理隔离，并通过采用 MPLS-VPN 形成多个相互逻辑隔离的 IPSEC VPN，实现多层次的保护。设备独立设备独立 不同安全区域的系统必须使用不同的网络交换机设备。纵向防护纵向防护 采用认证、加密等手段实现数据的远方安全传输。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 8三、电力系统网络安全解决方案目标三、电力系统网络安全解决方案目标“需要强调的是，不存在完全可靠的安全措施。但是，必须确保针对这些基础设施的危害具有间断性、暂时性、可管理性和物理隔离性的特点，并且确保这些危害对美国利益的威胁程度最低。”-摘自美国保护网络空间的国家战略 在网络安全防御和攻击的“角力”过程中，没有永远的胜者。这体现在几个方面：没有完美、永远正确的安全策略；没有万无一失的安全产品；没有永远不犯错误的安全专家。网络安全的水平体现在：使用经济上得益的投资来控制网络安全威胁在可以忍受的水平，挫败策略规划中的威胁方。基于上面的出发点，我们针对电力系统设计的整个方案的完整实施将保证客户网络达到以下几个目标：建立全网的策略、管理、组织和安全技术体系。参照后面的描述，建立起结合实际业务情况和安全需求的策略并通过相应的管理、组织、和技术体系进行落实和跟进。实现电力系统关键业务的 6 个重要安全属性：可用性(Availability)、完整性(Integrity)、机密性(Confidentiality)、可靠性(Reliability)、认证性(Authenticity)、审计性(Accountability)。体现在对关键业务和数据的访问、修改、编辑、创建等过程都通过了严格的加密和认证措施，所有关键业务相关的网络活动被记录和审机密性(Confidentiality)查。实现关键业务的“全程全网”安全事件可视化(Visualization)。体现在全网关键业务和数据相关的网络事件可以非常直观地可视化回放，保证安全策略没有被违反，有能力进行事后的分析和追查，提供可以“呈堂”的证据。全网的安全风险处于可管理、可控制状态下。对网络安全风险的不间断的评估和控制措施调整，使得全网的整体安全状况和风险情况以定性或半定量的形式及时展现出来。帮助企业管理层和客户建立信心。保证电力系统全网的“抗打击能力”处于国内领先地位。在网络攻击、自然灾害、灾难、恐怖事件以及其它不可预见的威胁出现时，全网关键业务有能力进行迅速的响应和恢复。帮助自己的客户建立信心，从而提高企业的信誉和效益。保证全网相关业务活动在网络安全方面的法律法规符合性。在整个行业的技StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 9术和商务活动中，都将建立法律法规符合性审核制度，保证电力行业的商业信誉和利益不受伤害。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 10四、四、StoneSoft 电力系统安全解决方案设计思路电力系统安全解决方案设计思路 当今的电力企业领导者们都非常重视盈亏问题。为了保持竞争力，他们必须想方设法提高营业收入并降低成本。建设承载现代电力营销管理体系的网络是实现这一目标的重要手段，但是病毒、黑客等等时时威胁着电力网络的安全，因而电力企业必须寻找确保网络安全的效率最高、成本最低的方法。Stonesoft 公司提供了多种不同的可帮助电力客户提高生产效率并降低各项成本的端到端的安全解决方案。Stonesoft 安全蓝图可确保将安全性功能内置到电力网络的每个部分之中，可将市场领先的安全产品、成熟可靠的网络安全性惯例和统一平台管理与电力客户现有的网络基础设施结合起来，进而为电力客户提供全面的网络保护。针对电力信息网络的发展现状，Stonesoft 公司制定了专业的电力系统网络安全解决方案。解决方案突出网络级的安全监控和预警体系，有效地提高了电力企业对计算机信息系统自身安全漏洞和内外部攻击行为的检测、管理、监控和实时处理能力，实现合理地评估信息系统安全事件、有效地实时阻断非法和违规网络活动、准确地提供违规行为的全部审计档案的目标。从用户权限的一致性、网络周边安全、数据加密、安全的监视和政策管理五个方面全面统筹电力网络的安全体系。Stonesoft 专业的电力系统网络安全解决方案技术特点如下：1、针对电力网络安全的薄弱环节全方位统筹规划。