电信类方案

发布 2022-03-06 03:15:28 阅读 9800

三星以安全、稳定服务电信移动boss

xx省移动业务支撑系统改造工作已全面结束,已经由原先的计费集中、营帐独立的模式改为大集中的模式,目前所有系统已经投入实际运行并逐步进入稳定期。各个系统均采用集中方式建设,即全省只设置一个中心,地市设置终端,通过网络接入到省中心。企业统一信息平台系统和新boss系统的设备均设置于省会移动xx枢纽楼机房,客服系统的排队机、坐席设置于省会xx机房。

原boss系统设置于省会机房。为有效保证各系统机密性、完整性以及可用性的安全,实现基于策略、基于角色的安全核心保护,将进行xx省移动业务支撑网安全系统建设。

一、 网络环境简介。

l boss网络。

l 企业信息平台网络。

l 客服系统网络。

l 经营分析网络。

l 网管网络。

l mis子网。

boss系统内部防火墙(带vpn)和企业信息平台系统对外vpn网关:包括4台核心防火墙(带vpn功能),18台地市防火墙(带vpn功能),经营分析系统、客服系统各2台防火墙(带vpn功能),企业信息平台和网管系统1台,boss系统和企业信息平台各约20个客户端软件。

目前xx省移动计费业务网络建设基本完成。oa、客服、会计电算化等系统挂在计费网络平台上,即由移动计费网为其提供广域网平台。各系统仍然保持原有的独立性。

boss系统所有小型机以千兆光纤方式分别连接在两个cisco65xx交换机上,,在网络上实现冗余链路,达到网络连接可靠性的目的。通过光纤交换机完成地市传输汇总与各地市路由器互联,并与老boss系统通过完成异地容灾。将经营分析、承载平台网络、客服网络、交换网管、省会各营业厅、,通过在加设防火墙和启动放置在子系统内部vpn的防火墙功能达到网络安全的目的。

在各地市的网络连接中,分别在与省中心cisco72xx和cisco72xx路由器后加入vpn,启动其上的防火墙功能,在必要时使用其上的入侵检测功能做必要的安全防护。

二、 方案简介。

三星为xx省移动提供了nxg系列防火墙产品来满足对boss系统的数据加密,安全传输,防火墙功能及内置入侵检测的需求。

本方案中我们建议在省中心机房采用4台千兆型防火墙,在每个地市中心采用2台百兆型型防火墙。

其中2台百兆防火墙在旧boss处,2台防火墙在新boss处,都进行高可用性设计,以保证中心端的不间断性,每个地市也都采用两台2nxg100进行高可用结构,保证地市端和中心端的线路通畅。

采用了高速加密芯片的nxg产品,可以进行3des高速加密。nxg采用168位3des加密算法,sha-1和md5算法,在xx省移动枢纽机房进行的实际环境下的测试表明,在开启了vpn、ids等功能后,整个传输效率损耗低于11%,中心端效率的损失也没有超过3%。完全可以保证xx省移动的实际需求。

1、必要性。

目前xx省移动的整个boss系统及其各地的采集点都是通过xx省移动的内网进行明文传输的。在这种模式下,所有重要的业务数据都是不经过任何保护措施的,移动内部的任何用户都有条件监听到这些数据,并可以通过黑客工具对这些数据进行分析破解甚至篡改,而这类工具是在internet中可以非常容易获得的。

通过vpn进行了3des加密后的业务数据具有168位高加密程度,目前最高级的计算机对这种加密算法进行破解时,也至少需要一个月以上的时间,也就是说即使有人企图对业务数据进行窃取或篡改,也要花费几个月甚至更长的时间,这时这些数据已经存储进boss主机中,并进行了相应的处理。由于丧失了实效性,这些业务数据对我们来说已经丧失了重要性,即使被破解也已经无关紧要。

信息安全不仅要保证数据在传输过程中的安全,也要保证保存数据的主机的安全,采用防火墙不仅可以满足对业务主机的访问控制,以防止不必要的内网用户对boss主机的访问,也可以防止来自内部网络的网络病毒和各种攻击,比如近日正在爆发的冲击波等病毒,都是不断的利用网络中的一些服务协议进行广播,如果boss主机不进行相应的防范,必然会造成的这种攻击:轻则增加boss服务器无谓的系统负担,重则会破坏boss服务器的操作系统而引发重大事故,对移动公司造成重大的损失。

