科普特
Home   │   E-mail   │   Contact us
DNS/DHCP/IP综合管理 Bluecat
上网行为管理 Bluecoat
网络加速 Bluecoat
入侵防御 Tippingpoint
数据安全 Imperva
当前位置: 科普特 > 解决方案
网络加速 bluecoat  

中海油Blue Coat SG应用案例
中海油使用Blue Coat SG8100实现分支机构安全地直接接入互联网并加速分支机构访问内部应用系统。
摘要:集Web安全控制网关功能和WAN加速功能于一体的Blue Coat SG专用代理设备,使中海油实现了分支机构直接设置当地的互联网出口,总部可设置共性的上网安全控制策略,同时分支机构可定制自己的个性化控制策略,并依据AD域账号结合时段、内容类型、带宽使用对上网行为进行精细的策略管理和控制。另外,分支机构的SG在控制互联网访问的同时,还与位于总部的SG形成WAN加速通道,加速内部的应用系统。
案例概述
公司:中国海洋石油公司(CNOOC)
行业:能源行业
应用:分支机构本地互联网上网安全策略控制、内部应用加速
案例详细介绍
作为中国三大国家石油公司之一,中国海洋石油总公司(以下简称:中海油)于1982年2月成立,注册资本500亿元人民币,现有职工2.4万人,总部设在北京,是中国海上石油和天然气的最大生产者。2006年,中海油实现销售收入1208亿元,实现利润481亿元。
多年来,中海油管理层非常重视企业信息化建设,至今,中海油针对企业业务需求,已经建成了完善的信息网络基础设施和各个主要应用系统,如基于SAP R/3的ERP、Domino/Notes应用系统、项目信息管理系统等企业管理信息平台,及人力资源管理、财务控制和资金管理、采购和物流管理、生产/业务管理、设备管理和销售管理系统等专业应用系统,这些系统大多都基于浏览器环境。这些系统在中国海油降低成本、提高效率、控制风险等方面发挥着重要的作用。
随着中海油的许多关键业务应用越来越依赖Web平台,在保证网络安全和控制网络内容访问方面,中海油也面临着巨大的挑战。
面临的挑战

  1. Internet流量回传:目前,中海油的许多分支机构没有设立本地互联网出口,用户访问互联网时,需要通过广域网链路从总部的互联网出口上网。中海油考虑过在每个分支机构设置互联网出口,但考虑到互联网安全和管理问题而没有实施。这些互联网流量对中海油的广域网构成了严重的压力。
  2. 关键业务应用速度慢:由于内部广域网链路上充满了互联网流量,对正常的企业内部应用访问构成了压力。分支机构访问位于总部数据中心的应用系统时,速度很慢。
  3. 网络带宽被滥用:中海油为了提高所有用户的互联网访问速度,已经数次扩充了互联网出口带宽,但中海油同时发现,每次扩带宽后,可用带宽很快又被充满,从而陷入“扩充-充满-再扩充”这样一个永无止境的怪圈,经分析,发现其中大量为MP3及网络电影的下载,特别是BT、电驴的下载占了60%以上的流量,视频点播/直播流量也非常大。为此,中海油希望能对这些流量进行有效的控制,且最好这种控制能基于用户的工作角色,并结合工作时段进行精细的控制。
  4. 庞大的用户数量:中海油有2.4万用户,此前在总部使用了NetCache的策略控制方面不够细致,而分支机构使用的ISA软件代理性能低,管理维护麻烦,安全性不好,缓存功能不智能,并发PC数超过200台时,ISA性能急剧降低;而且ISA软件代理支持的协议不完全,缺少P2P、IM、流媒体等协议支持;同时ISA软件代理无法进行有效的带宽管理。

为此,中海油一直不停地寻找合适的解决方案,一方面,在每个分支机构设置独立的互联网出口,但总部需要对这些分支机构的互联网访问具有一定程度的控制权,同时又赋予分支机构一定程度的策略权限,这样将互联网流量从昂贵的广域网链路上剥离,使广域网链路主要用于访问企业的内部应用系统。第二方面,根据信息技术为业务服务的宗旨,对分支机构访问总部的应用系统进行加速,提高工作效率。

