《增值业务安全解决方案.doc》由会员分享,可在线阅读,更多相关《增值业务安全解决方案.doc(12页珍藏版)》请在金锄头文库上搜索。
1、 哈广电增值业务系统安全解决方案哈尔滨有线电视网络有限公司2012年3月目 录1.增值业务系统安全建设思路11.1稳定性11.2安全性11.3实用性12.整体网络设计方案22.1网络整体拓扑方案22.2广电侧系统和通过互联网与其他系统连接的网络安全策略22.3路由协议的选择32.4安全性设置42.5防火墙策略设计63.设备选型73.1网络设备型号(思科方案)73.1.1防火墙型号73.1.2交换机型号73.2网络设备型号(华为方案)83.2.1交换机型号83.2.2防火墙型号83.3网络设备型号(DPtech方案)93.3.1交换机型号93.3.2防火墙型号93.4网络设备厂商介绍91. 增值
2、业务系统安全建设思路整个增值业务中OA、中间业务平台全业务管理系统、网上营业厅、充值卡系统以及新改版的人才、阳光政务、交警查询等系统主要面临两个方向的网络访问,一是通过互联网与外部网络的数据交换,二是广电侧本地终端和广电其他系统的网络互访。按照哈尔滨有线电视增值业务服务器数据流向和服务器运行的稳定性、安全性等多方面进行考虑需对整个增值业务系统的网络安全进行如下的规划。1.1 稳定性增值业务系统安全网络运行的稳定性包括安全设备的稳定性和线路的稳定性,安全设备稳定性采用HA技术保障设备的稳定、OSPF 和VRRP技术保障线路的稳定性。1.2 安全性为了保障整个广电增值业务系统服务集群的安全需要对以
3、上两个方向的网络访问进行有效的限制和隔离,对可能发生的网络入侵事件进行深度检测和阻断。1.3 实用性充分保护好、利用好现有的资源,发挥现有设备的功效,功能完善、兼容性强,安全设备需要多核CPU支持多功能性,保证多种功能的协同工作,最大限度的发挥安全设备的功效。2. 整体网络设计方案2.1 网络整体拓扑方案2.2 广电侧系统和通过互联网与其他系统连接的网络安全策略交换机与防火墙之间采用VRRP状态热备,使两台交换机工作在主-备模式下,为每台服务器提供一个虚拟的缺省网关。当主交换机发生故障Down掉后,另一台交换机会自动接管,使得网络不间断的进行数据转发。两台核心层设备均采用全冗余配置,以确保核心
4、节点的高可靠性。各应用服务器,可通过1000M电口与两台交换机相连接,保证设备的高速接入与数据的快速转发,以及各客户端机的高速访问。双防火墙之间采用HA进行状态同步,在链路切换前,对会话信息进行主备同步(HA);在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。如下图所示,在接入点的位置部署两台防火墙,当其中一台防火墙发生故障时,数据流被引导到另一台防火墙上继续传输,因为在流量切换之前已经进行了数据同步,所以当前业务不会中断,从而提高了网络的稳定性及可靠性。2.3 路由协议的选择 目前业界流行的IGP路由器协议有静态、RIP、OSPF、ISIS等几种
5、,静态和RIP应用在简单、小型的网络中,可扩展性非常小;ISIS则主要应用与运营商的骨干网;而OSPF则是目前应用最广泛的动态路由器协议。 OSPF是Open Shortest Path First(即“开放最短路由优先协议”)的缩写。它是IETF组织开发的一个基于链路状态算法应用在自治系统内部的路由协议。在IP网络上,它通过收集和传递自治系统内部设备的链路状态信息来动态地发现并传播路由。 由于OSPF发展成熟,厂商支持广泛,已经成为世界上使用最广泛的IGP,尤其在企业级网络,也是IETF推荐的唯一的IGP。其他路由协议所能适应的网络和具备的主要优点,OSPF都能适应。 基于路由协议选择的原则
6、和OSPF路由协议的特点,我们建议选择OSPF路由协议做为本系统使用的路由协议。 OSFP的网络通常不能超过100个网络节点,否则因为拓扑表的庞大,计算时间,以及消息扩散时间都会大大增加,并引起严重的网络拥塞。一般情况下,OSPF收敛时间普遍为4秒内。对于小的网络,收敛速度几乎无察觉。迪普防火墙多核处理器+FPGA硬件架构,并行处理技术,大大提升设备对路由信息处理速度,可以将网络的收敛速度控制在3秒内完成,同行业中,该技术处于领先地位。防火墙与松花江光传输设备CISCO6506采用OSPF协议进行传输。OSPF协议对两条链路状态进行检测,即当前链路故障时,自动采用备份链路进行数据传输。2.4
7、安全性设置防火墙是保证网络安全的一道网,在本项目中,防火墙采用多核处理器方式实现防火墙功能和IPS(入侵防御系统功能),对外通过两条线路与外部网络出口相连,通过NAT技术,实现用户对外网的访问;通过防火墙的合理配置,屏蔽内、外部网络的一些非法访问,实现内、外网之间的网络割离。对于外部的服务器和客户端对系统内部局域网中应用服务器的访问,通过3-7层网络特征(如IP地址、端口、MAC、7层特征码等)对外部访问进行严格限制。利用防火墙自带的IPS防御功能,对数据流中隐藏的LAND攻击、Ping of Death、Tear Drop、反向路由检测、Fraggle、Winnuke、TCP Flag、IC
