三星以安全、稳定服务电信移动BOSS
XX省移动业务支撑系统改造工作已全面结束,已经由原先的计费集中、营帐独立的模式改为大集中的模式,目前所有系统已经投入实际运行并逐步进入稳定期。各个系统均采用集中方式建设,即全省只设置一个中心,地市设置终端,通过网络接入到省中心。企业统一信息平台系统和新BOSS系统的设备均设置于省会移动XX枢纽楼机房,客服系统的排队机、坐席设置于省会XX机房。原BOSS系统设置于省会机房。为有效保证各系统机密性、完整性以及可用性的安全,实现基于策略、基于角色的安全核心保护,将进行XX省移动业务支撑网安全系统建设。
一、网络环境简介 l BOSS网络 l 企业信息平台网络 l 客服系统网络 l 经营分析网络 l 网管网络
l MIS子网
BOSS系统内部防火墙(带vpn)和企业信息平台系统对外VPN网关:包括4台核心防火墙(带VPN功能),18台地市防火墙(带VPN功能),经营分析系统、客服系统各2台防火墙(带VPN功能),企业信息平台和网管系统1台,BOSS系统和企业信息平台各约20个客户端软件。
目前XX省移动计费业务网络建设基本完成。OA、客服、会计电算化等系统挂在计费网络平台上,即由移动计费网为其提供广域网平台。各系统仍然保持原有的独立性。
BOSS系统所有小型机以千兆光纤方式分别连接在两个CISCO65xx交换机上,核心路由器CISCO7xxx和交换机CISCO65xx之间通过此次项目选用的VPN网关采用插连的方法,在网络上实现冗余链路,达到网络连接可靠性的目的。通过光纤交换机完成地市传输汇总与各地市路由器互联,并与老Bo系统通过完成异地容灾。将经营分析、承载平台网络、客服网络、交换网管、省会各营业厅、与集团公司互连网及与银行系统互连的网络等其它网络连接在CISCO65xx和路由器CISCO75xx上,通过在加设防火墙和启动放置在子系统内部VPN的防火墙功能达到网络安全的目的。在各地市的网络连接中,分别在与省中心CISCO72xx和CISCO72xx路由器后加入VPN,启动其上的防火墙功能,在必要时使用其上的入侵检测功能做必要的安全防护。
二、方案简介
三星为XX省移动提供了NXG系列防火墙产品来满足对BOSS系统的数据加密,安全传输,防火墙功能及内置入侵检测的需求。
本方案中我们建议在省中心机房采用4台千兆型防火墙,在每个地市中心采用2台百兆型型防火墙。
其中2台百兆防火墙在旧BOSS处,2台防火墙在新BOSS处,都进行高可用性设计,以保证中心端的不间断性,每个地市也都采用两台2NXG100进行高可用结构,保证地市端和中心端的线路通畅。
采用了高速加密芯片的NXG产品,可以进行3DES高速加密。NXG采用168位3DES加密算法,SHA-1和MD5算法,在XX省移动枢纽机房进行的实际环境下的测试表明,在开启了VPN、IDS等功能后,整个传输效率损耗低于11%,中心端效率的损失也没有超过3%。完全可以保证XX省移动的实际需求。
1、必要性
目前XX省移动的整个BOSS系统及其各地的采集点都是通过XX省移动的内网进行明文传输的。在这种模式下,所有重要的业务数据都是不经过任何保护措施的,移动内部的任何用户都有条件监听到这些数据,并可以通过黑客工具对这些数据进行分析破解甚至篡改,而这类工具是在Internet中可以非常容易获得的。
通过VPN进行了3DES加密后的业务数据具有168位高加密程度,目前最高级的计算机对这种加密算法进行破解时,也至少需要一个月以上的时间,也就是说即使有人企图对业务数据进行窃取或篡改,也要花费几个月甚至更长的时间,这时这些数据已经存储进BOSS主机中,并进行了相应的处理。由于丧失了实效性,这些业务数据对我们来说已经丧失了重要性,即使被破解也已经无关紧要。
信息安全不仅要保证数据在传输过程中的安全,也要保证保存数据的主机的安全,采用防火墙不仅可以满足对业务主机的访问控制,以防止不必要的内网用户对BOSS主机的访问,也可以防止来自内部网络的网络病毒和各种攻击,比如近日正在爆发的冲击波等病毒,都是不断的利用网络中的一些服务协议进行广播,如果BOSS主机不进行相应的防范,必然会造成的这种攻击:轻则增加BOSS服务器无谓的系统负担,重则会破坏BOSS服务器的操作系统而引发重大事故,对移动公司造成重大的损失。
由于BOSS业务是移动公司最重要的业务系统,决不能出现停机和中断,所以不仅VPN设备必须达到电信级网络设备和路由设备的高稳定性,还必须采用双机设备或高可用性等冗余设计,以保证7×24小时的不间断运行。
2、方案拓扑
三、特点说明
Internet网关是XX省移动内网同Internet进行连接的唯一通道,来自Internet的各种攻击和非法访问请求多不胜数,所以在Internet网关处配置高性能防火墙显然是必须之举。我们建议在Internet网关处增加百兆型防火墙以满足XX省移动内部上网的需要、XX省移动企业信息发布的需要和出差人员远程安全访问内部OA系统和BOSS系统的需要。
百兆型防火墙可以提供200000个并发会话能力,并有很强的抗攻击能力和日志分析能力,是一款非常适合配置在大型企业内网网关处的防火墙。内置的强大VPN功能,又可以满足最多5000个移动用户的VPN接入需要,完全可以满足目前的VPN接入需求和未来几年内的需求增长。
1、三星NXG产品特点
l 线速防火墙,具有极高的性能,不受安全策略数量的影响,安装前后网络速度几乎没有变化;
