Check Point保护网络的边界及内部安全案例

　　香港、广州、珠海、辽宁4地分公司安全接入互联网

　　全国113个油气站与公司运营系统通过VPN连接

　　客户背景

　　该名客户是一家跨国石油公司，在1999年正式进入中国市场并成立独资企业。公司业务涵盖石油、天然气以及乙烯等化工原料的生产、配送、销售，是国内最大的液化石油气体(LPG)进口商。公司是第一家为国内用户提供液化天然气干线以及终端服务，唯一一家获得国内航空燃料业务经营许可，与各大航空公司以及各省市机场成立战略合作伙伴关系的外资企业；公司还与中石油、中石化等国内大型石油化工企业合作，在广州、辽宁、珠海等省市成立合资公司，并在全国范围内为用户提供优质的产品和服务。

　　客户的广州总部，以及设于香港、珠海、辽宁的分公司随时有存取总部信息系统资源的需要。此外，其辽宁分公司下设113个油气站，其POS系统需要接入辽宁公司的营运管理系统作数据集中。其珠海分公司提供天然气供给市内消费者，并使用信息系统与当地代理商作费用结算以及客户关系管理。香港分公司主营业务是给香港电厂供应燃油作发电用途，要求供求双方必须有良好的协作，因此需要信息系统支持分公司与电力公司之间的费用结算与供应链管理。

　　客户面临的挑战

　　由于网络通信在客户的业务运营中日益重要，它觉得有需要构建一个安全的信息访问环境，预防来自边界及内部的威胁于未然。具体而言，客户面临的安全挑战如下：

　　*容许4地公司接入互联网，避免高成本的专线接入方式，但必需确保边界的高度安全

　　*分支繁多：113个油气站POS系统有效连接公司营运管理系统

　　*安全连接合作伙伴信息系统

　　*提供多ISP链路的支持，保障基于互联网/内联网的业务流程的正常运行

　　出差人员安全访问/合法使用企业内部资源

　　解决方案介绍

　　Check Point 与其OPSEC (Open Platform for Security) 伙伴i-Security 携手合作，为这名石油公司客户提供一个可以保障其边界及内部安全的整合安全方案，其具体所用设备包括Check Point VPN-1 Pro for Enterprises、i-Security SP-4500及i-Security SP-4032安全平台 。

　　方案的设计是广州总部安装两台i-Security SP-4500安全平台连同Check Point VPN-1 Pro作双机冗余，并配置了双ISP连接互联网，同时提供VPN网关供分支/合作伙伴/出差员工使用。香港、辽宁、珠海分公司都部署了i-Security SP-4032连同Check Point VPN-1 Pro, 并与总部配置了站点到站点的VPN，透过互联网把总部和分公司安全的连接起来。

　　具体实施如下：

　　*分公司之间以VPN方式连接-避免专线接入的高成本

　　*多个ISP链路备份，为企业提供安全、可靠、平稳的电子商务平台

　　*Check Point VPN-1 Pro提供安全管理、攻击检测及流量整形(Traffic Shaping)技术，它并采用INSPECT智能化侦察技术，一方面确保在互联网上进行的商务通信的隐私，同时可阻挡未经授权的访问

　　*选用运行Check Point安全操作系统SecurePlatform的i-Security安全平台，.其热插拔电源冗余/硬盘镜像冗余/端口热备份使得系统不会因为硬件故障而中断运行。

　　*辽宁分公司下设的113个油气站除部分地处偏远的以GPRS方式上网，其余均通过拨号方式连接互联网，节省了管理Modem 池的成本；113个油气站均通过VPN连接到辽宁分公司，确保信息安全。

　　Check Point/i-Security方案的优点

　　*Check Point VPN-1 Pro 整合了Check Point 的先进安全技术FireWall-1及VPN-1，可以支持所有类型的部署，包括远程访问、站点对站点连接及外联网VPN等。

　　*本方案集成了Check Point 先进的INSPECT(状态检测)和AI(Application Intelligence, 应用智能)技术，使得数据流量在操作系统内核、数据链路层和网络层之间被检测，为企业提供了高性能的、应用级的保护。

　　*Check Point安全管理架构(Smart Management)可实现对防火墙和VPN策略的集中式管理，方便、快捷。总部、各地分公司防火墙以及VPN接入统一在总部Smart Center进行集中式管理。

　　*Security SP-4500内部集成了Check Point最新版本的VPN-1产品，提供卓越的攻击保护、严格的访问控制、大规模的集中管理能力以及非常详尽系统日志记录功能。性能参数详见下表：