由于boss业务是移动公司最重要的业务系统,决不能出现停机和中断,所以不仅vpn设备必须达到电信级网络设备和路由设备的高稳定性,还必须采用双机设备或高可用性等冗余设计,以保证7×24小时的不间断运行。

2、方案拓扑。

三、 特点说明。

internet网关是xx省移动内网同internet进行连接的唯一通道,来自internet的各种攻击和非法访问请求多不胜数,所以在internet网关处配置高性能防火墙显然是必须之举。我们建议在internet网关处增加百兆型防火墙以满足xx省移动内部上网的需要、xx省移动企业信息发布的需要和出差人员远程安全访问内部oa系统和boss系统的需要。

百兆型防火墙可以提供200000个并发会话能力,并有很强的抗攻击能力和日志分析能力,是一款非常适合配置在大型企业内网网关处的防火墙。内置的强大vpn功能,又可以满足最多5000个移动用户的vpn接入需要,完全可以满足目前的vpn接入需求和未来几年内的需求增长。

1、三星nxg产品特点。

l 线速防火墙,具有极高的性能,不受安全策略数量的影响,安装前后网络速度几乎没有变化;

l 内核层处理数据包、极大降低应用层的负荷;

l 多线程**方式;

l 面向网络对象的安全策略管理;

l 静态策略与动态策略的实时响应,保障防火墙的性能和安全;

l 是目前为止国内真正完全实现vpn核心技术中ike与ipsec协议的全部功能,完全符合ietf的ike/ipsec协议标准(rfc2401、rfc2402、rfc2406、rfc2407、rfc2408、rfc2409),支持各种认证(x509v3、pkcs)、加密算法(des、3des、blowfish、rsa、diffie-hellman)及数字签名算法(md5、sha-1)。而其他一些vpn产品,仅实现了上述协议的部分功能。

l 是真正意义上的点对点的vpn产品,即支持主机——主机、主机——网关、网关——网关或子网——子网的安全通讯。而不是象其他一些vpn产品,仅仅实现了子网——子网的vpn。

l 支持动态ip环境下的vpn通道;

l 支持多个接口及vlan,适合多种网络结构;

l 基于应用程序的扩展状态检测,提供更多的应用扩展支持;

l 高速内容过滤功能,绑定url、设定内容过滤,实时反映安全策略;

l 即使不使用专门的ids(入侵检测系统),也可以检测到多种入侵行为,确保防火墙的安全运行;

l 透明http**,锁定有害的j**a/activex及cgi**;

l smtp**,锁定邮件地址、内容过滤、防病毒,保护邮件安全;

l 多种nat方式,节约合法ip资源,隐蔽内部网络的拓扑结构;

l 剥离dns,防止dns欺骗,为可信网络和不可信网络提供安全的dns服务;

l 优化带宽使用方式,确保关键应用使用充足的带宽;

l 支持snmp协议,与hpopenview的网络管理系统(nms)兼容;

l 提供多种负载均衡方式,支持ospf动态路由协议;

l 支持网桥模式和路由模式的防火墙实施方案;

l 无需l4交换机、无需增加模块就可实现双机热备(active-standby)、负载均衡(active-active)的高可用性解决方案;

l 使用简单明了的中文图形界面及字符界面,安全管理员可以集中管理、执行安全策略;

l 多种审计、日志、报警及报告功能,管理更方便;