解决方案注重防止非法入侵全网网络设备；保护电力数据中心及其灾备中心的网络、服务器系统不受侵犯数据中心与 Internet 间必须使用防火墙隔离，并且制定科学的安全策略；制定权限管理这是对应用系统、操作系统、数据库系统的安全保障；考虑网络上设备安装后仍然可能存在的安全漏洞，并制定相应策略。2、在网络设备的安全管理方面，将所有网络设备上的 Console 口加设密码进行屏蔽，配置管理全部采用 OUT-BAND 带外方式，并对每个被管理的设备均设置相应的帐户和口令，只有网络管理员具有对网络设备访问配置和更改密码的权力。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 113、在网管中心通过划分不同安全区域来规范管理网络和工作网络，从逻辑上把每个部门的资源独立成一个安全区域，对安全区域的划分基于安全性策略或规则，使区域的划分更具安全性。网络管理员可根据用户需求，把某些共享资源分配到单独的安全区域中，并控制区域之间的访问。4、VPN 和 IPsec 加密的使用。电力网络将通过 MPLS VPN 把跨骨干的广域网络变成自己的私有网络。为保障数据经 VPN 承载商（ISP）传输后不会对数据的完整与安全构成潜在危险，在数据进入 MPLS VPN 网络之前首先经过IPsec 加密，在离开 VPN 网络后又再进行 IPsec 解密。而且在这点上，假如使用了 Stonesoft 公司特有的 Multi-Link VPN 技术可以达到更好的效果，可以让电力行业的用户有更高的保障。5、通过网络设置控制网络的安全。在交换机、路由器、数据库和各种认证上，层层进行安全设置，从而确保整个网络的安全。6、通过 StoneGate 专用网络防火墙控制网络边界的安全。StoneGate的 NAT 地址转换功能既对外部网络屏蔽了内部网络，又使内部网络用户可以有效地对外部网络进行访问，其 StoneGate 自动的反地址欺骗杜绝了从外网发起的对于内网的访问，而对于内网发起的对外网的访问则可以不受限制。7、进行黑客防范配置。通过信息检测、攻击检测、网络安全性分析和操作系统安全性分析等一系列配置，对黑客进行监控。StoneGate IDS/IPS 产品可以部署在内网作为 IDS 进行监控使用，也可以部署在服务器的前端作为防攻击的 IPS 产品使用，前面保障网络的安全性。8、使用Stonesoft的IDS/IPS保护电力中心网络。Stonesoft的IDS/IPS实时入侵检测防护系统可以通过对网络流量采样分析，来实时地监视网络流量和进行非授权使用检测和保护。同时，它可以通过封锁网络访问或终止非法对话来主动响应非法活动。9、Stonesoft 的 SMC(StoneGate Management Center)网络安全管理软件可统一的定制管理网络安全策略，并从集中的图形化界面管理StoneGate 高可用防火墙、StoneGate IDS/IPS 入侵检测保护系统等重要的网络安全元素，并可存储和监控网络当前或历史上发生的安全事件。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 1210、对操作系统和数据库管理系统的安全配置。操作系统/数据库系统是网络应用系统运行的基本支撑平台，其安全指根据具体的操作系统/数据库管理系统的选型，利用其本身提供的安全机制，通过系统配置实现规划的安全业务，避免攻击者绕过应用系统直接操作敏感数据。11、对关键的服务器进行冗余配置，可使用 StoneGate 的服务器负载均衡技术，对关键的服务器进行负载均衡。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 13五、五、StoneSoft 电力系统安全解决方案设计方案说明电力系统安全解决方案设计方案说明 51 电力系统局域网内部网络安全解决方案 外部攻击影响巨大，但内部攻击危害巨大，为了解决内网安全问题，在一个电力/电厂系统的局域网内部，可以使用防火墙对不同的网段进行隔离，并且使用 StoneGate IPS 设备对关键应用进行监控和保护。在系统内部，使用 StoneGate 高可用防火墙将具有不同安全级别的网络区域区分开。首先使用一对防火墙（Cluster）将内外网络隔离，保证外部的攻击，扫描等不会影响到内网数据，其次将内部的不同区域隔离，使之具有不同级别的访问权限，保证内网数据的安全性。同时，我们使用 StoneGate IPS 设备架设在相应的安全区域，保证访问电力系统内部重要数据的可监控性，可审计性以及防止恶意流量的攻击。