--**/
如何让自身资源得到更有效的利用,实现随时随地的安全访问,是每个企业都希望做到的。然而,要想做到“保持原有网络结构和简化变更设置,同时加强可用性”,又不是一件容易的事。为此,很多产品和方案提供商在实际运作过程中都表现得十分小心谨慎,特别是对于电力公司这样庞大的网络系统而言,如何做到平滑过渡、实现“牵一发而不动全局”,的确有着不小的难度。
方案应用单位概况
山西省电力公司是华北电网有限公司的全资子公司。承担着全省的电力生产、建设、调度、经营及电力规划研究等任务。下属单位遍布全省,其中包括供电所、生产企业、科研院校等近百家之多,这也促使他们建成了目前这个规模庞大的信息通讯网络。
在历时两年的山西省电力主干通信网工程建设中,共架设OPGW光缆1551公里,它可以满足山西省电力公司到各供电分公司500千伏变电站间的各种业务传输的要求,使全省电力系统实现区域成环、干线成网的光纤网络,并有效地保证了电力调度、通信系统的同步畅通。但是,网络覆盖面积过于宽广,也直接造成了访问安全性、维护方便性以及系统运行稳定性等多方面问题。
早在2006年伊始,电力行业的企业就制定了各自的“十一五”信息化建设规划和实施计划,其中特别提出了“把加强信息化标准建设和信息安全建设作为基本保障体系进行重点实施”。所以,在山西电力公司信息网改造的过程中,企业管理者打算着重解决远程访问的安全性与有效性问题。由此,计划与实施工作相继展开。
需求描述
山西电力系统日常业务的基本要求是,保证指定员工随时随地通过互联网对电力系统的内部网络进行远程访问。所以,出于这一需求的考虑,他们希望产品和方案都能解决安全、稳定、有效的数据传输问题,同时也要满足电力公司总体上对于产品安全性及其部署实施方案的一些特殊要求。
据卫士通公司的中华卫士SSLVPN产品经理直言不讳地介绍道,“与很多大型国有企业类似,山西电力的网络系统相对来说是比较复杂的,其中尤以覆盖面广和网络运行繁忙表现最为突出,所以我们很难对其大动干戈,而实施局部调整就成为了最好的解决办法。”与此同时,山西电力相关负责同志也表达出了相近的观点,“对于网络改造,我们的要求很明确:第一,最好不要对现有网络结构和网络设备的配置参数作修改,如果必须修改,只能做有限的和局部修改;第二,不能影响到我们用户信息系统的正常使用,即施工时不得断网;第三,我们的终端用户也最好不要作配置上的修改,如果有,只能是极少的,而且修改难度不要太高,最好是他们自己就可以修改或是系统自动修改。”
应对方案
综合比较了多种解决方案后,卫士通公司认为采用中华卫士SSLVPN来一种比较适合山西电力信息网安全改造需求的方案,原因是这种方案无需客户端软件,同时支持并联接入和串联接入两种接入方式,可以简化用户操作,并且实现方便部署。
中华卫士SSLVPN支持旁路代理和在线转发两种接入方式。在旁路代理方式中,SSLVPN并接入内部网络。它的好处是用户不需要改变任何的网络配置,只要为SSLVPN分配两个IP地址,分别连接内部网络和企业网关路由器/防火墙即可。这种部署方式不会中断企业服务,也不需要改变应用服务器的路由设置,因此旁路代理方式可以非常平滑地将中华卫士SSLVPN部署到现有的企业信息系统网络中,这是其最大的优势。
在线转发方式需要将SSLVPN串接在企业应用服务器组同企业网关路由器/防火墙之间。这种部署方式的好处在于SSLVPN能够完全控制从互联网到企业内部网络的数据,因而避免了因为防火墙上策略配置的失误导致互联网访问直接到达应用服务器的问题。但是这种方式的问题在于,部署过程中必须暂时中断企业内部网络同互联网之间的连接,可以说是利弊各半。
巧妙部署
在实施改造的过程中,结合用户的需求和网络拓扑的实现情况来选择合适的接入位置,是非常重要的,所以,如图1所示,卫士通公司的相关技术人员,根据山西电力网络的实际情况,做出如下分析:首先,如果将SSLVPN部署在路由器A前端,会增加用户投资成本,而后端又会影响到GSR的配置以及整个网络参数的调整;其次,如果部署在主交换机和防火墙之间,会大大增加SSLVPN的工作压力,增加网络的不稳定性因素。所以最终,他们得出结论,只有与主交换机并联才是最可取的方案。
具体操作是:在主交换机上面配置路由,将目的为服务器组的数据包转给SSLVPN,同时也要配置一条到达SSLVPN的路由。如果主交换机能够支持原地址路由,就可以在上面设置一条路由将内网访问服务器组的数据包直接路由到服务器网络而不要经过SSLVPN,这样可以减轻SSLVPN的压力。
图1中华卫士SSLVPN在山西电力网络中部署示意图
便捷为本
此次方案从设计到实施的整个过程,都围绕着“保持原有网络结构和简化变更设置以及加强可用性”的指导思想来进行。由于采用了中华卫士SSLVPN来实施改造,使得整个系统在安全性提升的同时,完全没有影响到用户的正常使用;由于采用了无客户端软件的解决方案,用户只需通过游览器就可以访问VPN服务,所以没有带来任何使用上的不便;由于方案特别提供了客户端应用绑定的功能,所以在B/S应用的同时,它也支持多种基于TCP或UDP协议的C/S结构应用;由于支持同WindowsAD/LDAP服务器之间的账号同步,所以便于电力系统网络管理员制定更加详细的访问控制规则,同时它亦可支持第三方CA证书的导入。另外,与基于IPSecVPN的解决方案相比,SSLVPN只需要维护中心节点的SSLVPN设备即可。而无须维护客户端的好处就在于,它可以大大削减网络部署和维护的费用,用较低的成本实现了较高的访问安全性。
目前,山西电力的近200名员工都做到了通过安全通道熟练地访问内网信息,同时他们也可以随时随地的访问任何经过中心授权的目标文件,由此各部门的工作效率都得到了显著提升。而中华卫士SSLVPN在山西电力公司网络系统的改造中,也最终实现了便利接入与远程安全的最佳均衡性,它让网络的使用者和管理者都体会到了高科技应用所带来的益处!
来源:中国电力新闻网