客戶名稱：江蘇省工商行政管理局

所屬行業：政府

客戶需求：江蘇省工商政務外網需要消除網絡安全隱患，解決非法入侵、非法訪問等網絡安全問題。

產品型號：Hillstone SA-5020

實現功能：NAT(網絡地址轉換)、安全防護、虛擬路由器、會話限制、病毒防護和QoS。

用戶介紹

江蘇省工商行政管理局履行本行政轄區下屬的13個地級市市場監管和行政執法工作職責。為江蘇的企業發展和市場繁榮提供了支持和保障。省工商局全系統要在保證系統穩定運行方面做好以下幾個工作：一是要實施安全防御項目建設，初步構建系統運行的安全防御體系，以先進技術手段的應用進一步提升系統安全管理的水平;二是要嚴格落實各項管理規范，重點要推動機房建設與管理規范化活動;三是要扎實開展安全教育，提高全員安全意識，減少人為的安全事故;四是要繼續完善安全管理制度，細化崗位職責，落實安全責任制;五是要探索形成可行的安全應急處置預案。

江蘇省工商局網絡需求

因缺乏網絡安全設備，日常管理難度大，計算機系統易遭受蠕蟲、木馬等病毒危害，不法入侵者的破壞，P2P下載擠占帶寬，上網行為得不到有效的監控。為了加強網絡安全建設以及內部管理，增加政務外網網絡的安全性和抵抗風險的能力，迫切需要建設一套全面網絡安全體系。具體安全需求如下：

1.將服務器網絡和辦公網進行隔離，避免與外部網絡的直接通信，保證網絡結構信息不外泄。

2.限制網上服務請求內容，使非法訪問在到達主機前被拒絕。

3.綜合的病毒防護體系建設。

4.掌控網絡資源利用率。

Hillstone SA-5020在江蘇省工商局項目中的方案特點

在江蘇省工商局網絡邊界出口布署一臺Hillstone SA-5020多核安全網關，由于防火墻隔離的是不同的安全區域。防火墻劃分為三個安全區域，分別為內網區域、外網區域、DMZ(非軍事區)區域，把特定對外提供服務的服務器部署在防火墻的DMZ區域，內部用戶接到內網區域，Internet互聯網接入外網區域，防火墻可以作為不同網絡或網絡安全域之間信息的出入口，根據安全策略控制出入網絡的信息流。再加上防火墻本身具有較強的抗攻擊能力，能有效地監控內部網和Internet之間的任何活動，內部網到服務器組間通信，以及控制服務器對外發布信息，從而為江蘇省工商局網絡的安全提供了有力的保證。整個項目系統解決方案的拓撲如下圖所示：

江蘇省工商局網絡拓撲圖

在本項目中，依靠積累多年被證實的專業硬件安全產品研發和市場經驗，Hillstone 山石網科安全解決方案針對江蘇省工商局網絡的邊界安全控制、攻擊防護、QOS帶寬管理、病毒防護等方面保證互聯網應用數據傳輸的安全性，最大程度地確保江蘇省工商局政務外網關鍵業務的不間斷運行。

SA-5020強勁的性能表現

Hillstone SA-5020采用了創新的新一代網絡安全架構，硬件平臺采用64位高性能的多核網絡專用處理器Multi-Core CPU(多達8核)，內部傳輸采用高達48Gbps高速交換總線，提供了更高、更可靠、更穩定和更安全的綜合處理能力，給用戶留下了非常深刻的印象。在用戶的網絡中運行一段時間后，用戶就直言稱贊：性能非常卓越。

SA-5020強大的邊界策略控制和多樣化的NAT

在項目部署時，用戶要求部門A跨區域只能訪問部門B的業務服務器，部門B跨區域也只能訪問部門A的業務服務器，而其他部門都能訪問部門A和部門B的服務器。但部門A的業務服務器對其他區域而言都是以部門C的地址呈現，部門B的業務服務器也同樣是以部門C的另一部分地址出現。跨區域訪問時源地址都要做NAT，從而隱藏原有的真實IP地址。按照用戶的實際要求，Hillstone山石網科給用戶設計的上述拓撲有效滿足了用戶的雙向NAT的需求和邊界的策略控制要求。

Hillstone SA-5020多核安全網關具有專業的防火墻表現，通過配置相應的防火墻安全策略，做到了完美的邊界策略控制，有效達到了用戶的控制精確性和控制細粒度，從而最大程度地保障了部門A和部門B內業務服務器的數據安全性。

此外，Hillstone SA系列多核安全網關可提供一對一、多對一、多對多、源NAT、目的NAT等多樣化的NAT方式。在本項目中，SA-5020上的源NAT、多對多的NAT和目的NAT高效的做到了各區域和A、B部門業務服務器的真實IP地址的隱藏，呈現給其它區域的是用戶規劃的IP地址，一定程度上保證了應用的安全性。而獨特的雙向NAT使用保證了用戶網絡的應用安全性得到了進一步地增強。

SA-5020虛擬路由器功能

Hillstone SA-5020提供虛擬路由器功能，不同VR 擁有各自獨立的路由表。系統中有一個默認VR，名為trust-vr，默認情況下，所有三層安全域都將會自動綁定到trust-vr 上。系統支持多VR 功能且不同硬件平臺支持的最大VR 數不同。多VR 將設備劃分成多個虛擬路由器，每個虛擬路由器使用和維護各自完全獨立的路由表，此時一臺設備可以充當多臺路由器使用。多VR 使設備能夠實現不同路由域的地址隔離與不同VR 間的地址重疊，同時能夠在一定程度上避免路由泄露，增加網絡的路由安全。

先進的應用層管控機制

Hillstone SA-5020能夠為用戶提供先進的應用層管控技術，包括URL過濾、帶寬管理、P2P/IM管理等，能夠使用戶在保證網絡連通的前提下更細粒度地管控自己的網絡。

高效的病毒防護功能

Hillstone SA-5020高效高性能的病毒流掃描技術保證了其作為防病毒網關能做到高吞吐量、低延遲的應用要求，同時能給用戶帶來一個干凈、安全的網絡應用環境，讓用戶的網絡和應用再也不受病毒、木馬泛濫的困擾。

用戶評價

Hillstone SA-5020多核安全網關表現出來的性能非常卓越、非常強勁。其功能非常滿意的，專業化的防火墻功能加上精細化的邊界控制策略做到了我們想要求的安全控制，同時內嵌的攻擊防護也非常好地解決了斷網問題。總之，Hillstone山石網科的安全解決方案加快了江蘇省工商局信息化安全建設，Hillstone SA系列多核安全網關無論從性能上、功能上、還是服務水平方面，都很好地滿足了我們的應用需求，為江蘇省工商局提供了健康的網絡應用環境，給我們帶來了更好的網絡應用體驗。