并且实现一下的主要目的：?网络安全 StoneGate 是业界技术领先的防火墙，从外网（互联网或广域网或上级公司网络）进入电力公司内部网的用户，可以被防火墙有效地进行类别划分以及访问控制。防火墙可以允许合法用户的访问以及限制其正常的访问，禁止非法用户的试图访问。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 14限制用户访问的方法，简单讲就是策略控制。通过源 IP、目的 IP、源应用端口、目的端口等对用户的访问进行区分。此外，配合策略控制，还有多种辅助手段增强这种策略控制的灵活性和强度，如日志记录、流量计数、身份验证、时间定义、权限分配等。?防火墙负载均衡 网络安全性越来越成为电力系统担心的问题了，网络安全已经成为了关键部门关注的焦点。网络安全技术将防火墙作为一种防止对网络资源进行非授权访问的常用方法。尽管目前有些防火墙产品也可以有效地防止网络入侵。但是，它本身也给网络带来了问题。尤其是，这些防火墙的技术限制了网络的性能和可伸缩性，并且由于防火墙经常成为单故障点，因而它降低了整体网络的可用性。提供增强的安全保障是服务网络安全性控制的关键，为了避免由于引入防火墙设备而给网络出口造成瓶颈，建议采用 Stonesoft 防火墙负载均衡网络增值解决方案。具体可以设计是：将 2 台 StoneGate 流量管理防火墙配置成为 Load Balance 模式，他们之间通过心跳线互相同步 session，比对之间的 CPU，并且将用户流量 Forward 到 CPU 负载比较小的那台防火墙上，从而实现多台防火墙的同时工作以及负载均衡（最多可支持 16 台防火墙同时工作）。?服务器负载均衡 STONEGATE 执行一定的负载均衡算法，可以针对电厂内关键的服务器群动态分配负载。这些算法包括ICMP、以及动态观测服务器CPU等。STONEGATE 也可以动态的根据服务器对 Ping 的响应，监控服务器 CPU 以及服务器磁盘空间等方法来判断服务器是否可用。应用交换支持不同协议上的各种应用，包括 TCP、UDP、IP、Telnet、Rshell、TFTP、流、被动 FTP、HTTP、e-mail、DNS、VOIP 等等。52 省级电力骨干网络安全解决方案 省级电力骨干网络的核心部署有众多的业务，OA（办公自动化），用电营销，PMS（工程管理）生产信息平台和 GIS 系统等电力系统和新应用，并包含于银行等合作伙伴以及各种服务系统的接口。各种也无流量全部汇集在这一中心，其StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 15可靠性要求和性能要求极高。Stonesoft 建议部署 24 点的防火墙集群作为系统的省级安全核心，其可靠性可以达到最高，并具有完全的负载均衡能力，可以满足骨干级网络的要求。该解决方案具有两项任务：第一,分割外部接口区域和内部服务器区域；第二.内部各个网段建议酌情部署入侵检测和防护系统，进一步防范网络入侵 对电力公司网络系统评估中发现各类型系统都存在较为严重的安全隐患，很多业务系统在测试中都有直接越权访问的问题，而且对各类攻击事件缺少审计以及保护措施。StoneGate 高可用防火墙以及 IPS 系统在安全体系层面，从访问控制、入侵检测、漏洞扫描、攻击保护、集中安全管理和日志记录等多方面进行安全防护。除了上述的几点之外，还同时可以对电力系统多链路的情况进行负载均衡：多 Internet 链路负载均衡 StoneGate 可以实现 Inbound 和 Outbound 流量在多条 Internet 链路的负载StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 16均衡，保证内容的最快分发，保证响应速度。同时使用多条链路，提供足够的网络带宽，并且保证投资的有效利用。提供流量的智能交换管理，确保在某个 ISP停止服务的情况下避免网络服务的中断。53 电力骨干广域网整体安全解决方案 对于整个广域网，为了端对端，局对局的安全性，本着不受他系统影响/不影响他系统的安全原则，可对防火墙以及 IPS 设备进行分布式部署。如上图所示，我们针对整个电力网络的关键点设置防火墙，总的作用确保网络内部资源的安全。防火墙使用的具体表现如下：?通过过滤的规则设置可以使得我们方便地控制网络内部资源对外的开放 程度，特别是针对国家电力公司、当地政府以及 Internet 仅仅开放某个 IP 的特殊端口，有效地限制黑客的侵入。?