阿姆瑞特防火墙在电力的应用

阿姆瑞特防火墙为电力系统保驾护航阿姆瑞特（亚洲）网络有限公司阿姆瑞特防火墙在发电领域广域网的应用以太网以太网以太网以太网**电力集团总部···下属电厂、分公司电信专线电信专线国电集团多媒体广域网中防火墙的部署F300F300F300F600PRO访问控制防止扫描防黑客攻击带宽管理支持VLAN集中管理组策略管理……华电集团广域网中防火墙的部署防火墙——统一管理下属二级单位管理中心集团总部下属二级单位统一密码管理统一策略部署统一日志分析发电集团广域网防火墙部署技术特点总部使用高端千兆防火墙单台或HA模式部署下属二级单位部署百兆防火墙通过透明接入部署模式防火墙作用访问控制；只允许集团总部特定主机访问下属二级单位特定服务器；只允许二级单位的特定主机访问集团总部特定服务器；只允许特定服务数据包通过防火墙(例如：H.323）防止黑客扫描和攻击；防止集团总部对下属二级单位的攻击；防止二级单位对集团总部的攻击；带宽管理对视频会议进行带宽保证，保证视频会议的正常召开；通过动态带宽策略，当视频会议停止时候，带宽动态均衡给其他服务器阿姆瑞特防火墙在供电领域办公和营销网络的应用地市公司网络业务及拓扑分区图三区电力系统广域网一区营销业务网二区地市电力公司办公网五区互联网出口区域四区对银行业务数据区江苏电力网络安全项目双机热备双机热备双机热备双机热备DMZ营销用电DMZWWWDNSDMZ电力DNS江苏电力内部专网VPN中电飞华电信电信DDNDDN华东电力信息网网通网通国家电力信息网互联网出口区域互联网出口区域电力广域网区域电力广域网区域上海华东电力网络安全项目SiSi培训中心中试所直属单位Internet四省一市电业局国电AS-F1800备份互联网出口区域电力广域网区域电力广域网区域电力广域网区域河南省某市电业局网络安全项目各县供电局财务网络服务器集群六县互联SiSiInternet省电力公司电力广域网区域互联网出口区域技术实现方案：广域网OSPF；市电力公司使用静态路由;防火墙工作混合模式；防火墙配置路由备份；当路由器或者链路有问题时候，通过防火墙路由备份切换，切换时间大约1秒实现的目标：当地市公司千兆路由器（Cisco7304）正常的时候，数据传输通过Cisco7304完成；当Cisco7304故障的时候，或者连接7304的链路有问题时，防火墙自动选择Cisco3640进行数据传输；在Cisco7304正常后，数据传输切换回到Cisco7304路由器湖南省电力广域网防火墙部署100MFE1000MFECisco3640Cisco7304Cisco3640Cisco7304OSPFSiSi地市电力公司SiSi地市电力公司省电力公司单台防火墙混合模式100MFE1000MFECisco3640Cisco7304技术实现方案：2台防火墙通过HA方式进行备份；防火墙配置链路备份功能；2台路由器，2台核心交换运行对应的协议（例如：HSRP）2台路由器，2台核心交换，2台防火墙，，运行静态路由协议；防火墙工作在混合模式；防火墙开启路由备份功能实现的目标：电力公司路由、交换、防火墙以及连接链路有任何一个地方有问题都可以进行切换通过HA模式进行切换防火墙HA切换时间是0.6秒防火墙路由备份切换时候1秒湖南省电力广域网防火墙部署地市电力公司省电力公司SiSiSiSi2台防火墙HA模式，市电力公司局域网静态路由湖北省某市电力公司营销网络防火墙整体配置拓扑图银行前置机银行系统SiSiSiSi供电大楼输电大楼楼层交换机县级电力公司广域网百兆防火墙AS-F300PRO广域网互连三层交换机省公司营销服务器组银行联网百兆防火墙AS-F100PRO银行联网三层交换机SiSiSiSi营销千兆防火墙AS-F600PROSiSiSiSi2台阿姆瑞特F600+防火墙HA部署拓扑图营销服务器千兆防火墙部署技术实现方案：防火墙工作为路由模式；采用HA接入；防火墙于银行营销服务器与其他系统之间开启对应的访问控制功能，防攻击功能实现的目标：当任何一台防火墙出现问题或者链路出现问题进行HA切换；实现对应的安全功能银电联网百兆防火墙部署拓扑图一区营销业务网AS-F100Pro-A对银行业务数据区银行系统DMZ银行前置机SiSiSiSi服务器组应用服务器交换机A应用服务器交换机BAS-F100Pro-B银联三层交换机技术实现方案：防火墙工作为路由模式；采用HA接入；防火墙于银行系统网络、银行前置机、营销服务器之间开启对应的访问控制功能，防攻击功能实现的目标：当任何一台防火墙出现问题或者链路出现问题进行HA切换；实现对应的安全功能广域网防火墙部署拓扑图省电力公司广域网地市电力公司省公司SiSi广域网三层设备阿姆瑞特防火墙核心交换机SiSi技术实现方案：防火墙工作为路由模式防火墙于交换、路由设备之间运行OSPF协议开启对应的访问控制功能实现的目标：当地市公司核心交换机有任意一台出现故障；通过OSPF进行切换；当连接防火墙于核心交换机链路出现问题的时候，通过OSPF进行切换阿姆瑞特防火墙已经成功应用到电力行业的各个区域防火墙特点无内核-----性能、安全的保障高吞吐、高并发、NAT-----高性能灵活的接入-----复杂网络的适应能力有力的策略路由-----多出口的必备功能防火墙特点-无内核紧凑的数据结构，每个并发连接只占很少的内存。