北京市宣武区系北京市城区之一,地处市中心--天安门的西南隅,因宣武门而得名,区域总面积达到19.03平方公里。宣武区北面与西城区为邻,东面和崇文区交界,南面、西面与丰台区接壤,西北角与海淀区相连。2002年户籍人口53.93万人,每平方公里2.83万人,人口密度居全市各城区之首。北京市宣武区政府近年来投入巨资完成了市政府上网工程,区政府内各个部门都实现了网上办公,电子审批。
北京市宣武区政府上网工程中的实际用户数在3000个左右,主干网的实际数据流量在10-100MB,Internet接入采用了2个独立的ISP接入商,共20M带宽容量。过去,在网络运行的过程中发现病毒情况严重,分析下来主要来源于外部Internet,经由内部办公系统、邮件系统Lotus Domino传播而泛滥,此外,由于众多用户经常上网浏览很多站点,包括一些安全性不是很好的网站,而且还下载很多不同类型的软件,因此,通过HTTP和FTP感染病毒的情况也时有发生。鉴于北京市宣武区政府上网工程的病毒情况实际,国内最大的信息安全解决方案提供商--方正信息安全技术有限公司为北京市宣武区上网工程提供了网关级防病毒的安全解决方案。
由于北京市宣武区政府上网工程中的计算机较多,而且使用了各种不同的操作系统,病毒来源主要是Internet,同时北京市宣武区政府上网工程的技术工程师提出不能改变北京市宣武区政府网络的原有网络拓扑结构,也不希望在邮件服务器上安装防病毒软件增加原服务器的负载,因此推荐使用了方正熊猫安全网关(简称PAGD)。这个产品设计提供的高性能表现是由于集成了软件和硬件,因而允许更多的扫描进程,保护最多的网络通讯使用协议: HTTP, FTP, SMTP, POP3,IMAP,NNTP和SOCKS。并且具有高扩展能力和负载均衡,安装配置也非常简单,其中的内容过滤可以锁定未知病毒和蠕虫,阻止它们进入系统。
由于可以被设置成一个网桥,直接检测网络中的信息包,因此它可以被安装在任何网络配置中,不管服务器和工作站是什么操作系统。结合北京市宣武区政府上网工程的实际,方正安全将一台千兆部署在防火墙之前,这样可以兼顾DMZ区域中的服务器集群。北京市宣武区政府上网工程的防病毒网络拓扑如下:
基于安全网关在网络防护方面的性能、宣武区政府的网络实际情况以及在网络防护方面可投入的人力、物力,方正安全公司特制定了以安全网关为主的网络防护解决方案,其优越性主要表现在以下几个方面:
1)安装和配置:鉴于方正熊猫安全网关在安装和配置方面极其简单,按网桥模式不需要重新配置或重新路由Internet流量,只需简单地安装在北京市宣武区政府网络防火墙的出口处。当安装完成后,该网关即开始完全扫描所有网络通讯,保障网络的100%安全。
2)由于高度可拓展性,方正熊猫安全网关可以适用于各种大中型网络,它能够根据网络通讯流量调节扫描能力。同时负载均衡是完全自动实现的,允许工作负载量能够自动在不同工作单元间进行均衡,很好地保障了产品的可拓展性及对网络边界的全面防护。
3)方正熊猫安全网关可通过可靠、简单和直观的WEB管理界面进行远程管理,网络管理员可以通过任何一台计算机或互联网连接灵活地其进行访问控制。因此,宣武区政府只需通过原有网络管理员的网络监控计算机即可以对方正熊猫安全网关的防病毒状况随时进行监控和配置,对整个网络的防病毒管理工作量几乎为零。
4)负载均衡是一个非常好的防止设备过载和产生延迟的方法,同时使用此功能还可以获得额外的冗余。在北京市宣武区政府网络中的两台安全网关将在互连的设备间进行负载均衡,以达到最高的效率,并且该产品的负载均衡管理是完全自动实现的,不需要任何人为干预因素。
5)这款安全网关还具有很强大的容错功能,在系统内部提供多级别的监控系统,确保系统不会影响网络正常运行。
北京市宣武区政府上网工程实施完成的解决方案后,在网络防病毒工作上取得了显著的实效,我们得到了来自用户的一些反馈:
1)方正熊猫安全网关实时地扫描所有进出北京市宣武区政府网络的数据,自从实施了该病毒解决方案后,网络中的用户可以放心地浏览Internet网页,下载软件,而且Lotus Domino服务器从外部接收的邮件完全无毒,真正从病毒入口处就杜绝了病毒的入侵,有效地保护了整个网络病毒安全。
2)方正熊猫安全网关的病毒特征文件缺省每日自动更新,确实有效地保证了它抵御所有新出现的病毒。自从在北京市宣武区政府上网工程中应用了该产品以后,尽管在Internet上不断出现新病毒,但北京市宣武区政府网络中再也没有受到过新病毒的威胁。通过查看日志发现不是新病毒没有企图入侵北京市宣武区政府网络,而是全部被成功拦截。
3)方正熊猫安全网关中记录了所有的病毒事件日志,网络管理员随时可以进行查看,通过总结调整了其中的内容过滤,从而减低了带宽资源的总消耗量,更大地发挥了方正熊猫安全网关的效能。
