网络安全

“越狱”:思科防止入侵

第五频道的“越狱”节目鼓励人们突出重围,而Cisco Secure PIX防火墙可以抵御入侵

淘汰“幸存者”,拒绝“诱惑岛”,打败“鼹鼠”——在英国,最受欢迎的真实电视节目是一个名为“越狱”的节目。这个节目在第五频道播出,它的主要内容是:在去年九月的三周时间里,几个普通人被拘禁在一个专门建造的监狱中,第一个越狱成功的人将获得巨额奖金——10万或者15万英镑。“越狱”网站是这个节目大获成功的一个极为关键的因素。

“越狱”网站每天24小时地播放“囚犯”们的生活实况,并且让观众可以玩游戏和通过电子邮件向参赛者们提供关于越狱的建议。

尽管第五频道的“越狱”节目制作人员坚信这个节目必将大获成功,但是他们还是对它的网站的受欢迎程度感到吃惊。它每天获得的点击数高达一百万次——仅在第一周就获得了一千万次点击!

“在开播之前,我们预计该网站每天的点击数大约为75万次,并在此基础上建设了该网站和网络连接”,第五频道的IT主管Ken Davis表示,“尽管实际的流量超过了我们的预期,但是这些基础设施仍然成功地完成了任务。”

“由于‘越狱’节目的成功,我们今后在推出每个真实节目时都会开设一个网站。然而我们无法想象在不使用PIX提供保护的情况下开通网站。”
第五频道IT主管 Ken Davis说

第五频道利用GE Capital的信息技术解决方案进行IT项目管理

“越狱”节目制作人员需要在三个月的时间里,在距离伦敦150英里的一个农庄里建造一座“监狱”。这个项目的IT要求包括安装30个广播摄像机、数据库和Web服务器,以及与一个ISP建立连接。“我们需要一个可以帮助我们安装和管理整个系统的公司——一个拥有全面的项目管理能力的公司”, Davis表示,“我们评估了很多机构,最终决定选择GE Capital IT解决方案部门,它是GE Capital的一个下属部门。我们之所以选择他们,是因为他们具有开展大规模项目的经验,真正地管理过与这个计划类似的大型项目。”

GE Capital IT解决方案部门善于利用多种解决方案(包括规划、采购、部署、管理和更新)改进互联网和IT基础设施。

GE Capital IT解决方案部门选择Cisco Secure PIX防火墙

从一开始,安全就是第五频道网站面临的一个难题。“我们的主要目的是将这个节目推广到英国各地”, Davis表示,“我们开展了一项规模庞大的广告计划,包括在地铁站中张贴海报,在电视和媒体上播放广告。因为该网络将会受到广泛的关注,我们需要确保我们拥有足够的安全保障,以防止被黑客闯入或者更改外观。 故此我们需要一个强大的防火墙——它必须具有足够的强度,所以我们决定选择思科的PIX系统。”

也就是说,尽管这个电视节目鼓励参加者越狱,但是该网站必须防止各种类型的入侵。

GE Capital IT解决方案部门的首席网络顾问Ash Kahn Ameri是“越狱”网站建设项目的技术主管。Ash不仅是一位思科认证网络专家(CCNP)、思科认证设计专家(CCDP)、思科认证网络语音专家和安全专家,他还正在努力获得思科认证互联网专家(CCIE)认证资格。

阻止黑客

Ash向第五频道的制作人员介绍了他们必须防范的各种黑客攻击——包括拒绝服务和网站盗窃。他表示,在所有同类产品中,他最倾向于PIX防火墙,因为它工作在第三层——网络层,而不是第七层——应用层。

“当您的防火墙工作在某个操作系统之上时,它就必须依赖于另外一个厂商的产品”,Ash表示,“它们本身肯定存在很多安全漏洞,因为你是在一个存在漏洞的层上增加了另外一个层。然而通过PIX,您可以获得一个专用的系统——它是通过命令行管理的,比其他产品安全得多。对于第五频道的解决方案,我们认为PIX比他们曾经考虑过的Check Point好得多。”

