信息中心

中華衛士SSL VPN山西電力應用案例

　　如何讓自身資源得到更有效的利用，實現隨時隨地的安全訪問，是每個企業都希望做到的。然而，要想做到“保持原有網絡結構和簡化變更設置，同時加強可用性”，又不是一件容易的事。為此，很多產品和方案提供商在實際運作過程中都表現得十分小心謹慎，特別是對于電力公司這樣龐大的網絡系統而言，如何做到平滑過渡、實現“牽一發而不動全局”，的確有著不小的難度。

　　方案應用單位概況

　　山西省電力公司是華北電網有限公司的全資子公司。承擔著全省的電力生產、建設、調度、經營及電力規劃研究等任務。下屬單位遍布全省，其中包括供電所、生產企業、科研院校等近百家之多，這也促使他們建成了目前這個規模龐大的信息通訊網絡。

　　在歷時兩年的山西省電力主干通信網工程建設中，共架設OPGW光纜1551公里，它可以滿足山西省電力公司到各供電分公司500千伏變電站間的各種業務傳輸的要求，使全省電力系統實現區域成環、干線成網的光纖網絡，并有效地保證了電力調度、通信系統的同步暢通。但是，網絡覆蓋面積過于寬廣，也直接造成了訪問安全性、維護方便性以及系統運行穩定性等多方面問題。

　　早在2006年伊始，電力行業的企業就制定了各自的“十一五”信息化建設規劃和實施計劃，其中特別提出了“把加強信息化標準建設和信息安全建設作為基本保障體系進行重點實施”。所以，在山西電力公司信息網改造的過程中，企業管理者打算著重解決遠程訪問的安全性與有效性問題。由此，計劃與實施工作相繼展開。

　　需求描述

　　山西電力系統日常業務的基本要求是，保證指定員工隨時隨地通過互聯網對電力系統的內部網絡進行遠程訪問。所以，出于這一需求的考慮，他們希望產品和方案都能解決安全、穩定、有效的數據傳輸問題，同時也要滿足電力公司總體上對于產品安全性及其部署實施方案的一些特殊要求。

　　據衛士通公司的中華衛士SSL VPN產品經理直言不諱地介紹道，“與很多大型國有企業類似，山西電力的網絡系統相對來說是比較復雜的，其中尤以覆蓋面廣和網絡運行繁忙表現最為突出，所以我們很難對其大動干戈，而實施局部調整就成為了最好的解決辦法?！迸c此同時，山西電力相關負責同志也表達出了相近的觀點，“對于網絡改造，我們的要求很明確：第一，最好不要對現有網絡結構和網絡設備的配置參數作修改，如果必須修改，只能做有限的和局部修改;第二，不能影響到我們用戶信息系統的正常使用，即施工時不得斷網;第三，我們的終端用戶也最好不要作配置上的修改，如果有，只能是極少的，而且修改難度不要太高，最好是他們自己就可以修改或是系統自動修改?！?/P>

　　應對方案

　　綜合比較了多種解決方案后，衛士通公司認為采用中華衛士SSL VPN來一種比較適合山西電力信息網安全改造需求的方案，原因是這種方案無需客戶端軟件，同時支持并聯接入和串聯接入兩種接入方式，可以簡化用戶操作，并且實現方便部署。

　　中華衛士SSL VPN支持旁路代理和在線轉發兩種接入方式。在旁路代理方式中，SSL VPN并接入內部網絡。它的好處是用戶不需要改變任何的網絡配置，只要為SSL VPN分配兩個IP地址，分別連接內部網絡和企業網關路由器/防火墻即可。這種部署方式不會中斷企業服務，也不需要改變應用服務器的路由設置，因此旁路代理方式可以非常平滑地將中華衛士SSL VPN部署到現有的企業信息系統網絡中，這是其最大的優勢。

　　在線轉發方式需要將SSL VPN串接在企業應用服務器組同企業網關路由器/防火墻之間。這種部署方式的好處在于SSL VPN能夠完全控制從互聯網到企業內部網絡的數據，因而避免了因為防火墻上策略配置的失誤導致互聯網訪問直接到達應用服務器的問題。但是這種方式的問題在于，部署過程中必須暫時中斷企業內部網絡同互聯網之間的連接，可以說是利弊各半。

　　巧妙部署

　　在實施改造的過程中，結合用戶的需求和網絡拓撲的實現情況來選擇合適的接入位置，是非常重要的，所以，如圖1所示，衛士通公司的相關技術人員，根據山西電力網絡的實際情況，做出如下分析：首先，如果將SSL VPN部署在路由器A前端，會增加用戶投資成本，而后端又會影響到GSR的配置以及整個網絡參數的調整;其次，如果部署在主交換機和防火墻之間，會大大增加SSL VPN的工作壓力，增加網絡的不穩定性因素。所以最終，他們得出結論，只有與主交換機并聯才是最可取的方案。

　　具體操作是：在主交換機上面配置路由，將目的為服務器組的數據包轉給SSL VPN，同時也要配置一條到達SSL VPN的路由。如果主交換機能夠支持原地址路由，就可以在上面設置一條路由將內網訪問服務器組的數據包直接路由到服務器網絡而不要經過SSL VPN，這樣可以減輕SSL VPN的壓力。

　　便捷為本

　　此次方案從設計到實施的整個過程，都圍繞著“保持原有網絡結構和簡化變更設置以及加強可用性”的指導思想來進行。由于采用了中華衛士SSL VPN來實施改造，使得整個系統在安全性提升的同時，完全沒有影響到用戶的正常使用;由于采用了無客戶端軟件的解決方案，用戶只需通過游覽器就可以訪問VPN服務，所以沒有帶來任何使用上的不便;由于方案特別提供了客戶端應用綁定的功能，所以在B/S應用的同時，它也支持多種基于TCP或UDP協議的C/S結構應用;由于支持同WindoWS AD/LDAP服務器之間的賬號同步，所以便于電力系統網絡管理員制定更加詳細的訪問控制規則，同時它亦可支持第三方CA證書的導入。另外，與基于IPSec VPN的解決方案相比，SSL VPN只需要維護中心節點的SSL VPN設備即可。而無須維護客戶端的好處就在于，它可以大大削減網絡部署和維護的費用，用較低的成本實現了較高的訪問安全性。

　　目前，山西電力的近200名員工都做到了通過安全通道熟練地訪問內網信息，同時他們也可以隨時隨地的訪問任何經過中心授權的目標文件，由此各部門的工作效率都得到了顯著提升。而中華衛士SSL VPN在山西電力公司網絡系統的改造中，也最終實現了便利接入與遠程安全的最佳均衡性，它讓網絡的使用者和管理者都體會到了高科技應用所帶來的益處!

文章作者：比特網

集成系統網絡情報信息數據庫

CIO頻道人物視窗
 CIO頻道方案案例庫
 大數據建設方案案例庫
 電子政務建設方案案例庫
 互聯集成系統構建方案案例庫
 商務智能建設方案案例庫
 系統集成類軟件信息研發企業名錄

樂思軟件

信息中心

中華衛士SSL VPN山西電力應用案例

集成系統網絡情報信息數據庫

輿情監測

信息采集

信息中心

技術支持

公司資訊

關于樂思