8、MP 不可达、ICMP 重定向、超大ICMP报文源路由、路由记录、tracert、smurf、IP 扫描、端口扫描进行检测和阻断。防火墙区域设计:安全区域区域重点应用区域特点及安全控制策略产品部署OA、全业务后台管理系统等业务应用服务器群互联网等互联网相对有线电视网络属于外部网络,网络结构不透明和潜在威胁不可知,可能发生非法入侵攻击,部署防火墙设备以应对DDOS攻击,同时需要对病毒、木马等应用层攻击进行严密防范。采用端口映射技术将有线电视服务器映射成外网地址与移动公司侧服务器进行通信。并且只开放相应的服务端口,保障有线电视内部网络的安全。高性能防火墙OA、广电全业务管理系统等服务器群内部系统之
9、间互联此处为有线电视公司最为重要的数据安全中心,设置为TRUST区域,对该区域向外和向内的数据流进行严格控制,防止数据盗链和数据扒窃。对外服务采用F5负载均衡服务器,映射虚拟地址,外部主机无法获得内部网络的真实地址,因此可以起到一定保护作用,再通过防火墙制定七层的访问策略严格限制广电内部网络对虚拟地址的访问。高性能防火墙2.5 防火墙策略设计不同安全域之间的访问控制策略由于虚拟化设计而只需考虑各个安全域内出方向策略和入方向策略即可。建议初始策略依据如下原则设定,然后根据业务需求不断调整:l 出方向上不进行策略限制,全部打开l 入方向上按“最小授权原则”打开必要的服务l 允许发自内部地址的双方向
10、的ICMP,但对ICMP进行应用检查(Inspect)l 允许发自内部地址的Trace Route,便于网络诊断l 关闭双方向的TCP Seq Randomization,在数据中心内的防火墙可以去除该功能以提高转发效率l 减少或者不进行NAT,保证数据中心内的地址透明性,便于ACE提供服务l 关闭nat-control(此为默认),关闭xlate记录,以保证并发连接数l 对每个虚拟防火墙的资源进行最大限定:总连接数,策略数,吞吐量l 基于每个虚拟防火墙设定最大未完成连接数(Embryonic Connection),将来升级到定义每客户端的最大未完成连接数。 对于此次工程项目,要求先采用网络
11、分析仪对网络中的数据进行分析收集,整理出4-7层的应用数据流,再按照数据流向和特征进行安全策略设置。3. 设备选型3.1 网络设备型号(思科方案)3.1.1防火墙型号CISCO ASA5520双电源8口 双机ASA5520-K8ASA 5520 防火墙包含:软件 备份, 4GE+1FE, DESASA-180W-PWR-ACASA 180W AC 边缘ASA-VPN-CLNT-NONENo Cisco VPN 客户端软件ASA5500-ENCR-K8ASA 5500 Base Encryption Level (DES)ASA5520-VPN-PLASA 5520 VPN Plus 750 I
12、Psec User License (7.0 Only)CAB-ACCAC电源 (China), C13, GB15934, CCC, 2.5mGLC-LH-SM=单模GE SFP,LC connector LX/LH transceiverSF-ASA-8.4-K8ASA 5500 软件 8.4 for ASA 5510-5550, DESSSM-4GEASA 5500 4端口Gigabit Ethernet SSM卡 (RJ-45+SFP)3.1.2交换机型号CISCO 3750X双电源48口交换机 双机(双电)C3KX-PWR-350WACCatalyst 3K-X 350W AC 电源
13、C3750X-48-IOS-S-EC3750X-48 IP 基本软件至IP高级软件升级C3KX-NM-1GCatalyst 3K-X 1G 上联模块C3KX-PWR-350WAC/2Catalyst 3K-X 350W AC 备份电源CAB-3KX-AC-CNAC 电源 for Catalyst 3K-X (China)CAB-SPWR-30CMCatalyst 3750X 堆叠线 30 CMCAB-STACK-50CMCisco StackWise 50CM Stacking CableS375XVK9TN-12258SECAT 3750X IOS SFP-GE-L=单模1000BASE-L
14、X/LH SFP (DOM)3.2 网络设备型号(华为方案)3.2.1交换机型号5700-52C-EI(需要单独配置上行光口板4*GE口)S5700-52C-EI: 48个10/100/1000Base-T,上行支持41000Base-X SFP、210GE SFP或者410GE SFP卡、双电源,可插拔 / 包转发率:132Mpps / 交换容量:256G3.2.2防火墙型号Eudemon1000E -X3:Eudemon 1000E-X3防火墙吞吐量6 Gbps新建连接数10万最大并发连接数200万ACL规则数3万L2TP/GRE/SSL/IPSec VPN支持IPSec VPN吞吐咯4 GbpsIPSec VPN隧道数15000SSL VPN用户数500MPLS VPN支持GTP隧道数20万IPv6支持虚拟防火墙个数100IPS支持AV支持URL过滤支持反垃圾邮件支持固定接口4GE电接口+4GE Combo扩展插槽数2个FIC槽位尺寸(W x D x H)1U:43656044.2mm重量10KG电压AC:100240V 50/60HzDC:-48-60V最大功率100 WMTBF74.53年3.3 网络设备型号(DPtech方案)3.3.1交换机型号S5500-52C-EI-D双电源48口交换机 双电 双机3.3.2防火墙型号 FW1