“我向他们解释了原因,就安全性而言,层越低,安全漏洞就越少。这就是为什么选择设备比选择软件应用更安全。我还告诉他们,因为我是技术主管,我倾向于选择Cisco PIX,而他们也都表示同意。”

“当您的防火墙工作在某个操作系统之上时,它就必须依赖于另外一个厂商的产品。它们本身肯定存在很多安全漏洞,因为你是在一个存在漏洞的层上增加了另外一层….对于第五频道的解决方案,我们认为PIX比他们曾经考虑过的Check Point好得多。”GE Capital IT解决方案部门的首席网络顾问Ash Kahn Ameri说

吞吐量:思科的另一个强项

Cisco Secure PIX防火墙的另外一个重要优势是吞吐量——它每天可以处理远高于一百万次的吞吐量。

“每秒钟有大约100Mb的数据从互联网进入该网站”,Ash表示,“我们所使用的PIX的总容量为每秒360Mb,因此我们在任何时候都不会超过PIX的吞吐量极限——我们知道PIX可以成功地处理这些流量。”

PIX的高性能基于一项思科专有的技术,名为“切断代理”,它让PIX可以只查看一个数据分组流中的第一个分组。PIX可以识别和验证第一个分组,继而识别下一个数据流的第一个分组。这种效率为PIX防火墙带来了出色的性能。

“工作在应用层的防火墙必须单独检查每个分组,因此PIX防火墙的吞吐量优势是非常明显的”,Ash指出,“如果您需要使用像Real Audio、MPEG和电影这样的应用,您就应当使用一个PIX,因为一个‘应用过滤器’肯定无法满足您的需要。”

用于确保安全的策略

在将这些设备安装到现场之前,Ash为需要访问该网站的35个厂商制定了一项安全策略。

Ash表示:“他们希望访问该网站,以便重新设计某些部分,删除旧的新闻和添加新的功能。”这些操作当然可能会导致安全漏洞。您敞开的大门越多,防火墙就越脆弱。因此,我们所要做的第一件事就是制定一项安全策略,精确地规定哪些人可以获得访问权限。每个厂商都会被分配一个静态IP地址,而且所有35个厂商都必须使用Secure Shell——一种UNIX加密机制。”

首次出场大获成功!

在这个节目开播的当天晚上,“越狱”网站在节目结束之前相对较为平静。但是随后它突然迎来了超过一百万次点击。自此之后的每个礼拜,在这个节目播完之后都会出现同样的情况,人们会“转台”到Web上,并通过在他们的计算机上收看直播视频,从而真正地延伸这个节目。当电视台在间歇时间播放这个节目和网站的广告时,访问量也会增加。人们还会在每个工作日的早上,在通常设有DSL连接的工作地点访问该网站。(在英国,大部分家庭用户都使用拨号连接。)

Ash指出,PIX可以成功地管理这些流量。“我们注意到,常常突然之间会出现大量的点击,而PIX总是可以出色地管理这些流量。它没有出现过一次错误。”

冠军是……

最后,三位齐心协力的女士率先越狱成功。

Ken Davis表示:“她们非常聪明:她们采用了一些男士想出的办法,但是最终成功地率先越狱,这主要是因为她们非常善于分析线索。男士犯了很多错误,并且还被捉住了。但是PIX是不可战胜的——它始终没有出现任何安全漏洞。”

第五频道对PIX的强大功能留下了深刻的印象,以至于在越狱节目结束之后,他们仍然使用PIX来保护第五频道的企业网站,并为它最新的真实节目“鼹鼠”的网站提供支持。该网站受到了巨大的欢迎,以至于在最近的一项针对英国家庭电视观众的调查中,人们将第五频道网站评为英国最受欢迎的TV网站,它还是访问者每页停留时间最长的网站。尽管这些网站的流量数据十分惊人,PIX仍然成功地完成了任务!

Ken Davis再次表示:“由于‘越狱’节目的成功,我们今后在推出每个真实节目时都会开设一个网站,而且我们无法想象在不使用PIX提供保护的情况下开通网站。”

如需了解更多关于GE Capital IT解决方案的信息,请访问:
欧洲: www.gecits-eu.com/

了解更多网络安全信息。


联系我们