城域網的客戶比較復雜,不乏存在著不規(guī)范的上網行為甚至是惡意入侵行為,因此對城域網的客戶進行管理非常重要。
案 例 簡 介
某聯通公司目前已經開通的業(yè)務有GSM130/131和CDMA133移動通訊、193長途通訊、165數據通訊及17911 VoIP電話等。并在各地市建設城域網,為客戶提供相應的網絡互聯業(yè)務,并提供電信增值服務。城域網同樣需要安全系統(tǒng)建設。
用 戶 名 稱
某聯通公司
用 戶 類 型
電信
用 戶 簡 介
中國聯通公司是一個新興的電信運營商,是在中國電信運營市場開放的情況下成立的。中國聯通公司以移動業(yè)務為基礎,逐漸拓展到市話、長途、IP、數據、尋呼等業(yè)務,成為目前國內經營業(yè)務種類最為齊全的電信運營商。目前中國聯通的業(yè)務范圍包括:移動通訊、本地固定通訊、長途通訊及數據通訊等業(yè)務。
用 戶 需 求
1、需要對地市城域網與省公司骨干傳輸網進行訪問控制,防止來自外部互聯網對城域網的攻擊。城域網連接著中國聯通的骨干傳輸網絡,并與Internet連接。對于某省聯通城域網來說,所有連接到聯通骨干網的外部網絡都是不可信任的,需要防火墻系統(tǒng)的保護。
2、需要對城域網的服務器進行保護。
每個地市城域網都有自己的內部網絡和重要服務器。服務器都存在著安全隱患,如果不采取網絡安全措施,服務器就可能來自各個互聯網絡的攻擊,因此需要防火墻系統(tǒng)的保護。
3、需要對城域網的客戶進行有效管理。
城域網的客戶比較復雜,不乏存在著不規(guī)范的上網行為甚至是惡意入侵行為,因此對城域網的客戶進行管理非常重要。比如,通過防火墻的NAT地址轉換、IP/MAC地址綁定、訪問日志的記錄、審計等等功能,可對城域網的客戶進行有效的管理。
技 術 路 線
解決方案
綜述
東軟股份通過在某省聯通地市城域網上配置防火墻系統(tǒng)并設置有效的安全策略將達到以下目標:
1、保護基于某省聯通的城域網業(yè)務不間斷的正常運作,包括構成城域網網絡的所有設施、系統(tǒng)、以及系統(tǒng)所處理的數據(信息)。
2 、某省聯通地市城域網系統(tǒng)中的重要信息在可控的范圍內傳播,即有效的控制信息傳播的范圍,防止重要信息泄露給外部的組織或人員,特別是一些有目的的競爭對手組織。
信息系統(tǒng)的安全是一個復雜的系統(tǒng)工程,涉及到技術和管理等多個層面。為達成以上目標,東軟股份將在充分調研和分析比較的基礎上采用合理的技術手段和產品以構建一個完整的安全技術體系,同時通過與某省聯通工作人員的共同工作,協助某省聯通建立完善的城域網絡安全管理體系。
防火墻產品選型推薦
通過對某省聯通城域網網絡的應用情況及實際拓撲結構的了解,我們注意到,城域網未來將提供越來越多的增值服務,如視頻服務、在線游戲等等。這些服務器資源使用非常集中,對時效性要求非常強,會對網絡的傳輸帶寬要求很高,因此推薦的防火墻產品不能對網絡的性能有較大的影響。
目前黑客(甚至某些計算機病毒)對網絡的攻擊往往利用服務器應用層協議的漏洞來進行。比如黑客可以通過HTTP對WEB服務器中IIS程序發(fā)動攻擊,一旦攻擊成功后,可進一步在Web服務器上安裝特殊的木馬程序建立秘密的HTTP通道,整個內部網絡就都暴露在黑客的面前。因此推薦的防火墻產品不僅僅具有包過濾的性能,同時更應具有防范應用層攻擊的能力,即具有代理防火墻的安全性。
根據前面的分析,推薦使用東軟集團完全國產研制開發(fā)的具有國際先進水平的NetEye防火墻系統(tǒng)。該系統(tǒng)是一套軟硬件結合型防火墻,采用“流過濾”技術,同時具有狀態(tài)檢測包過濾與應用代理防火墻的優(yōu)勢,能夠在交換模式與路由模式下工作,其性能、穩(wěn)定性、安全性完全可以滿足某省聯通城域網網絡的安全及未來發(fā)展的需求。
某省聯通地市城域網防火墻具體配置建議
1、放置在整個城域網與聯通互聯網的接口處,防范來自外部的攻擊;
2、保證網絡的性能不受較大影響;
3、將城域網業(yè)務服務器系統(tǒng)放置在防火墻的DMZ區(qū)中,只開放指定端口,這樣可以更好的保證城域網服務器的安全。
建議在某省聯通各地市城域網與互聯網之間分別放置東軟NetEye 防火墻系統(tǒng),將城域網服務器單獨放置在防火墻的一個區(qū)域。考慮到某省聯通城域網業(yè)務的迅猛發(fā)展,視頻、在線游戲等增值業(yè)務是未來的發(fā)展方向,對網絡帶寬的要求會越來越高,因此我公司建議配置千兆防火墻,以滿足近兩年地市城域網的發(fā)展需求,具體型號為NetEye 4200G.。并配置為雙機熱備方式。具體配置圖如下:
成 果
東軟在NetEye防火墻中以狀態(tài)檢測包過濾為基礎實現了一種我們稱之為“流過濾”的結構,其基本的原理是在防火墻外部仍然是包過濾的形態(tài),工作在鏈路層或IP層,在規(guī)則允許下,兩端可以直接的訪問,但是對于任何一個被規(guī)則允許的訪問在防火墻內部都存在兩個完全獨立的TCP會話,數據是以“流”的方式從一個會話流向另一個會話,由于防火墻的應用層策略位于流的中間,因此可以在任何時候代替服務器或客戶端參與應用層的會話,從而起到了與應用代理防火墻相同的控制能力。比如在NetEye防火墻對SMTP協議的處理中,系統(tǒng)可以在透明網橋的模式下實現完全的對郵件的存儲轉發(fā),并實現豐富的對SMTP協議的各種攻擊的防范功能。
