北京联通网络 思科安全高级服务建议书
思科系统(中国)网络技术有限公司
2009年4月
© 2008 思科系统(中国)网络技术有限公司 版权所有。
第 Page 1 of 10 页
内容提要
1 思科对北京联通网络的理解 ........................................................................3 2 北京联通2008年网络安全服务汇总 ............................................................3 3 北京联通2009年网络安全服务建议 ............................................................6 3.1 特别定制的网络安全服务 .....................................................................6 4 思科安全服务在北京联通网络安全保障工作中价值分析 .............................9 4.1 思科全球安全设计的最佳实践 ..............................................................9 4.2 全球网络安全事件和最新网络安全技术经验分享 ...............................10 4.3 优化和定制安全策略 ..........................................................................10 4.4 注重网络整体的安全 ..........................................................................10 4.5 持续的优化服务 .................................................................................10
© 2008 思科系统(中国)网络技术有限公司 版权所有。
第 Page 2 of 10 页
1 思科对北京联通网络的理解
北京联通骨干网络承载着北京联通地区重要的数据和语音业务, 网络的安全、可靠运行对网络尤为重要。因此如何更好地保障网络的安全和稳定运行是一件迫在眉睫的头等大事,可以说是我们目前的网络体系和运行支持体系的一大考验。
思科作为北京联通网络的主流供应商,我们非常愿意同与北京联通的同仁们一道利用我们成熟的技术,强大的技术支持体系, 尖端的技术人才来并做一些必要的预防性的安全工作, 尽可能地将网络隐患消灭在萌芽中,同时在出现故障时提供有效的技术支持。
2 北京联通2008年网络安全服务汇总
2008年8月举世瞩目的奥运会在中国北京胜利举行。作为北京奥运的官方 指定的合作伙伴,北京联通抓住了这一历史机遇,成功地完成奥运通讯保障任务,极大地提高了通讯保障能力,提高了品牌影响力和国际声誉。
思科公司完全理解此次奥运保障工作的重要意义,作为全球领先的网络设 备供应商,思科公司与联通强强联手,一道面对并胜利完成了重大网络安全保障任务。
思科公司参加过联通的多次网络重保工作,包括两会这样的重要保障工 作。但此次奥运重保的要求是以往重保所不能比拟的,因此北京联通及思科公司都把奥运重保放在了公司运作的最高优先级,投入了空前的力量。在赛前,我们针对网络安全的要求进行了全面的网络加固,下面详细对北京联通网络安全加固作全面的总结。
本次网络加固的主要工作如下:
© 2008 思科系统(中国)网络技术有限公司 版权所有。
第 Page 3 of 10 页
以下是宽带及互联网中心的网络加固汇总:
1.优先级为一的,必需在奥运会前部署的任务(总共6个)
思科设备安全配置优化 (共3个优先级,全部完成)
---互联网中心 对160台思科设备(含CRS-1)进行安全配置检查及优化,涉及并部署130条安全配置优化规则。
---宽带中心 对330台思科设备进行安全配置检查及优化,涉及并部署 90条安全配置优化规则。
BGP协议安全策略
---互联网中心对于BGP路由控制协议,最终全网增加部署三类安全规则(max-prefix limit/prefix-list,max-as limit,Community) ---宽带中心 因为只跟互联网中心启用BGP路由控制协议,所以未部署BGP协议安全策略。
GSR设备专用CPU安全防护功能rACL配置
---互联网中心对28台GSR部署,涉及安全防护条目共6大类约100条。(部分设备约200条)。
---宽带中心 对4台GSR部署,涉及安全防护条目共6大类约60条。
© 2008 思科系统(中国)网络技术有限公司 版权所有。
第 Page 4 of 10 页
GSR设备专用ToFAB WRED 缓存资源保护功能(防止DDOS带宽攻击对路由及转发的影响) ---互联网中心对28台GSR部署,涉及8类业务流量 ---宽带中心 对4台GSR部署, 涉及8类业务流量
7600 专用硬件限速安全功能,用来保护CPU资源
---互联网中心对67台7600部署,涉及8类11种异常流量 ---宽带中心 对4台7600部署,涉及8类11种异常流量
7600 专用CoPP安全防护功能,用来保护CPU资源
---互联网中心对67台7600部署,涉及8类业务95条规则 ---宽带中心 对4台7600部署,涉及7类业务约70条规则
2.优先级为二的,选择性部署的任务(总共5个)
GSR设备专用的CPU防护安全功能dCoPP ---互联网中心对2台奥运GSR 12816 完成dCoPP部署,涉及6类业务约80条规则,并且作为应急响应措施,可以按需要对运行12.0(32)S 以后版本的GSR进行部署.GSR设备专用的 uRPF/SRTBH,用来防止对用户的DDOS流量攻击 ---互联网中心对2台奥运GSR 12816 完成uRPF/SRTBH部署(仅在支持和不影响性能的板卡上), 并且作为应急响应措施,可以按需要在其他GSR上部署(需要支持的软件版本及板卡类型).