通过过滤、IP 地址以及客户端认证等规则的应用，可以确定不同的内部 用户享受不同的访问外部资源的级别，对于内部用户严格区分网段，而且可以利用 StoneGate 独特的内置 LDAP 的功能对客户端进行认证。通过这种方式可以有StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 17效地限制内部用户主动将信息通过网络向外界传递。?双机热备（负载均衡）：为了提高系统的可靠性，利用 StoneGate 支持 双机热备的功能，在不能停机的关键接点我们相应作了双机热备，有效地提高了系统的可靠性。而且 StoneGate 可以真正的实现多台防火墙的同时 Active 的技术（防火墙本身的负载均衡），通过监控设备的 CPU Loading 来确认谁转发流量，极大的提高了防火墙的吞吐量。?友好的用户界面：只需作简单的培训，用户即可进行规则配置、系统管 理、统计。54 电力系统多链路 VPN 的应用 电力专用通信网为电力系统的生产指挥和调度、行政管理和传输自动化信息提供了必要保证。电力系统现在也同样面临着网络扩容和新型网络建设的问题，由于电力系统的关键地位，与人们的正常生活工作密切相关，因此网络稳定成为重中之重，尽可能采用冗余设计实现安全、稳定运营。有些时候，各个电厂,供电局或者家属区等网络区域之间会需要通过VPN互相连接，而为了保障网络的不间断性，可能还申请了多个ISP的线路以减轻对单一运营商的依靠。而目前大部分的VPN设备都仅仅只能建立单点对单点的Tunnel，这样在使用VPN的时候就极大的浪费了网络资源，而且对VPN的不间断性要求也减弱了，使用StoneGate领先业界的Multi-Link VPN技术，可同时建立多条VPN Tunnel，并且每条Tunnel都是处于Active状态，可以极大的拓展VPN的带宽。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 18 虚拟专网（VPN）技术是指在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播。各电力局或者电厂只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，针对某些应用，电力系统还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入电力系统内部网络中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 19StoneGate VPN 支持 site to site(两个 LAN 之间)和 client to site（远程用户与 LAN 之间）两种方式。StoneGate VPN 体系遵循 IPSEC 安全构架，这样他能够同其他的任何的 VPN 网关协同操作，包括其他的网络安全设备或者 VPN设备等。对于多个 ISP 情况下的 VPN 连接，StoneGate 通过在每一个 ISP 上建立一个VPN 连接，然后将这些 VPN 联合形成一个具有故障冗余和负载均衡功能的 VPN 隧道。如上图所示，红色的多条 VPN Tunnel 都处于 Active 状态，同时处理 VPN流量并且互为冗余。对于有移动用户的需求，可以使用 StoneSoft VPN 客户端拨入网络内部，VPN 客户端还提供一个报文过滤器，可阻止不需要的报文和连接；而且在多链路的情况下，当发现一个连接失效，VPN 客户标记为离线，然后可自动连接到下一个可用的 IP 地址。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 20六、六、StoneSoft 网络安全产品介绍网络安全产品介绍 StoneSoft 作为 STM(Security Traffic Management)领域的领先厂商，始终致力于一个目标：建立动态网络中的确定性。无论网络大小，全线设备都能够提供完整的、端到端的流量管理解决方案。Stonesoft STM 技术在优化服务器资源和控制成本的同时消除了创建安全网络环境的不确定性。Stonesoft 产品中包括为满足 Web 服务器、防火墙本身、cache 服务器、防病毒网关、内容过滤服务器以及多 WAN 链接而开发和设计的产品。SG-200 SG-200 StoneGate SG-200 专为小型远程办公室设计的固态安全网关,提供可靠的企业级安全及业务持续性.