城域網(wǎng)的客戶比較復(fù)雜,不乏存在著不規(guī)范的上網(wǎng)行為甚至是惡意入侵行為,因此對城域網(wǎng)的客戶進(jìn)行管理非常重要。
案 例 簡 介
某聯(lián)通公司目前已經(jīng)開通的業(yè)務(wù)有GSM130/131和CDMA133移動(dòng)通訊、193長途通訊、165數(shù)據(jù)通訊及17911 VoIP電話等。并在各地市建設(shè)城域網(wǎng),為客戶提供相應(yīng)的網(wǎng)絡(luò)互聯(lián)業(yè)務(wù),并提供電信增值服務(wù)。城域網(wǎng)同樣需要安全系統(tǒng)建設(shè)。
用 戶 名 稱
某聯(lián)通公司
用 戶 類 型
電信
用 戶 簡 介
中國聯(lián)通公司是一個(gè)新興的電信運(yùn)營商,是在中國電信運(yùn)營市場開放的情況下成立的。中國聯(lián)通公司以移動(dòng)業(yè)務(wù)為基礎(chǔ),逐漸拓展到市話、長途、IP、數(shù)據(jù)、尋呼等業(yè)務(wù),成為目前國內(nèi)經(jīng)營業(yè)務(wù)種類最為齊全的電信運(yùn)營商。目前中國聯(lián)通的業(yè)務(wù)范圍包括:移動(dòng)通訊、本地固定通訊、長途通訊及數(shù)據(jù)通訊等業(yè)務(wù)。
用 戶 需 求
1、需要對地市城域網(wǎng)與省公司骨干傳輸網(wǎng)進(jìn)行訪問控制,防止來自外部互聯(lián)網(wǎng)對城域網(wǎng)的攻擊。城域網(wǎng)連接著中國聯(lián)通的骨干傳輸網(wǎng)絡(luò),并與Internet連接。對于某省聯(lián)通城域網(wǎng)來說,所有連接到聯(lián)通骨干網(wǎng)的外部網(wǎng)絡(luò)都是不可信任的,需要防火墻系統(tǒng)的保護(hù)。
2、需要對城域網(wǎng)的服務(wù)器進(jìn)行保護(hù)。
每個(gè)地市城域網(wǎng)都有自己的內(nèi)部網(wǎng)絡(luò)和重要服務(wù)器。服務(wù)器都存在著安全隱患,如果不采取網(wǎng)絡(luò)安全措施,服務(wù)器就可能來自各個(gè)互聯(lián)網(wǎng)絡(luò)的攻擊,因此需要防火墻系統(tǒng)的保護(hù)。
3、需要對城域網(wǎng)的客戶進(jìn)行有效管理。
城域網(wǎng)的客戶比較復(fù)雜,不乏存在著不規(guī)范的上網(wǎng)行為甚至是惡意入侵行為,因此對城域網(wǎng)的客戶進(jìn)行管理非常重要。比如,通過防火墻的NAT地址轉(zhuǎn)換、IP/MAC地址綁定、訪問日志的記錄、審計(jì)等等功能,可對城域網(wǎng)的客戶進(jìn)行有效的管理。
技 術(shù) 路 線
解決方案
綜述
東軟股份通過在某省聯(lián)通地市城域網(wǎng)上配置防火墻系統(tǒng)并設(shè)置有效的安全策略將達(dá)到以下目標(biāo):
1、保護(hù)基于某省聯(lián)通的城域網(wǎng)業(yè)務(wù)不間斷的正常運(yùn)作,包括構(gòu)成城域網(wǎng)網(wǎng)絡(luò)的所有設(shè)施、系統(tǒng)、以及系統(tǒng)所處理的數(shù)據(jù)(信息)。
2 、某省聯(lián)通地市城域網(wǎng)系統(tǒng)中的重要信息在可控的范圍內(nèi)傳播,即有效的控制信息傳播的范圍,防止重要信息泄露給外部的組織或人員,特別是一些有目的的競爭對手組織。
信息系統(tǒng)的安全是一個(gè)復(fù)雜的系統(tǒng)工程,涉及到技術(shù)和管理等多個(gè)層面。為達(dá)成以上目標(biāo),東軟股份將在充分調(diào)研和分析比較的基礎(chǔ)上采用合理的技術(shù)手段和產(chǎn)品以構(gòu)建一個(gè)完整的安全技術(shù)體系,同時(shí)通過與某省聯(lián)通工作人員的共同工作,協(xié)助某省聯(lián)通建立完善的城域網(wǎng)絡(luò)安全管理體系。
防火墻產(chǎn)品選型推薦