解决方案:
Blue Coat经过与中海油进行详细讨论后,建议并实施了如下图所示的解决方案。


     中海油渤海分公司设置独立的互联网出口,并部署Blue Coat SG 8100-B,在中海油总部的互联网出口部署Blue Coat SG 8100-C。这两台SG分别管理辖区内用户的上网安全及执行安全控制策略,对用户上网行为进行细化到每个用户的个性化管理。按用户/用户组管理BT下载、MP3下载带宽等;同时,当渤海分公司的用户访问总部数据中心的内部应用时,这两台SG将形成Blue Coat MACH5加速通道。
     图中,中海油总部及渤海分公司的网络通过专线互联,Blue Coat SG方案实施前,渤海分公司的所有用户访问内部应用和访问互联网时都通过这条专线从总部的互联网出口上网。使用Blue Coat SG 8100系列分别部署在总部和渤海分公司后,在渤海分公司设置了独立的互联网出口,用户的所有请求,无论是访问内部应用的请求,还是访问互联网的请求都先到Blue Coat SG设备,如上图所示。请求到达Blue Coat SG后,SG将进行智能的判断,如果是访问互联网的请求,则由SG代理其访问,并实施各种安全控制策略;如果是访问总部数据中心的内部应用,则由这两台SG形成加速通道,通过Blue Coat的MACH5广域网加速技术进行加速。在渤海的SG上,SG扮演着双重角色,即既对互联网访问请求执行安全控制策略,又针对内部应用进行广域网加速。
     在渤海分公司的互联网访问控制策略方面,中海油利用了Blue Coat SG的分层的策略管理模型,即总部制定共性的安全策略,作为Blue Coat SG中的Central Policy,其优先级最高,渤海分公司的管理员可以根据其分公司的政策设置个性化的安全策略,总部在制定共性策略时,可决定当分公司的安全策略与共性策略相抵触时,最终以哪个策略为准,因此控制非常灵活。
     为记录用户的上网行为,中海油在总部及渤海分公司分别部署了一台FTP服务器,用于接收Blue Coat SG上传的访问日志,访问日志上传可定时上传(如每天夜里网络空闲时),也可设置为定大小上传,以及日志达到多大时提前启动上传,非常灵活。
     日志上传到FTP服务器后,安装的该服务器上的Blue Coat Reporter将自动对这些访问日志进行用户的上网行为分析及网络带宽使用情况报告。定时生成日报、周报、月报,并可自动Email到相关管理人员的信箱中。Blue Coat Reporter基于B/S架构,有权限的用户可随时联接到Reporter服务器,实时查看网络使用情况。
方案效果:
中海油部署了Blue Coat SG的互联网安全和广域网加速集成的解决方案后,取得了诸多方面的好处,概括起来主要体现在:

  1. 分支机构能够直接接入互联网:部署了Blue Coat SG解决方案后,中海油渤海分公司的用户可以直接从本地的互联网出口访问互联网,而无需通过WAN专线从总部互联网出口访问。这带来的好处是显而易见的,最大的好处是将互联网流量从昂贵的专线上剥离,使专线拥有更多的可用带宽用于访问内部应用的流量传输。其实许多企业一直希望,能够在每个分支机构直接设置互联网出口,以减轻WAN压力,但长期以来担心的问题就是如何保证分支机构的互联网访问安全。而Blue Coat SG解决方案成功地解决了这个难题,总部具有对分支机构访问互联网的策略控制能力,又赋予了分支机构自主的控制权力,实现用户认证及层次化的访问控制策略。
  2. 用户身份认证: Blue Coat SG与中海油的AD域控制器无缝集成,无需另外独立建立用户数据库,实现了基于LDAP的用户认证,所有用户上网前需输入其在企业内的域账号,认证通过后方可上网;此外用户所有的上网行为都以用户名记录在访问日志中,避免了以IP记录用户的不准确性。
  3. 灵活的上网安全策略控制:中海油渤海分公司的用户可以直接从本地的互联网出口上网,本地管理员可以根据公司的上网政策设置相应的控制策略。控制策略可基于用户/用户组、内容类型、时段、协议等属性进行带宽优化和控制。总部可以设置一些共性的策略,下发到各分支机构,与分支机构的本地策略形成层次化的策略管理体系。
  4. 网络使用情况报告:Blue Coat Reporter自动对SG上传的日志生成关于用户上网行为的统计报表,管理员可从自己的邮箱中看到Reporter自动发送的用户上网行为的日报、周报、月报,整个过程完全自动化,简化了管理员的工作。在日志报表访问权限方面,管理员可设置多个不同权限的用户,不同的用户可以看到的报表可以是不一样的,实现了基于角色的管理。
  5. 加速了互联网访问速度:Blue Coat SG在管理用户上网安全的同时,还通过HTTP缓存、流媒体缓存/分流技术加速了用户的互联网访问,同时其代理访问技术使用户在互联网上不可见,确保网络的安全,在实现Web安全使用控制的同时,加速了Web性能,优化出口带宽的使用效率。
  6. 加速了内部应用访问速度:与其他解决方案不同的是,Blue Coat SG不但提供互联网代理访问的精细的安全控制,还具备WAN加速功能,对用户访问内部应用的流量进行加速,这是Blue Coat SG解决方案的独特的功能,这将大大简化企业的网络结构和管理复杂性。Blue Coat WAN加速技术包含了五种先进的加速技术:带宽管理、协议优化、对象缓存、字节缓存、压缩。关于MACH5的详细技术细节,请参见Blue Coat网站:www.bluecoat.com
方便的安全扩展能力:将来,当中海油需要时,可在总部和分支机构的SG上扩展更多的安全应用,如URL网址过滤、Web网页实时病毒扫描、SSL加密内容安全威胁检查等高级安全应用控制。所有这些扩展的安全功能,Blue Coat SG都能保证其延迟在毫秒级,不影响用户的上网体验。
Home   │   About us   │   Product   │   Contact us Copyright 2009 KPT Technology All Rights Reserved .