在2007年春節(jié)即將到來(lái)的時(shí)候，大家都沉浸在節(jié)日的喜慶中，重慶港原有防火墻隨著業(yè)務(wù)增長(zhǎng)，隨時(shí)有崩潰的危險(xiǎn)，情況萬(wàn)分緊急。曙光公司重慶平臺(tái)了解此情況后，心急萬(wàn)分，當(dāng)天晚上即與信息安全事業(yè)部聯(lián)系，于放假的第二天緊急空運(yùn)了一臺(tái)天羅TLFW-100S防火墻，和用戶(hù)配合對(duì)防火墻進(jìn)行安裝調(diào)試，并進(jìn)行了網(wǎng)絡(luò)割接，確保網(wǎng)絡(luò)暢通，解了用戶(hù)的燃眉之急。在用戶(hù)面前為曙光樹(shù)立了良好的品牌形象，曙光防火墻產(chǎn)品也以?xún)?yōu)異的性能和良好的適應(yīng)能力獲得了用戶(hù)的認(rèn)可。年后已經(jīng)下單采購(gòu)，目前正洽談后續(xù)項(xiàng)目。

　　重慶港務(wù)局網(wǎng)絡(luò)安全系統(tǒng)分析

　　重慶港系國(guó)家一類(lèi)口岸，主要從事港口裝卸、客貨運(yùn)輸、水陸中轉(zhuǎn)、倉(cāng)儲(chǔ)服務(wù)、物流配送、酒店旅游等多種綜合性經(jīng)營(yíng)服務(wù)。重慶港務(wù)物流集團(tuán)是具有現(xiàn)代企業(yè)制度雛型的大型國(guó)有獨(dú)資企業(yè)，是重慶市重點(diǎn)企業(yè)。

　　重慶港務(wù)物流集團(tuán)的網(wǎng)絡(luò)組建于1996年，不僅連接港務(wù)集團(tuán)的辦公網(wǎng)絡(luò)，而且與下屬各級(jí)單位連通，是整個(gè)重慶港業(yè)務(wù)運(yùn)轉(zhuǎn)必不可少的信息載體，其網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)應(yīng)用復(fù)雜多樣：網(wǎng)絡(luò)由集團(tuán)中心網(wǎng)絡(luò)和下屬單位局域網(wǎng)組成，上行出口通過(guò)防火墻與Internet連接。防火墻在整個(gè)集團(tuán)的網(wǎng)絡(luò)安全體系中處于橋頭堡的地位。

　　曙光防火墻一夫當(dāng)關(guān)，保護(hù)內(nèi)網(wǎng)安全

　　根據(jù)重慶港務(wù)局網(wǎng)絡(luò)安全性的要求，在內(nèi)網(wǎng)和外網(wǎng)連接的出入口配置曙光天羅防火墻，根據(jù)港務(wù)局應(yīng)用服務(wù)的種類(lèi)設(shè)定恰當(dāng)?shù)陌踩��?guī)則，從而保證內(nèi)網(wǎng)安全不受侵害：

　　Ø 防火墻處于內(nèi)外網(wǎng)的連接關(guān)口，可以為網(wǎng)絡(luò)提供較高的基礎(chǔ)安全服務(wù)，如：防止端口掃描、DDOS攻擊等攻擊數(shù)據(jù)包、控制用戶(hù)網(wǎng)絡(luò)訪問(wèn)行為、過(guò)濾P2P協(xié)議數(shù)據(jù)、建立帶寬管理機(jī)制，對(duì)不同的外出訪問(wèn)占用的帶寬進(jìn)行統(tǒng)一的分配、抗IP欺騙，防止其他接口區(qū)域的IP被此接口區(qū)域內(nèi)的主機(jī)冒用等等。

　　Ø 內(nèi)網(wǎng)通過(guò)防火墻訪問(wèn)外網(wǎng)采用地址轉(zhuǎn)換(SNAT)技術(shù)，外出訪問(wèn)的數(shù)據(jù)包出去的時(shí)候改變?cè)�地�?SNAT);數(shù)據(jù)被動(dòng)回來(lái)通過(guò)防火墻進(jìn)入內(nèi)網(wǎng)的時(shí)候改變目的地址(UN SNAT)。這樣，就可以對(duì)外網(wǎng)屏蔽內(nèi)部網(wǎng)絡(luò)包括IP地址，網(wǎng)關(guān)等任何內(nèi)網(wǎng)信息，從而提高了網(wǎng)絡(luò)的安全性。