通過對某省聯(lián)通城域網(wǎng)網(wǎng)絡(luò)的應(yīng)用情況及實(shí)際拓?fù)浣Y(jié)構(gòu)的了解,我們注意到,城域網(wǎng)未來將提供越來越多的增值服務(wù),如視頻服務(wù)、在線游戲等等。這些服務(wù)器資源使用非常集中,對時(shí)效性要求非常強(qiáng),會(huì)對網(wǎng)絡(luò)的傳輸帶寬要求很高,因此推薦的防火墻產(chǎn)品不能對網(wǎng)絡(luò)的性能有較大的影響。
目前黑客(甚至某些計(jì)算機(jī)病毒)對網(wǎng)絡(luò)的攻擊往往利用服務(wù)器應(yīng)用層協(xié)議的漏洞來進(jìn)行。比如黑客可以通過HTTP對WEB服務(wù)器中IIS程序發(fā)動(dòng)攻擊,一旦攻擊成功后,可進(jìn)一步在Web服務(wù)器上安裝特殊的木馬程序建立秘密的HTTP通道,整個(gè)內(nèi)部網(wǎng)絡(luò)就都暴露在黑客的面前。因此推薦的防火墻產(chǎn)品不僅僅具有包過濾的性能,同時(shí)更應(yīng)具有防范應(yīng)用層攻擊的能力,即具有代理防火墻的安全性。
根據(jù)前面的分析,推薦使用東軟集團(tuán)完全國產(chǎn)研制開發(fā)的具有國際先進(jìn)水平的NetEye防火墻系統(tǒng)。該系統(tǒng)是一套軟硬件結(jié)合型防火墻,采用“流過濾”技術(shù),同時(shí)具有狀態(tài)檢測包過濾與應(yīng)用代理防火墻的優(yōu)勢,能夠在交換模式與路由模式下工作,其性能、穩(wěn)定性、安全性完全可以滿足某省聯(lián)通城域網(wǎng)網(wǎng)絡(luò)的安全及未來發(fā)展的需求。
某省聯(lián)通地市城域網(wǎng)防火墻具體配置建議
1、放置在整個(gè)城域網(wǎng)與聯(lián)通互聯(lián)網(wǎng)的接口處,防范來自外部的攻擊;
2、保證網(wǎng)絡(luò)的性能不受較大影響;
3、將城域網(wǎng)業(yè)務(wù)服務(wù)器系統(tǒng)放置在防火墻的DMZ區(qū)中,只開放指定端口,這樣可以更好的保證城域網(wǎng)服務(wù)器的安全。
建議在某省聯(lián)通各地市城域網(wǎng)與互聯(lián)網(wǎng)之間分別放置東軟NetEye 防火墻系統(tǒng),將城域網(wǎng)服務(wù)器單獨(dú)放置在防火墻的一個(gè)區(qū)域。考慮到某省聯(lián)通城域網(wǎng)業(yè)務(wù)的迅猛發(fā)展,視頻、在線游戲等增值業(yè)務(wù)是未來的發(fā)展方向,對網(wǎng)絡(luò)帶寬的要求會(huì)越來越高,因此我公司建議配置千兆防火墻,以滿足近兩年地市城域網(wǎng)的發(fā)展需求,具體型號為NetEye 4200G.。并配置為雙機(jī)熱備方式。具體配置圖如下:
成 果
東軟在NetEye防火墻中以狀態(tài)檢測包過濾為基礎(chǔ)實(shí)現(xiàn)了一種我們稱之為“流過濾”的結(jié)構(gòu),其基本的原理是在防火墻外部仍然是包過濾的形態(tài),工作在鏈路層或IP層,在規(guī)則允許下,兩端可以直接的訪問,但是對于任何一個(gè)被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的TCP會(huì)話,數(shù)據(jù)是以“流”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話,由于防火墻的應(yīng)用層策略位于流的中間,因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話,從而起到了與應(yīng)用代理防火墻相同的控制能力。比如在NetEye防火墻對SMTP協(xié)議的處理中,系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對郵件的存儲(chǔ)轉(zhuǎn)發(fā),并實(shí)現(xiàn)豐富的對SMTP協(xié)議的各種攻擊的防范功能。