设备具有三个 10/100 以太网端口,可处理最多达 20Mbps 的吞吐量并进行远程升级及进行中央管理。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 21SG-250 SG-250 StoneGate SG-250 专为小型远程办公室设计的固态安全网关,提供可靠的企业级安全及业务持续性.设备具有四个 10/100 以太网端口,可处理最多达 30Mbps 的吞吐量并进行远程升级及进行中央管理。SG-500 SG-500 SG-500 防火墙/虚拟专用网网关致力于满足拥有上百名员工的远程办公室的安全需求.通过 5 个 10/100Mbps 的高速以太网接口,SG-500 支持小型网络分段,支持多设备集群以保证网络的不间断性。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 22 SG-570 SG-570 SG-570 防火墙/虚拟专用网网关致力于满足拥有几百名员工的远程办公室的安全需求.透过 7 个 10/100Mbps 的高速从太网接口,SG-570 支持小型网络分段,支持多设备集群以保证网络的不间断性。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 23 SG-1000 SG-1000 SG-1000 防火墙虚拟专用网网关适用于大型企业及拥有数百人的分公司办公室.大型办公室拥有广泛的网络,互联网使用率高,且通常在非军事区放置主机.SG-1000 拥有八个10/100/1000Mbps 接口,从而进行网络分段,群集设置及多重连接。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 24 SG-3000 SG-3000 SG-3000 防火墙虚拟专用网网关专为满足数据中心及大型网络中央站点的性能及扩展要求而设计.SG-3000 拥有4个光纤1000Mbps 和 10 个 10/100/1000 Mbps 的铜缆以太网接口,此外 SG-3000-C 配备有 14 个10/100/1000 铜缆以太网接口。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 25 SG-4000 SG-4000 SG-4000 防火墙虚拟专用网网关专为满足数据中心及大型网络中央站点的性能及扩展要求而设计.SG-4000 拥有 22 个10/100/1000 Mbps 的铜缆以太网接口 StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 26 StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 27七、七、StoneSoft 管理系统管理系统 StoneGate 解决方案提供相应的管理系统,可以一个集中一地点对成千上万的安全执行管理及维护,同时亦允许一定程度的本地管理.StoneGate 架构可对整体安全架构进行管理,包括操作系统级的配置及以某单一地点进行远程软体升级.该功能可降低管理成本,并可改善整套解决方案的总体拥有成本(TCO)。而且，StoneGate 管理中心(SMC)可管理所有 StoneGate 防火墙/虚拟专用网,StoneGate IPS(入侵检测及分析)产品.以下讲解StoneGate 管理中心的产品亮点：71 安全策略 防火墙安全策略的主要功能就是实施访问控制规则在StoneGate 中，访问控制的主要原则可以表达为“只要没有经过允许都是被禁止的”。访问控制规则以外，一个防火墙安全策略定义了何种流量类型登录和基于何种类型的流量产生警报。它也定义了使用过的地址转换规则，执行连接认证，和设定 VPN 是如何使用的。72 日志与监控，警报系统 StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 28分析日志与监控网络状态是网络管理员的一项重要工作，通过防火墙的监控系统，网络管理员可以分析网络流量习性、吞吐量、防火墙负载以及防火墙的健康状况。StoneGate 日志监控系统是一个非常强大的系统，并且有着非常有好的界面。在 StoneGate GUI 的主面板上，网络管理员可以适时的监视防火墙的每一个节点的状态、负载状况、历史负载曲线图以及当前活动的连接。