虚拟安全系统确保学校信息安全方案

发布时间:2010/10/19 13:38:26 来源:
  背景
  
  为近3000名学生和数百名教职员工提供网络安全性绝非易事。波恩-莱茵-锡格技术学院(FH)IT安全协调员非常了解这一点。“自1995年学院成立以来,安全性一直是一个困扰我们的问题。我们面临着完全互相矛盾的需求。
  
  一方面,我们的科研和教学部门希望能够不受限制地接入所有资源。
  
  另一方面,我们负责处理考试成绩和其他个人数据的部门需要有效地保护这些数据,避免非法修改或干预。”
  
  使情况更加糟糕的是,学院内的计算机使用不同的操作系统,有的使用Unix系统,有的使用Windows。学院早就认识到需要实施一套基于防火墙的全面安全解决方案,但由于各种技术原因和内部行政问题,早些年的尝试宣告失败了。
  
  2002年年初,学院再次尝试解决这一问题,并聘用当时还是一名外部顾问的ThomasRühl来制定一套安全方案。“要求非常明确,”Ruhl回忆当时的情景时说,“该安全方案必须对所有部门同样有效而且可集中管理;但在确保不降低网络性能方面,它必须对所有用户透明。”最大的困难在于,需要协调好各部门间不断变化的信任/非信任关系,以及必须通过各种规则将各种相互关系隔离开来。
  
  解决方案
  
  Ruhl曾在此前的一次部署中使用过Juniper网络公司的NetScreen防火墙,因此非常熟悉它的各种特性而且相信它们可以满足该学院的所有要求。
  
  Rühl评价说:“在为该学院考虑安全方案时,我自然而然地想到了Juniper网络公司的NetScreen防火墙。正是那时候,我有了采用虚拟接口的想法,因为Juniper网络公司的NetScreen防火墙可以几乎无限地运行这种接口。”
  
  虚拟系统功能是Juniper网络公司NetScreen操作系统ScreenOS的独特特性之一。这种防火墙可以模拟物理接口并逻辑地进行处理,就像虚拟LAN(VLAN)将各不相同的通信路由相互隔离一样。换句话说,我们可以从一个单一Juniper网络公司平台上同时运行采用不同策略的几个“虚拟”防火墙。这样就可以很好地满足学院的需求,因为他们已经在网络中广泛使用VLAN。ThomasRühl与学院的IT小组一同设计了一套可以很好地满足各种内部要求的安全方案。
  
  因此,学院选择了Juniper网络公司的安全解决方案,包括两台Juniper网络公司NetScreen-5200集成防火墙和虚拟系统。我们将这些系统部署为高可用性(HA)模式,系统可以提供高达4千兆位G的防火墙吞吐量和2千兆位G的3DESIPSecVPN吞吐量,同时还可以支持100万条并行会话、25,000条VPN隧道和4千万条策略。
  
  借助Juniper网络公司的NetScreen解决方案,该学院的6个专业部门和各个中心机构(如图书馆)都可以受到虚拟防火墙的保护,该虚拟防火墙划分为4个独立的安全区——池(pool)、实验网络、中立区(DMZ)和内部中立区。该防火墙中定义了近50个安全区,包括内部和外部服务、图书馆、行政管理和学院安全区域等。经过广泛的测试,证明所选择的Juniper网络公司NetScreen-5200集成防火墙/VPN系统可以与现有的路由器基础设施互操作。
  
  因此,学院在网络安全专家IndevisGmbH的帮助下于2003年5月开始了具体实施工作。“我们原先计划用两天的时间来测试VLAN连接。但实际上用两个小时就完成了,因为一切都运行得非常好,”Rühl解释说。
  
  虽然对敏感数据进行了广泛分离,但数据共享和接入许可管理仍非常简单。由于采用了精心分隔的虚拟系统和安全区,所以学院的员工现在可以有效地控制自己的安全需求,而且可以根据需要管理并修改学生的接入权限。更高层的管理部门并未受到任何影响。
  
  优势
  
  这套基于Juniper网络公司NetScreen-5200系统的全面安全方案,对于波恩-莱茵-锡格技术学院(FH)来说是一个极大的成功。
  
  自2003年7月投入运行以来,该解决方案在执行功能和接入许可管理方面没有出现任何问题。这对现在已被学院聘用为安全协调员的Rühl来说是一个很好的现象,说明该方案可以很好地满足学院的管理结构需求。然而,我们也应该感谢IndevisGmbH合作伙伴提供的专有技术,他们在解决方案规划和实施方面做出了重大贡献。“在夏季我们经历了几次我们自身无法控制的停电事故,然而系统的优秀冗余配置使我们避免了损失,对此我们真是非常感激。”Rühl先生说道。
  
  自动故障切换配置有助于系统的顺利运行,它使我们可以随时在系统中进行固件升级,而且Juniper网络公司NetScreen-5200系统的性能也非常优秀。即使在规划阶段,该系统就表现出可以在未来几年内轻松满足学院的安全需求,而且事实也证明了这一点。到目前为止,虽然防火墙的总吞吐能力是通过一个千兆接口来承载,但是其使用率并未超过1%。迄今为止,虽然总吞吐量是通过一个千兆位接口传输的,但防火墙的利用率一点都没有被超出。
  
  

关键词:教育

更多推荐企业