l 时间表策略,使安全管理自动化。

l 由于沿用ietf特性和标准,与其他任何网络上的标准vpn解决方案兼容,具有很强的可互用性。

l 安全机制配置在传输层之下,对应用软件与用户是透明的。

l 配置vpn无需更改应用软件和重新培训应用层用户,使用方便。

l 提供各种安全服务:数据保密性、数据完整性、数据**认证、动态重置密钥、身份识别与保护及防重发保护等。

l 免除专用网投资,实现专用网的性能。

l 可升级;可扩展;可互用。

l 采用堆叠方式可扩充速度及提高并发处理能力。

l 适用性强,可适用于任何网络上通信安全要求。

l 标准、完备的内部ca子系统对vpn认证进行强化支撑,并提供标准接口以连接符合国际标准的radius、pki、ldap等第三方ca或认证支持系统。

l 完善的审计日志功能。

l 远程安全配置vpn系统的功能。

l 抗开机密码及配置保护功能。

l 四级安全管理员权限划分与管理。

l 基于usb技术的客户端密钥及证书管理系统。

l 10/100tbase以太网自适应接口。

l 断电保护与自恢复。

l 支持1000~25000网关及client用户配置管理,100~1500并发用户管理及扩展。

nxg防火墙的vpn接入方式。

2、产品对网络和系统的影响。

随着xx省移动公司的不断发展,网络规模也不断增大。在网络建设的过程中,网络安全也越来越重要。为了更好地建设xx省移动网络,保证网络的安全、可靠,遵循国际国内安全标准规范,保障产品在网络应用后不对现有正常业务造成影响(如宕机、访问速度比正常情况延长5秒以上等)。

我们对项目实时对现有系统产生的影响作以了测试和评估。

应用三星的vpn产品后,对现有xx省移动网络的整体性能没有超出要求标准,在模拟测试中我们的产品还取得了良好的测试表现。在xx省移动模拟环境中,nxg本身的vpn性能和防火墙性能都远远超过了专线带宽的承载能力,在运行环境中不会构成瓶颈,在开启了vpn、ids等功能后,整个传输效率不会低于89%,中心端效率的损失也没有超过3%。完全满足xx省移动对vpn设备的性能要求。

3、产品对网络和系统的应急恢复考虑。

在网络设计和产品应用上,三星vpn设备充分考虑了系统的应急恢复和高可靠性。

vpn系统一般安装在可信网络和不可信网络的边界上,所有进出受控网络的流量集中在这一点上,要求产品系统故障率越低越好,一旦发生故障必须能迅速恢复。nxg产品提供多机热备份功能(high**ailability以下称为ha)和负载均衡功能(loadbalancing以下称为lb)。

nxg可以在多种模式下实现ha。nxg支持路由模式和网桥模式的网络结构,在路由模式下支持active–active的ha结构;在网桥模式下可以实现active-standby以及active-active的ha结构。使用active-active方式,两台(或多台)nxg可同时为网络提供安全服务,提高了数据包处理的效率与吞吐量,也平衡了网络负载,优化了网络性能。

同时在nxg产品上有配置保存和恢复应用功能,使得网络管理人员可随时保存和应用现有的配置文件。做到应急恢复和灾难配置保护,并给管理人员在管理和配置设备上提供了极大的方便。

电信渠道拓展方案 电信拓展方案

电信渠道拓展方案 电信拓展方案。电信开放渠道运营中心的发展经。一 提倡 狼 的拼搏精神。分公司开放渠道运营中心副主任汪乐说 开放渠道作为交叉市场 终端型渠道,目前已成为发展新增用户和异网用户的主战场。其渠道特性是直面一线非专营市场 竞争残酷 环境复杂多变,决策时间短 容错空间小。契合开放渠道特性,我...

电信赞助方案

关于电信公司在我校的。赞。助。评。估。市场分析。一 我校为电信公司的准客户。由于电信公司与我校有着长期的合作,电信宽带网络进入我校师生生活区,由此建立了广泛的业务市场,也树立了电信公司在我校广大同学心中的良好品牌形象。同时,电信通信针对高校广大同学的业务特点,特别开通了校园学子e 方便了广大同学之间...

电信悬吊方案

一 情况简介。本工程为东环18二期热力工程热力管线开口小室,竖井北侧为化工路,南侧为居民住宅。经现场调查,地下管线较多,在本竖井中发现有1000 800m电信管块,因施工地处闹市区,交通流量大,且工期紧,不适合进行管线改移,故特做此方案对管线进行悬吊保护。1000 800m电信管块为南北走向,竖井初...