因此在相同的硬件环境下，可以支持更多的并发连接数。可以最高支持500万的并发连接，远高于大多数同类产品。紧凑的结构和独特的哈希算法，保证了在极大的并发连接的情况下性能不会下降。防火墙特点-高吞吐、高并发高并发连接高吞吐－四川大学AmarantenFirewallLAN内网教育网1.安全网关无地址透明接入网络。2.内网5.8万信息点，并发连接最高达400余万，最大吞吐量达到1.5Gbps。教育网出口2防火墙应用-四川大学1.数据采集时达到300万并发。2.此时1.07Gbps吞吐量。用户通过mrtg采集到网络最高达到1.5Gbps吞吐量。防火墙应用-四川大学高并发连接高吞吐－武汉大学1.数据采集时达到160万并发。2.此时1.30Gbps吞吐量。高并发连接高吞吐－西安交通大学数据采集时达到1.71Gbps吞吐量虚拟路由系统－灵活的路由InternetCisco3550Cisco3550PC-A192.168.0.10/24PC-B192.168.0.10/24Lan-2192.168.0.1/24Lan-1192.168.0.1/24wan-2172.16.0.1/24wan-110.10.10.1/24E0:10.10.10.2/24E0:172.16.0.2/24RouterBRouterA.业界最先进的虚拟路由系统。.单台通过接口划分当作多台设备来使用。.便于扩展与合并。不同校区拥有相同内网地址的最佳解决方案。防火墙特点-灵活的接入负荷分配环境10.4.0.110.4.0.210.4.0.310.4.0.4源IP地址：x.x.x.1目标IP地址：198.71.0.3目标IP：10.4.0.3源IP地址：x.x.x.7目标IP地址：198.71.0.3阿姆瑞特安全网关基于以下来决定最合适的目标服务器：•客户源IP地址•客户网络地址•连接率服务器集群目标IP：10.4.0.1目标：在多个服务器之间分发网络数据流，以避免单台服务器的负荷超限，并简化管理工作。结果：由于有了阿姆瑞特安全网关和负荷分配，您可以得到：-改善的可度量性可使您轻松添加更多服务器到集群中-提高了性能，加快了响应速度-可靠的服务冗余-降低了管理成本服务器流量负载均衡解决Web网站高峰时段访问的最佳方案。新浪、163、21CN等门户网站均采用类似方案解决特殊时间(奥运会)的主页访问。防火墙特点-灵活的接入WAN:202.115.1.2/24内网用户:192.168.0.0/16LAN:192.168.255.1/16服务器：202.115.32.2/24202.115.32.3/24CNC方案说明：内网到外网NAT，通过接口地址202.115.115.2访问互联网.DMZ到外网接口做透明外网单链路双网关，DMZ与202.115.32.0/24做透明，走另一网关202.115.32.1/24。DMZ通过策略路由上网DMZ双网关:202.115.32.1/24202.115.1.1/24单链路多网关接入防火墙特点-灵活的接入防火墙特点-稳定可靠无故障使用超过10000小时，466天x24小时=11184小时。极端恶劣情况CPU达到100%，不宕机，自愈恢复正常工作状态。除了安全的问题，带宽管理也变得日益重要！！阿姆瑞特将推出7层的流量整形产品，更好的为电力行业服务WWWERPE-mailEtc。Port25Port23Port80ClassFilterServiceAUser(IP)ServiceBUser(IP)ServiceCUser(IP)ServiceDUser(IP)基于秒为单位的实时监控实时监控图每秒详细信息QOS特点-详细的监控报表不同时刻各种应用的统计报表鼠标双击某种应用层流量时，可以时时查看使用该应用的具体源IP地址、目标IP、端口、流量等信息不同时间详细的网络流量不同时间网络流量图比较表基于每日不同时刻的监控图基于IP地址的流量排名点击上图中的可以查看该主机不同时间的流量图点击上图中的可以查看该主机服务的流量图网络视频中限制了具体的应用，如PPlive为15M，迅雷15M，PPStream10M等QOS特点-应用层识别与控制QOS特点-专业word报表防火墙：提供安全、高效和稳定的接入提供强大的抵御DDos攻击和访问控制功能电力互联网出口防火墙提供高效的NAT功能●●●●●●流量整形产品：提供网络带宽使用情况的详细报表进行应用层和网络层的流量整形提供Word版本详细的报告●●●●●●防火墙+流量整形=最佳的出口解决方案ThankYou!”Amaranten–SecureNet!”