安全、绿色、灵活、——中兴通讯加油站管理系统解决方案一

北极孤雪

近年来，中兴通讯在信息化建设、管道通信、油气田地面通信系统建设等方面为中国石油提供了产品和服务，成为中国石油主要的通信设备提供商之一。

中兴通讯一直在跟踪中国石油加油站管理系统建设，在这方面，中兴通讯不仅可以提供完善的网络系统、呼叫中心解决方案，而且凭借遍布全国的售后服务体系，可以排除中国石油总部以及各销售公司在加油站网络应用方面的后顾之忧。

本方案目的是为中石油的近2万座加油站组建由中心平台，加油站组成的VPN网络。利用IPSEC-VPN技术为中石油设计提供私用VPN平台，独到的VPN通道防病毒防攻击技术对VPN内部网络安全提供安全保障，同时系统兼容当前从固网ADSL、无线3G等多种接入方式，通过在总部和各地加油站安装、配置VPN网关，实现私有VPN通信链路的建立，实现各地加油站与总部数据中心之间数据上传与控制信息下传。同时中兴通讯还为中石油提供对网络设备可统一配置管理的网管平台，实时掌控网络情况及定时提交网络状况分析报告。

中兴通讯 VPN解决方案

根据对网络安全现状及用户需求的分析，我们推荐中兴通讯的网络和VPN解决方案。

中兴通讯推出的安全VPN解决方案。中兴通讯的ZXSEC US内置强大的VPN功能，其安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了无与伦比的功能和检测能力确保VPN通道内的安全。

中兴通讯的完全内容检测和重组技术与硬件加速检测引擎一起，提供了当今最先进的ASIC VPN加速安全产品。

中兴通讯采用硬件加速芯片，提供比基于PC工控机的安全设备高4-6倍的性能。通过很巧妙的设计，总能帮助用户在威胁到达之前完成更新，而不会停留在过期的阶段。正如图形加速卡能加速复杂图形的显示一样，专用硬件芯片能对病毒和攻击检测进行特征和模板匹配进行加速。

同时结合VPN网络分散难管理的特点，中兴通讯为此硬件平台配备了功能强大的安全运维管理平台。以下是系统部署介绍：

1.        整体网络图


（图）中石油网络和VPN部署图

2.      安全运维平台和VPN接入

采用中兴通讯网络和VPN解决方案，利用硬件VPN技术及VPN通道内安全防护技术，结合已有的SDH传输网络，形成中石油安全的专有网络，并实现统一网管和运维。

有专线接入加油站通过VPN路由器接入到核心网络。

无专线接入加油站通过internet通信部分，采用ZXSEC US 网络和VPN设备做从接入到汇聚部署。

为满足移动用户访问中石油专有网络的需求，方案为移动用户（3G、ADSL等方式）同时提供IPSEC VPN和SSL VPN两种方式访问专有网络业务系统。

3.      拨号方式接入(ADSL+VPN)

VPN接入网关组网模式

由于设备支持多种接入因特网的手段，因此各油站在不同地点不同接入条件下，可采用以下两种方式中的一种或都采用，第一种是ADSL有线方式，速率上足以保证所有数据业务流畅传输；第二种是通过3G上网卡，接入各运营商的3G网络，通过3G网络再进入因特网，在速率上，上行在1.5Mb/s以上，下行在2.8Mb/s以上，也满足保证所有数据业务呢能流畅传输。

      

                              ADSL上网                    3G上网



在加油站接入因特网以后，通过汇聚层VPN网关即可与运营商提供的VPN专网进行基于IPSec的隧道建立，建立完成后，该加油站即接入了VPN专网，所有数据都可以安全的在专网上传输。




专线接入（专线路由器和交换机）




接入可灵活采用两张方式实现：一、通过接入层VPN+交换机接入；二、通过路由器+交换机采用专线接入。

专线路由器具有智能的安全防护功能，优异的抗病毒能力，同时支持内置防火墙技术，有效地防范内外部攻击。

接入交换机具有良好的管理能力，支持4K个IEEE 802.1Q  VLAN，802.1X认证等，同时可实现QOS队列，满足用户等级区分要求。

安全、绿色、灵活的VPN

安全：VPN通道内的病毒、攻击防护

单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证，没有很强的访问控制功能（状态包过滤、网络内容过滤、防DoS攻击等）。在独立的防火墙和VPN部署方式下，防火墙无法对VPN的数据流量进行任何访问控制，由此带来安全性、性能、管理上的一系列问题。因此，在防火墙安全网关上集成VPN能提供一个灵活、高效、完整的安全方案,是当前安全产品的发展趋势。它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网关免受DoS攻击和入侵威胁；提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。因此，VPN技术已经成为安全网关产品的组成部分。ZXSEC US便是一个集防火墙、VPN和应用层过滤网关功能于一身的综合安全网关，可以提供各安全功能之间的完美联动、良好的兼容性和性能。

绿色：低功耗，绿色节能

ZXSEC US利用整合的概念和技术减少用电消耗，比如具有整合功能的ZXSEC US汇聚产品可以共享电源与通风系统。用数据推算，在主要互联网网关和专网之间的周边防御通常就需要五台设备，每个设备提供一个单一功能的安全服务。保守估计每个设备耗费300W电量的话，这样五台设备总共就要消耗1500W。用整合安全系统替代这些独立的系统，单台耗电300W的系统仅用20%的经常性电力成本就可以提供相同的功能。在降低用电量的同时也减少了冷却成本。

灵活：路由功能强大，满足多种接入方式

ZXSEC US系列宙斯盾产品支持路由（NAT）模式、透明模式和混合模式三种工作模式。可以很好的适应各种网络环境。

每个接口都支持不同的地址模式，既可以是静态IP，也可以通过DHCP服务器获得动态IP，还能通过PPPOE拨号获取IP地址，可以很好的支持LAN、ADSL等多种网络接入方式。

ZXSEC US在路由模式下支持各种路由方法，包括静态路由、动态路由（可以直接参与到RIP、OSPF、BGP路由运算中，而非仅仅让动态路由协议穿越）、策略路由（根据不同的源地址、目的地址、端口等确定下一条路由网关），可以满足多种网络环境的要求。

ZXSEC US还可以很好的支持双网关的网络环境。如下图所示，内网使用ISP1、ISP2两条链路接入Internet。使用ZXSEC US可以实现两条链路的冗余。通常情况下对Internet的访问请求都通过带宽较高的ISP1链路进行，当ISP1链路出现故障中断时，ZXSEC US会自动将所有的访问请求切换到ISP2链路，保证网络的不间断运行。