l 内核层处理数据包、极大降低应用层的负荷; l 多线程代理方式;
l 面向网络对象的安全策略管理;
l 静态策略与动态策略的实时响应,保障防火墙的性能和安全;
l 是目前为止国内真正完全实现VPN核心技术中IKE与IPSEC协议的全部功能,完全符合IETF的IKE/IPSEC协议标准(RFC240
1、RFC240
2、RFC240
6、RFC240
7、RFC240
8、RFC2409),支持各种认证(X509V
3、PKCS)、加密算法(DES、3DES、BLOWFISH、RSA、Diffie-Hellman)及数字签名算法(MD
5、SHA-1)。而其他一些VPN产品,仅实现了上述协议的部分功能。 l 是真正意义上的点对点的VPN产品,即支持主机——主机、主机——网关、网关——网关或子网——子网的安全通讯。而不是象其他一些VPN产品,仅仅实现了子网——子网的VPN。
l 支持动态IP环境下的VPN通道; l l l l 支持多个接口及VLAN,适合多种网络结构;
基于应用程序的扩展状态检测,提供更多的应用扩展支持;
高速内容过滤功能,绑定URL、设定内容过滤,实时反映安全策略; 即使不使用专门的IDS(入侵检测系统),也可以检测到多种入侵行为,确保防火墙的安全运行;
l 透明HTTP代理,锁定有害的Java/ActiveX及CGI代码; l SMTP代理,锁定邮件地址、内容过滤、防病毒,保护邮件安全; l 多种NAT方式,节约合法IP资源,隐蔽内部网络的拓扑结构;
l 剥离DNS,防止DNS欺骗,为可信网络和不可信网络提供安全的DNS服务; l 优化带宽使用方式,确保关键应用使用充足的带宽;
l 支持SNMP协议,与HP Openview的网络管理系统(NMS)兼容; l 提供多种负载均衡方式,支持OSPF动态路由协议; l 支持网桥模式和路由模式的防火墙实施方案;
l 无需L4交换机、无需增加模块就可实现双机热备(Active-Standby)、负载均衡(Active-Active)的高可用性解决方案;
l 使用简单明了的中文图形界面及字符界面,安全管理员可以集中管理、执行安全策略; l 多种审计、日志、报警及报告功能,管理更方便; l 时间表策略,使安全管理自动化。
l 由于沿用IETF特性和标准,与其他任何网络上的标准VPN解决方案兼容,具有很强的可互用性。
l 安全机制配置在传输层之下,对应用软件与用户是透明的。
l 配置VPN无需更改应用软件和重新培训应用层用户,使用方便。
l 提供各种安全服务:数据保密性、数据完整性、数据来源认证、动态重置密钥、身份识别与保护及防重发保护等。
l 免除专用网投资,实现专用网的性能。 l 可升级;可扩展;可互用。
l 采用堆叠方式可扩充速度及提高并发处理能力。 l 适用性强,可适用于任何网络上通信安全要求。
l 标准、完备的内部CA子系统对VPN认证进行强化支撑,并提供标准接口以连接符合国际标准的RADIUS、PKI、LDAP等第三方CA或认证支持系统。 l 完善的审计日志功能。
l 远程安全配置VPN系统的功能。 l 抗开机密码及配置保护功能。
l 四级安全管理员权限划分与管理。
l 基于USB技术的客户端密钥及证书管理系统。 l 10/100T BASE 以太网自适应接口。
l 断电保护与自恢复。
l 支持1000~25000网关及CLIENT用户配置管理,100~1500并发用户管理及扩展。 NXG防火墙的VPN接入方式
2、产品对网络和系统的影响
随着XX省移动公司的不断发展,网络规模也不断增大。在网络建设的过程中,网络安全也越来越重要。为了更好地建设XX省移动网络,保证网络的安全、可靠,遵循国际国内安全标准规范,保障产品在网络应用后不对现有正常业务造成影响(如宕机、访问速度比正常情
况延长5秒以上等)。我们对项目实时对现有系统产生的影响作以了测试和评估。 应用三星的VPN产品后,对现有XX省移动网络的整体性能没有超出要求标准,在模拟测试中我们的产品还取得了良好的测试表现。在XX省移动模拟环境中,NXG本身的VPN性能和防火墙性能都远远超过了专线带宽的承载能力,在运行环境中不会构成瓶颈,在开启了VPN、IDS等功能后,整个传输效率不会低于89%,中心端效率的损失也没有超过3%。完全满足XX省移动对VPN设备的性能要求。
3、产品对网络和系统的应急恢复考虑
在网络设计和产品应用上,三星VPN设备充分考虑了系统的应急恢复和高可靠性。
VPN系统一般安装在可信网络和不可信网络的边界上,所有进出受控网络的流量集中在这一点上,要求产品系统故障率越低越好,一旦发生故障必须能迅速恢复。NXG产品提供多机热备份功能(High Availability 以下称为 HA)和负载均衡功能(Load Balancing 以下称为 LB)。
NXG可以在多种模式下实现HA。NXG支持路由模式和网桥模式的网络结构,在路由模式下支持Active–Active的HA结构;在网桥模式下可以实现Active-StandBy以及Active-Active的HA结构。使用Active-Active方式,两台(或多台)NXG可同时为网络提供安全服务,提高了数据包处理的效率与吞吐量,也平衡了网络负载,优化了网络性能。
同时在NXG产品上有配置保存和恢复应用功能,使得网络管理人员可随时保存和应用现有的配置文件。做到应急恢复和灾难配置保护,并给管理人员在管理和配置设备上提供了极大的方便。
