中石化天津公司是中石化的一个直属骨干销售公司,拥有数百家加油站,随着中石化成品油零售系统电子化的推进,这些加油站都必须通过远程连接到XX石油的成品油零售系统,以提高了加油站经营管理的科技含量和服务水平,进而增强其竞争力。但是,这些加油站最初是通过远程电话拨号方式上网,来接入成品油零售系统,不仅需要在各个加油站放置大量的制解调器,每个月的电话和上网费用也居高不下,更为关键的是,在网络安全,应用等方面也带来许多问题和隐患。
显然,中石化天津公司需要一个更为安全、经济和高可用的网络接入解决方案,比如IPSec VPN或者SSL VPN。这些需求,再结合中石化天津公司信息系统的具体特点,比如采用定制的Turbo Linux操作系统,没有Java环境等等。
这样,从技术实现的方式来看,中石化天津公司对于加油站远程解决方案的需求包括以下几个方面:
在安全性上,应该使用公开的协议保证信息传输的机密性;还需要完善的客户端安全检查手段:可以根据XX石油的安全策略对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,不符合中石化天津公司的安全策略的客户端不允许接入;同时提供多种身份认证手段,以满足多种应用的需求;让网络接入安全无忧。
在需求定制方面,解决方案需要支持加油站使用的linux客户端;不需要linux客户端提供Java环境,因为中石化使用的linux是定制版本,没有Java环境,如果象某些厂商的解决方案一样需要在每个linux客户端安装Java环境是完全不可行的。
在应用方面,解决方案需要“透明”:能够满足所有基于IP的应用都可以接入,包括基于TCP、UDP的C/S应用以及B/S应用,提供与应用无关的特性,可以使用各种windows平台,包括windows98、windows2000、windows XP、windows2003;同时,需要提供API:以供进一步开发使用。
当然,在降低成本和高可用方面,解决方案也需要有出色表现。例如,现行的电话拨号方式电话费用高达300元/月,应该可以使用ADSL等接入方式降低客户端接入成本;加油站需要7×24小时的远程接入,接入解决方案必须高可用。等等。
要满足上述需求,实在并不轻松。
解决方案及拓普图
怎样的解决方案,最适合并充分满足中石化石油公司的需求呢?三年前兴起的IPSEC VPN,主要是面向网络而非应用,并具有许多自身无法克服的缺点:比如,某些地点无法接入;可能引起大量的病毒入侵、木马、Web攻击,等等,从而给用户的网络应用带来系列问题。而且,由于中石化天津公司加油站均采用的是Turbo Linux操作系统,需要在各个加油站部署IPSec VPN网关,造价高昂。最终,中石化天津公司选择了更新的SSL VPN作为加油站远程接入解决方案-- 采用了F5公司的FirePass产品——一台FirePass4130和一台FirePass FailOver Contoller,将所有加油站连接到XX石油分公司的成品油零售系统,从而提供面向应用,高可用,高安全和易用的网络应用服务。
F5公司提供的SSL VPN接入解决方案,以其领先的技术、靠可用、高效率和高安全性,充分满足了中石化天津公司的需求,具有以下特点:
与应用无关。使用网络连接方式提供与应用无关的接入方式,对应用完全透明,所有应用均可以和内网应用一致的方式运行。对用户来说,这意味着更易用,应用更丰富。
部署方便快捷。不需要客户端提供Java运行环境,只需要客户第一次登录时自动下载一个大约300K大小的Mozilla插件即可,这样不需要XX石油的IT人员去加油站现场即可完成部署,大大减少了工作量,节省了时间成本。这对使用linux定制版本,没有Java环境的加油站来说,可谓是量身定做。
多种多样的接入客户端。F5 FirePass可以使用多种接入客户端,包括Mac、Linux、Solaris、Windows CE等等,大大扩展了客户端的使用便利性。所以,即使加油站采用的是linux是定制版本,也无后顾之忧。
良好的安全性。F5 FirePass可以对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,从而堵住病毒、木马入侵的途径。当授权的用户端点要访问企业网络时,SSL VPN就会对其进行安全策略的检验,如果其防病毒软件等不时最新版本,系统就会自动地为其下载、安装,然后接入网络应用。而技术支持人员,完全不用耗费专门的时间重复劳动,可以更好地专注于企业的网络中心。与此同时,F5 FirePass可以对接入客户进行各种限制,如可以访问的地址、端口、URL等等。并可以配置成在退出时自动清除高速缓存。从而都大大增强了系统的安全性。
高可用性。使用两台FirePass以冗余方式对外提供服务,可以保障7×24小时服务。
与各种身份认证服务器集成。企业在部署远程访问设备之前,部署了各种形式的AAA服务器,一般有Active Directory、LDAP、RADIUS、企业自行开发的SSO等等,客户端也有PKI、RSA Secure ID等等。FirePass可以轻易的与各种身份认证服务器集成,一般有Active Directory、LDAP、RADIUS、企业自行开发的SSO、PKI、RSA Secure ID等等,对于IT管理员来说,可以轻易将一台FirePass加入企业网,用户管理仍然由原来的身份认证服务器去做。
提供丰富的日志功能。FirePass可以提供非常丰富的用户级日志功能,更可以通过标准的日志协议将日志实时传送给企业中的日志服务器,便于审计。
提供丰富的API。FirePass提供丰富的API,利用这些API,用户和应用可以完全控制FirePass,如使用FirePass提供的API-iControl开发出自动运行的客户端和网络连接监控程序,一开机即自动运行客户端程序登录至FirePass;遇有网络连接中断情况即自动重新登录至FirePass,这样就实现了无人值守运行。
采用F5的接入解决方案,中石化天津公司及其加油站有效实现了成本的降低,高安全和高可用性,大大提升了服务水平。
相对于传统的电话拨号接入,以及IPSec VPN和其他的SSL VPN接入解决方案,F5 FirePass控制器所提供的远程访问解决方案能够满足中石化天津公司及其加油站管理员和最终用户的需要。采用FirePass解决方案,能够为加油站提供安全、可靠、直接的远程访问能力;而不必花费大量时间进行客户端软件安装及配置,或修改服务器端的应用。 F5灵活的、可扩充的解决方案可以非常简便地适用于任何网络;在提供无可比拟的对网络资源的控制方面的同时,大大节省了时间与金钱。
在经过中石化天津公司及其加油站几个月的正式运行后证明,F5的解决方案具有最高的投资回报比。在充分解决了安全性的后顾之忧的情况下,大幅降低了接入费用,系统运行可靠,从未发生一次停机。更为关键的是,除了加油站应用之外,中石化信息化系统的其他应用也在逐渐转移到这个远程接入平台上来,而与应用无关的特性让应用感觉不到远程接入设备的存在,真正体现了“简单就是美”的境界。
- 相关阅读:
- ·巴西石油公司取代微软成美洲第三大上市公司
//news.zol.com.cn/93/931735.html - ·微软首次邀请黑客访问公司总部
//news.zol.com.cn/2005/0802/190395.shtml