奥运GSR 12816 QOS ,用来防止DDOS流量攻击可能引起的链路拥塞及网络协议中断.---互联网中心对2台奥运GSR 12816 完成QOS部署.该模板可作为应急响应措施, 按需要在其他GSR上部署.
组播Multicast RP 7600设备CPU 安全防护解决方案
---互联网中心对2台7600组播Multicast RP部署了CPU 安全防护解决方案,从RP 7600设备本身的专用安全功能,到边缘设备的组播配置,都做了响应的配置要求.
检查及优化iACL 规则及端口配置情况
---对互联网中心检查及优化iACL 规则,并利用自动脚本程序核查iACL 在需要配置(且可以配置)的端口的实际配置情况.
© 2008 思科系统(中国)网络技术有限公司 版权所有。
第 Page 5 of 10 页
以下是北京网通综信和企信网络安全加固项目工作的内容汇总:
1.综合信息中心:
优先级为一的,必需在奥运会前部署的任务(总共5个): IOS推荐与升级
---综合信息 对11台核心设备(GSR,7600,6500)的IOS升级到指定的版本。
思科设备安全配置优化
---综合信息 对91台思科设备(含GSR)进行安全配置检查及优化,涉及并部署70条安全配置优化规则。
GSR设备专用CPU安全防护功能rACL配置
---综合信息 对4台GSR部署,涉及安全防护条目共6大类约100条。
GSR设备专用ToFAB WRED 缓存资源保护功能(防止DDOS带宽攻击对路由及转发的影响) ---综合信息 对4台GSR部署, 涉及8类业务流量
7600 专用硬件限速安全功能,用来保护CPU资源
---综合信息 心对2台7600部署,涉及8类11种异常流量
2.企业信息中心:
企业信息中心 对96台思科设备进行安全配置检查,涉及并部署60条安全配置优化规则。
IOS推荐与升级
---企业信息中心 对13台核心设备(6500,4500)的IOS版本进行了推荐。
3 北京联通2009年网络安全服务建议
3.1 特别定制的网络安全服务
© 2008 思科系统(中国)网络技术有限公司 版权所有。
第 Page 6 of 10 页
综上所述,思科公司在奥运年对北京联通网络作了大量的加固服 务,确保了网络的可靠运行。考虑到2009年的实际情况,随着业务和网络流量的增加, 对网络安全的要求又提出了新的要求,同时结合在去年网络加固服务上的经验,思科公司建议在2009年对北京联通网络提供全面的深层次的安全优化服务,分几个方面说明如下:
第一: 在对去年网络加固的基础上,提供进一步细化和完善北京联通网络的安全配置和架构,主要包括以下方面:
安全设计支持
● 分析网络安全解决方案的目标和要求
● 检查详细设计,包括拓扑图、可伸缩性、冗余和性能
● 检查并弄清硬件和软件要求,包括网络安全管理工具
安全性能优化支持
● 分析设备配置,完善和优化全网的安全配置, 在去年网络加固服务的基础上,
结合当前的业务模型, 优化和微调安全配置的模版
安全变更支持
● 进行计划与测试计划检查
● 分析回退计划
● 检查提出的变更
● 在安排好的变更窗口期间提供支持
参与对安排之外的反应性请求的事后检查,以帮助确定根本原因
安全知识传授服务
收集客户对知识传授的需求
针对高级安全技术进行现场讲解和技术演讲
针对为部署环境定制的指定高级安全技术举行引导式的、教学风格的知识传授会议
© 2008 思科系统(中国)网络技术有限公司 版权所有。
第 Page 7 of 10 页
第二:通过对现有网络的流量分析和网络弹性分析,确保网络的架构安全。