　　Ø 港務(wù)局網(wǎng)絡(luò)服務(wù)器應(yīng)用種類(lèi)繁多，為提高網(wǎng)絡(luò)服務(wù)的安全性，采用地址映射技術(shù)隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)。用戶(hù)訪問(wèn)服務(wù)器對(duì)外提供的服務(wù)，目的地址為防火墻網(wǎng)口地址，防火墻將訪問(wèn)服務(wù)器對(duì)進(jìn)出的數(shù)據(jù)進(jìn)行相應(yīng)的地址轉(zhuǎn)換(DNAT)。這樣，即保證了網(wǎng)絡(luò)訪問(wèn)的正常，又能有效地保護(hù)對(duì)外服務(wù)器的安全。

　　此外，從拓?fù)鋱D上可以看出，移動(dòng)辦公和下屬單位上行連接到集團(tuán)網(wǎng)絡(luò)中心，都通過(guò)信任度較低的Internet互聯(lián)網(wǎng)絡(luò)。在后續(xù)的項(xiàng)目中，將采用曙光防火墻內(nèi)置的VPN功能，為集團(tuán)中心和下屬單位構(gòu)建專(zhuān)用的加密隧道，防止異地互聯(lián)時(shí)產(chǎn)生的數(shù)據(jù)泄密風(fēng)險(xiǎn)。

　　曙光防火墻功能全面，滿(mǎn)足應(yīng)用需求

　　曙光天羅防火墻以?xún)?yōu)異的性能、全面的功能、以及良好的網(wǎng)絡(luò)兼容性獲得重慶港務(wù)局用戶(hù)的高度評(píng)價(jià)。曙光防火墻的突出特點(diǎn)可以歸結(jié)為高安全性、高可靠性、高性能、高適用性的“四高”特點(diǎn)：

　　高安全性

　　使用專(zhuān)用的安全操作系統(tǒng)，專(zhuān)為安全應(yīng)用設(shè)計(jì)開(kāi)發(fā)，最大程度確保系統(tǒng)自身的安全性。管理系統(tǒng)采用國(guó)際流行的“三權(quán)分立”方法，形成一個(gè)相互制約的穩(wěn)定系統(tǒng)。除本地串口管理方式外，管理員與防火墻之間的連接，采用128位的高強(qiáng)度加密通訊，黑客根本無(wú)法破解。

　　高可靠性

　　采用工業(yè)控制級(jí)硬件平臺(tái)，相關(guān)的零部件全部達(dá)到工業(yè)級(jí)要求，確保物理層可靠性。專(zhuān)用的操作系統(tǒng)，系統(tǒng)內(nèi)部全部使用零拷貝技術(shù)，充分保證了系統(tǒng)的性能，提高了可靠性。

　　高性能

　　精簡(jiǎn)的操作系統(tǒng)，專(zhuān)用硬件及先進(jìn)的核心處理機(jī)制的完美結(jié)合，實(shí)現(xiàn)高吞吐量、高帶寬的安全檢測(cè)，確保安全的同時(shí)，保證正常的網(wǎng)絡(luò)應(yīng)用。高性能的數(shù)據(jù)通訊模型，采用自適應(yīng)的設(shè)計(jì)模型，過(guò)濾和通訊處理并發(fā)處理。

　　高適用性

　　支持眾多的網(wǎng)絡(luò)通訊協(xié)議，并對(duì)各種協(xié)議可以進(jìn)行細(xì)粒度的過(guò)濾，如IPX、NetBEUI和大部分的P2P協(xié)議，可以充分保證正常的網(wǎng)絡(luò)應(yīng)用。支持混合工作模式、高級(jí)路由、日志與審計(jì)、流量控制、雙機(jī)熱備、應(yīng)用代理、雙接入、內(nèi)容過(guò)濾、VPN等強(qiáng)大的功能。

　　重慶港務(wù)集團(tuán)項(xiàng)目的成功實(shí)施，為曙光網(wǎng)絡(luò)安全產(chǎn)品在物流行業(yè)的應(yīng)用和推廣提供了典型的案例，樹(shù)立了良好的典范。