在2007年春节即将到来的时候，千家万户都沉浸在节日的喜庆气氛中，而重庆港务局防火墙因业务量增长迅猛，随时有崩溃的危险，情况万分紧急。曙光公司重庆平台了解到此情况后，立即与总部信息安全事业部联系，得到公司总部的积极相应和配合，第二天就紧急空运了一台天罗TLFW-100S防火墙，与用户配合对防火墙进行安装调试，并进行了网络割接，确保网络畅通。曙光公司重庆平台在第一时间解了用户的燃眉之急，为曙光树立了良好的品牌形象，曙光防火墙产品也以优异的性能和良好的适应能力获得用户认可，重庆港务局网络安全改造项目确定将陆续采购多台曙光天罗防火墙以增强内网安全。

港务系统重中之重，安全改造迫在眉睫

   重庆港系国家一类口岸，主要从事港口装卸、客货运输、水陆中转、仓储服务、物流配送、酒店旅游等多种综合性经营服务。重庆港务物流集团是具有现代企业制度雏型的大型国有独资企业，是重庆市重点企业。

美丽的重庆港

 重庆港务物流集团的网络组建于1996年，它不仅连接着港务集团的办公网络，而且与下属各级单位连通，是整个重庆港业务运转必不可少的信息载体。其网络结构和系统应用复杂多样：重庆港务物流集团网络由集团中心网络和下属单位局域网组成，上行出口通过防火墙与Internet连接。防火墙在整个集团的网络安全体系中处于桥头堡的地位，具体拓扑结构如下图所示：


曙光天罗防火墙：一夫当关，保护内网安全

  根据重庆港务局网络安全性的要求，在内网和外网连接的出入口配置曙光天罗防火墙，并根据港务局应用服务的种类设定恰当的安全规则，从而保证内网安全不受侵害：

  首先，防火墙处于内外网的连接关口，可以为网络提供较高的基础安全服务，如：防止端口扫描、DDOS攻击等攻击数据包、控制用户网络访问行为、过滤P2P协议数据、建立带宽管理机制，对不同的外出访问占用的带宽进行统一的分配、抗IP欺骗，防止其他接口区域的IP被此接口区域内的主机冒用等等。

  其次，内网通过防火墙访问外网采用地址转换（SNAT）技术，外出访问的数据包出去的时候改变原地址（SNAT）；数据被动回来通过防火墙进入内网的时候改变目的地址（UN SNAT)。这样，就可以对外网屏蔽内部网络包括IP地址，网关等任何内网信息，从而提高了网络的安全性。

再次，港务局网络服务器应用种类繁多，为提高网络服务的安全性，采用地址映射技术隐藏内部网络结构。用户访问服务器对外提供的服务，目的地址为防火墙网口地址，防火墙将访问服务器对进出的数据进行相应的地址转换（DNAT）。这样，即保证了网络访问的正常，又能有效地保护对外服务器的安全。

 此外，从拓扑图上可以看出，移动办公和下属单位上行连接到集团网络中心，都是通过信任度较低的Internet互联网络。在后续的项目中，将采用曙光防火墙内置的VPN功能，为集团中心和下属单位构建专用的加密隧道，防止异地互联时产生的数据泄密风险。

“四高”护航，全面满足应用需求

  曙光天罗防火墙以其优异的性能、全面的功能以及良好的网络兼容性获得了重庆港务局用户的高度评价。曙光防火墙的突出特点可以概括为高安全性、高可靠性、高性能、高适用性的“四高”特点。

 重庆港务集团项目的成功实施，为曙光网络安全产品在物流行业的应用和推广提供了典型的案例，树立了良好的典范。