FirePass控制器所提供的远程访问解决方案,能够满足中石化天津公司及其加油站管理员和最终用户的需要,更为关键的是,除了加油站应用之外,中石化信息化系统的其他应用也在逐渐转移到这个远程接入平台上来,而与应用无关的特性让应用感觉不到远程接入设备的存在,真正达到了“简单就是美”的境界。
中石化天津公司是中石化的一个直属骨干销售公司,拥有数百家加油站,随着中石化成品油零售系统电子化的推进,这些加油站都必须通过远程连接到成品油零售系统,以提高了加油站经营管理的科技含量和服务水平,进而增强其竞争力。但是,这些加油站最初是通过远程电话拨号方式上网,来接入成品油零售系统,不仅需要在各个加油站放置大量的制解调器,每个月的电话和上网费用也居高不下,更为关键的是,在网络安全,应用等方面也带来许多问题和隐患。
业务挑战IT
显然,中石化天津公司需要一个更为安全、经济和高可用的网络接入解决方案,比如IPSec VPN或者SSL VPN。这样,从技术实现的方式来看,中石化天津公司对于加油站远程解决方案的需求包括几个方面:
在安全性上,应该使用公开的协议保证信息传输的机密性;还需要完善的客户端安全检查手段:可以根据石油公司的安全策略对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,不符合中石化天津公司的安全策略的客户端不允许接入;同时提供多种身份认证手段,以满足多种应用的需求;让网络接入安全无忧。
在需求定制方面,解决方案需要支持加油站使用的linux客户端;不需要linux客户端提供Java环境,因为中石化使用的linux是定制版本,没有Java环境,如果象某些厂商的解决方案一样需要在每个linux客户端安装Java环境是完全不可行的。
在应用方面,解决方案需要“透明”:能够满足所有基于IP的应用都可以接入,包括基于TCP、UDP的C/S应用以及B/S应用,提供与应用无关的特性,可以使用各种windows平台,包括windows98、windows2000、windows XP、windows2003;同时,需要提供API:以供进一步开发使用。
当然,在降低成本和高可用方面,解决方案也需要有出色表现。例如,现行的电话拨号方式电话费用高达300元/月,应该可以使用ADSL等接入方式降低客户端接入成本;加油站需要7×24小时的远程接入,接入解决方案必须高可用。等等。
要满足上述需求,实在并不轻松。
选对方案解决问题
怎样的解决方案,最适合并充分满足中石化石油公司的需求呢?三年前兴起的IPSEC VPN,主要是面向网络而非应用,并具有许多自身无法克服的缺点:比如,某些地点无法接入;可能引起大量的病毒入侵、木马、Web攻击,等等,从而给用户的网络应用带来系列问题。而且,由于中石化天津公司加油站均采用的是Turbo Linux操作系统,需要在各个加油站部署IPSec VPN网关,造价高昂。最终,中石化天津公司选择了更新的SSL VPN作为加油站远程接入解决方案,采用了F5公司的FirePass产品—一台FirePass4130和一台FirePass FailOver Contoller,将所有加油站连接到石油分公司的成品油零售系统,从而提供面向应用,高可用,高安全和易用的网络应用服务。
SSL VPN接入解决方案使用网络连接方式提供与应用无关的接入方式,对应用完全透明,所有应用均可以和内网应用一致的方式运行,能够满足所有基于IP的应用都可以接入,包括基于TCP、UDP的C/S应用以及B/S应用,可以使用各种windows平台。
同时中石化天津公司还拥有了更安全的接入方式。 FirePass可以对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,从而堵住病毒、木马入侵的途径。与此同时,F5 FirePass可以对接入客户进行各种限制,如可以访问的地址、端口、URL等等。并可以配置成在退出时自动清除高速缓存。
中石化天津公司使用两台FirePass以冗余方式对外提供服务,当一台FirePass出现故障时,另一台将自动承担应用,可以保障网络接入的7×24小时不间断服务。而F5 FirePass不需要客户端提供Java运行环境,只需要客户第一次登录时自动下载一个大约300K大小的Mozilla插件即可,这样不需要中石化天津公司的IT人员去加油站现场即可完成部署,大大减少了工作量,节省了时间成本。这对使用linux定制版本,没有Java环境的加油站来说,可谓是量身定做。另外,大大扩展了客户端的使用便利性。所以,即使中石化天津公司加油站采用的是linux是定制版本,也无后顾之忧。
追求简单
中石化天津公司信息化负责人告诉记者,相对于传统的电话拨号接入,以及IPSec VPN和其他的SSL VPN接入解决方案,F5 FirePass控制器所提供的远程访问解决方案能够满足中石化天津公司及其加油站管理员和最终用户的需要。采用FirePass解决方案,能够为加油站提供安全、可靠、直接的远程访问能力;而不必花费大量时间进行客户端软件安装及配置,或修改服务器端的应用。 F5灵活的、可扩充的解决方案可以非常简便地适用于任何网络;在提供无可比拟的对网络资源的控制方面的同时,大大节省了时间与金钱。
在经过中石化天津公司及其加油站几个月的正式运行后证明,F5的解决方案具有最高的投资回报比。在充分解决了安全性的后顾之忧的情况下,大幅降低了接入费用,系统运行可靠,从未发生一次停机。更为关键的是,除了加油站应用之外,中石化信息化系统的其他应用也在逐渐转移到这个远程接入平台上来,而与应用无关的特性让应用感觉不到远程接入设备的存在,真正体现了“简单就是美”的境界。
