阿姆瑞特防火墙在电力的运用.ppt

阿姆瑞特防火墙为电力系统保驾护航 阿姆瑞特（亚洲）网络有限公司 防火墙——统一管理 防火墙特点 无内核 -----性能、安全的保障 高吞吐、高并发、NAT -----高性能 灵活的接入 -----复杂网络的适应能力 有力的策略路由 -----多出口的必备功能 紧凑的数据结构，每个并发连接只占很少的内存。因此在相同的硬件环境下，可以支持更多的并发连接数。 可以最高支持500万的并发连接，远高于大多数同类产品。 紧凑的结构和独特的哈希算法，保证了在极大的并发连接的情况下性能不会下降。 防火墙应用-四川大学 高并发连接高吞吐－ 武汉大学 高并发连接高吞吐－ 西安交通大学 虚拟路由系统 － 灵活的路由 阿姆瑞特防火墙 在发电领域广域网的应用 **电力集团总部 ··· 下属电厂、分公司 电信专线 电信专线 国电集团多媒体广域网中防火墙的部署 F 300 F 300 F 300 F 600PRO 访问控制 防止扫描 防黑客攻击 带宽管理 支持VLAN 集中管理 组策略管理 …… 华电集团广域网中防火墙的部署 下属二级单位 管理中心 集团总部 下属二级单位 统一密码管理 统一策略部署 统一日志分析 发电集团广域网防火墙部署技术特点 总部使用高端千兆防火墙单台或HA模式部署 下属二级单位部署百兆防火墙通过透明接入 部署模式 防火墙作用 访问控制； 只允许集团总部特定主机访问下属二级单位特定服务器； 只允许二级单位的特定主机访问集团总部特定服务器； 只允许特定服务数据包通过防火墙(例如：H.323） 防止黑客扫描和攻击； 防止集团总部对下属二级单位的攻击； 防止二级单位对集团总部的攻击； 带宽管理 对视频会议进行带宽保证，保证视频会议的正常召开； 通过动态带宽策略，当视频会议停止时候，带宽动态均衡给其他服务器 阿姆瑞特防火墙 在供电领域办公和营销网络的应用 地市公司网络业务及拓扑分区图 三区 电力系统 广域网 一区 营销业务网 二区 地市电力公司办公网 五区 互联网 出口区域 四区 对银行业务数据区 江苏电力网络安全项目 双机热备 双机热备 双机热备 双机热备 DMZ 营销用电 DMZ WWW DNS DMZ 电力 DNS 江苏电力内部专网 VPN 中电飞华 电信 电信 DDN DDN 华东电力 信息网 网通 网通 国家电力 信息网 互联网出口区域 互联网出口区域 电力广域网区域 电力广域网区域 上海华东电力网络安全项目 培训中心 中试所 直属单位 Internet 四省一市 电业局 国电 AS-F1800备份 互联网出口区域 电力广域网区域 电力广域网区域 电力广域网区域 河南省某市电业局网络安全项目 各县供电局 财务网络 服务器集群 六县互联 Internet 省电力公司 电力广域网区域 互联网出口区域 技术实现方案： 广域网OSPF；市电力公司使用静态路由; 防火墙工作混合模式； 防火墙配置路由备份； 当路由器或者链路有问题时候，通过防火墙路由备份切换，切换时间大约1秒 实现的目标： 当地市公司千兆路由器（Cisco 7304）正常的时候，数据传输通过Cisco 7304完成； 当Cisco 7304故障的时候，或者连接7304的链路有问题时，防火墙自动选择Cisco 3640进行数据传输； 在Cisco 7304正常后，数据传输切换回到Cisco 7304路由器 湖南省电力广域网防火墙部署 100M FE 1000M FE Cisco 3640 Cisco 7304 Cisco 3640 Cisco 7304 OSPF 地市电力公司 地市电力公司 省电力公司 单台防火墙混合模式 100M FE 1000M FE Cisco 3640 Cisco 7304 技术实现方案： 2台防火墙通过HA方式进行备份； 防火墙配置链路备份功能； 2台路由器，2台核心交换运行对应的协议（例如：HSRP） 2台路由器，2台核心交换，2台防火墙，，运行静态路由协议； 防火墙工作在混合模式； 防火墙开启路由备份功能 实现的目标： 电力公司路由、交换、防火墙以及连接链路有任何一个地方有问题都可以进行切换 通过HA模式进行切换 防火墙HA切换时间是0.6秒 防火墙路由备份切换时候1秒 湖南省电力广域网防火墙部署 地市电力公司 省电力公司 2台防火墙HA模式，市电力公司局域网静态路由 湖北省某市电力公司营销网络防火墙整体配置拓扑图 银行前置机 银行系统 供电大楼 输电大楼 楼层交换机 县级电力公司 广域网百兆防火墙 AS-F300