如果网络环境当中出现故障，日志系统将会产生故障报警，同样它也将记下来自黑客的攻击记录，以便于日后进行分析。StoneGate 应用专门的数据库来存储、调用日志信息，这样它的访问速度将比一般基于文件的日志系统更快。StoneGate 的日志系统包含所有专门的日志特点，例如日志存档、日志调用、日志删除以及自定义日志安排。StoneGate 也可以通过内置的警报系统,把警报通过邮件(SMTP),短消息(SMS),SNMP,SYSLOG 等格式发送给指定的管理员。73 可靠更新 快速,可靠,透明 一般而言，升级您网络架构的基础部分将是困难和费时的。StoneGate 的远程更新降低了负担：无须离开您的办公室，整个过程是快速、简单和可信的。而且，StoneGate 硬件是一个集成的系统。没有单独的操作系统，没有任何补丁需要执行。仅仅需要简单的下载升级镜像文件，然后通过管理界面把它发送到远程安全引擎。配置信息在升级过程中得到保留，因此您的 StoneGate 安全引擎将在升级完成后立刻恢复到运行状态。一旦升级镜像成功，远程引擎将StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 29会重新启动以使升级生效。如果远程引擎不能重新启动，那么升级过程将会回滚。这个机制意味着升级要么成功要么温和的回退。74 报表工具 StoneGate 提供了一个报告工具，它能够概括和可视化系统事件数据以便发现网络使用中的趋势和异常。它有大量的定制化和过滤特性，因此使它成为记录和分析特定事件和模式的强力帮助。拥有它您能够：仅仅需要点击几次鼠标就从日志数据中生成图表，并且生成自动化、分布式和多种格式的报表。StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 30八、八、StoneSoft 产品关键特性产品关键特性 关键特性介绍：81STONEGATE 高可用防火墙 811 防火墙集群 防火墙集群技术能够在防火墙上实现负载均衡和故障冗余。通过负载均衡和故障冗余，防火墙集群提供更高的伸缩性并且能够对防火墙进行在线的维护。StoneGate在集群的各个节点之间进行负载均衡以提高整个防火墙的吞吐量，负载均衡对于用户来说是完全透明的。StoneGate 多节点集群同样提供故障冗余：如果有一个节点发生故障，集群中的其它节点将自动的接管发生故障的那一个节点的应用任务，不需要管理员对其进行任何的干预；集群技术可以使用户随时添加一个新的防火墙节点到防火墙集群当中，以用来增强防火墙的性能；它同样也支持对防火墙进行在线维护：可以在任意时刻（包括正常运营时间）将一个或几个节点从集群当中分离（Offline）出来，以对其进行一些包括软件、硬件之类的升级或维护工作，而不影响其业务的应用。812Multi-link 技术 StoneGate Multi-link 技术使得单个的防火墙集群可以连接到多个 ISP(网络服务提供商)上，这样，StoneGate 将在与之相连的多个 ISP 之间提供负载均衡和故StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 31障冗余，消除了在连接到一个 ISP 的时候因 ISP 不可用而导致的单点故障。在VPN（虚拟专用网）的情况下，StoneGate 同样也支持多条并行的专线连接到互联网上，并且在这些并行的专线之间进行负载均衡和故障冗余。对于从企业内部网到外面的互联网的数据包（outbound traffic），它总是选取最短的路由线路来到达目的地，在连有多个 ISP 的 StoneGate 集群体系里面，将通过路由负载均衡（Load Balanced Routing）来解决这个问题，当数据包到达防火墙的时候，路由负载均衡将为每一个数据包选择一条最优的路由线路，这样也大大增强了整个网络的性能。对于从互联网到达企业内部网的数据包（inbound traffic）,远程客户端将通过动态的 DNS 来找出目前最合适的 ISP 连接，将数据包发到相应的内部网上。813 服务器群负载分配 StoneSoft 电力系统网络安全解决方案电力系统网络安全解决方案 32StoneGate 会对一组服务器进行负载分配,它可以透过 ICMP 或代理跟踪来进行服务器可以性评估及分配 814 多链路虚拟专用网(VPN)对于多个 ISP 情况下的 VPN 连接，StoneGate