从微观上考虑:对北京联通的现有网络流量进行分析,通过Netflow技术或思科SCE设备分析出不同类型的流量类型和流量间的关系, 便于验证和优化第一阶段的设备安全配置模版, 加强安全的管理。
从宏观上考虑:对网络的高可用型进行弹性分析, 最终目标是识别当前 北京联通网络的基础结构中的差距或需要优化的地方,保证网络的安全性。将搜集到的北京联通网络数据输入到多种工具中,对客户的网络基础结构进行详细的弹性分析和建模并进行以下方面的分析: 网络组件分析 • 模块性 • 可扩展性 • 硬件置换
• 硬件设备可用性分析
网络拓朴
• 网络冗余 • 网络多样性 • 网络层次结构
• 网络可用性路径分析
协议和配置弹性 • IP 协议弹性
• 第二层生成树弹性 • 配置弹性
• 高可用性功能 • 网络故障分析
网络服务弹性 • DNS 弹性 • DHCP 弹性 • NTP 弹性
© 2008 思科系统(中国)网络技术有限公司 版权所有。
第 Page 8 of 10 页
• AAA 弹性
通过弹性分析使得对北京联通的网络基础结构的当前状态有了一个整体而全面的了解。通过实施适当的硬件平台,冗余网络链路和最优配置,最终实现了网络基础结构的高可用性和安全性。
第三:在现有的网络上,对网络的安全管理方法进行优化。
可通过分析MIB库或命令脚本的方式来监控网络的安全情况, 便于运维人员及时的发现和解决网络中的安全问题。
4 思科安全服务在北京联通网络安全保障工作中价值分析
思科是全球网络行业公认的领导者,也是信息安全管理领域众多技术和标准的制订者,在网络业界和行业客户中具有非凡的影响力。思科自身管理和运营着目前全球规模最大、地域分布最广和业务需求最复杂的企业级网络系统之一;思科长期以来高度重视信息安全管理和风险控制,是信息安全管理体系的忠实执行者;思科在中国有着广大的客户基础,强有力的专业服务队伍和良好的商业信誉。
思科安全服务在北京联通网络安全保障工作中的价值主要体现在以下4个方面:
4.1 思科全球安全设计的最佳实践
思科全球安全实践部门(WWWSSP)为全球很多大客户提供了安全设计、实施和优化服务,在此方面积累了丰富的经验和最佳实践据,我们将把这些最佳实践与北京联通的具体情况结合,为北京联通提出科学的、适用的和行之有效的咨询建议。
© 2008 思科系统(中国)网络技术有限公司 版权所有。
第 Page 9 of 10 页
4.2 全球网络安全事件和最新网络安全技术经验分享
通过思科全球安全实践部门的优势,我们可以及时了解到世界各地出现的安全事件,总结其中的经验和教训,及时采取措施,避免北京联通的网络出现同样的安全事件。 4.3 优化和定制安全策略
思科安全专家利用经验和最佳实践,根据网络结构和网络流量, 对安全设备策略进行定制和优化,更好的发挥对网络的保护作用。 4.4 注重网络整体的安全
网络安全是个整体的概念,只有当网络有了整体的安全架构,有效的整体安全策略,和整合的网络安全防御体系,网络才会安全。思科不仅是安全解决方案的提供商,更是全球最大的网络基础架构的提供商,思科将发挥在网络整体架构上的优势,从整体上分析和优化安全,为北京联通提出全面、合理的安全设计和优化方案。 4.5 持续的优化服务
思科为北京联通所提供的是持续的安全优化服务,将有一名至多名网络安全专家与北京联通的安全管理人员一起,持续地为北京联通的安全进行优化和调整,整个服务将贯穿服务和生产周期的全过程,为北京联通安全的提升带来实实在在的效益。
© 2008 思科系统(中国)网络技术有限公司 版权所有。
第 Page 10 of 10 页
