电信类方案

三星以安全、稳定服务电信移动boss

xx省移动业务支撑系统改造工作已全面结束，已经由原先的计费集中、营帐独立的模式改为大集中的模式，目前所有系统已经投入实际运行并逐步进入稳定期。各个系统均采用集中方式建设，即全省只设置一个中心，地市设置终端，通过网络接入到省中心。企业统一信息平台系统和新boss系统的设备均设置于省会移动xx枢纽楼机房，客服系统的排队机、坐席设置于省会xx机房。

原boss系统设置于省会机房。为有效保证各系统机密性、完整性以及可用性的安全，实现基于策略、基于角色的安全核心保护，将进行xx省移动业务支撑网安全系统建设。

一、网络环境简介。

l boss网络。

l 企业信息平台网络。

l 客服系统网络。

l 经营分析网络。

l 网管网络。

l mis子网。

boss系统内部防火墙（带vpn）和企业信息平台系统对外vpn网关：包括4台核心防火墙（带vpn功能），18台地市防火墙（带vpn功能），经营分析系统、客服系统各2台防火墙（带vpn功能），企业信息平台和网管系统1台，boss系统和企业信息平台各约20个客户端软件。

目前xx省移动计费业务网络建设基本完成。oa、客服、会计电算化等系统挂在计费网络平台上，即由移动计费网为其提供广域网平台。各系统仍然保持原有的独立性。

boss系统所有小型机以千兆光纤方式分别连接在两个cisco65xx交换机上，，在网络上实现冗余链路，达到网络连接可靠性的目的。通过光纤交换机完成地市传输汇总与各地市路由器互联，并与老boss系统通过完成异地容灾。将经营分析、承载平台网络、客服网络、交换网管、省会各营业厅、，通过在加设防火墙和启动放置在子系统内部vpn的防火墙功能达到网络安全的目的。

在各地市的网络连接中，分别在与省中心cisco72xx和cisco72xx路由器后加入vpn，启动其上的防火墙功能，在必要时使用其上的入侵检测功能做必要的安全防护。

二、方案简介。

三星为xx省移动提供了nxg系列防火墙产品来满足对boss系统的数据加密，安全传输，防火墙功能及内置入侵检测的需求。

本方案中我们建议在省中心机房采用4台千兆型防火墙，在每个地市中心采用2台百兆型型防火墙。

其中2台百兆防火墙在旧boss处，2台防火墙在新boss处，都进行高可用性设计，以保证中心端的不间断性，每个地市也都采用两台2nxg100进行高可用结构，保证地市端和中心端的线路通畅。

采用了高速加密芯片的nxg产品，可以进行3des高速加密。nxg采用168位3des加密算法，sha-1和md5算法，在xx省移动枢纽机房进行的实际环境下的测试表明，在开启了vpn、ids等功能后，整个传输效率损耗低于11%，中心端效率的损失也没有超过3%。完全可以保证xx省移动的实际需求。

1、必要性。

目前xx省移动的整个boss系统及其各地的采集点都是通过xx省移动的内网进行明文传输的。在这种模式下，所有重要的业务数据都是不经过任何保护措施的，移动内部的任何用户都有条件监听到这些数据，并可以通过黑客工具对这些数据进行分析破解甚至篡改，而这类工具是在internet中可以非常容易获得的。

通过vpn进行了3des加密后的业务数据具有168位高加密程度，目前最高级的计算机对这种加密算法进行破解时，也至少需要一个月以上的时间，也就是说即使有人企图对业务数据进行窃取或篡改，也要花费几个月甚至更长的时间，这时这些数据已经存储进boss主机中，并进行了相应的处理。由于丧失了实效性，这些业务数据对我们来说已经丧失了重要性，即使被破解也已经无关紧要。

信息安全不仅要保证数据在传输过程中的安全，也要保证保存数据的主机的安全，采用防火墙不仅可以满足对业务主机的访问控制，以防止不必要的内网用户对boss主机的访问，也可以防止来自内部网络的网络病毒和各种攻击，比如近日正在爆发的冲击波等病毒，都是不断的利用网络中的一些服务协议进行广播，如果boss主机不进行相应的防范，必然会造成的这种攻击：轻则增加boss服务器无谓的系统负担，重则会破坏boss服务器的操作系统而引发重大事故，对移动公司造成重大的损失。

由于boss业务是移动公司最重要的业务系统，决不能出现停机和中断，所以不仅vpn设备必须达到电信级网络设备和路由设备的高稳定性，还必须采用双机设备或高可用性等冗余设计，以保证7×24小时的不间断运行。

2、方案拓扑。

三、特点说明。

internet网关是xx省移动内网同internet进行连接的唯一通道，来自internet的各种攻击和非法访问请求多不胜数，所以在internet网关处配置高性能防火墙显然是必须之举。我们建议在internet网关处增加百兆型防火墙以满足xx省移动内部上网的需要、xx省移动企业信息发布的需要和出差人员远程安全访问内部oa系统和boss系统的需要。

百兆型防火墙可以提供200000个并发会话能力，并有很强的抗攻击能力和日志分析能力，是一款非常适合配置在大型企业内网网关处的防火墙。内置的强大vpn功能，又可以满足最多5000个移动用户的vpn接入需要，完全可以满足目前的vpn接入需求和未来几年内的需求增长。

1、三星nxg产品特点。

l 线速防火墙，具有极高的性能，不受安全策略数量的影响，安装前后网络速度几乎没有变化；

l 内核层处理数据包、极大降低应用层的负荷；

l 多线程**方式；

l 面向网络对象的安全策略管理；

l 静态策略与动态策略的实时响应，保障防火墙的性能和安全；

l 是目前为止国内真正完全实现vpn核心技术中ike与ipsec协议的全部功能，完全符合ietf的ike/ipsec协议标准（rfc2401、rfc2402、rfc2406、rfc2407、rfc2408、rfc2409），支持各种认证（x509v3、pkcs）、加密算法（des、3des、blowfish、rsa、diffie-hellman）及数字签名算法（md5、sha-1）。而其他一些vpn产品，仅实现了上述协议的部分功能。

l 是真正意义上的点对点的vpn产品，即支持主机——主机、主机——网关、网关——网关或子网——子网的安全通讯。而不是象其他一些vpn产品，仅仅实现了子网——子网的vpn。

l 支持动态ip环境下的vpn通道；

l 支持多个接口及vlan，适合多种网络结构；

l 基于应用程序的扩展状态检测，提供更多的应用扩展支持；

l 高速内容过滤功能，绑定url、设定内容过滤，实时反映安全策略；

l 即使不使用专门的ids（入侵检测系统），也可以检测到多种入侵行为，确保防火墙的安全运行；

l 透明http**，锁定有害的j**a/activex及cgi**；

l smtp**，锁定邮件地址、内容过滤、防病毒，保护邮件安全；

l 多种nat方式，节约合法ip资源，隐蔽内部网络的拓扑结构；

l 剥离dns，防止dns欺骗，为可信网络和不可信网络提供安全的dns服务；

l 优化带宽使用方式，确保关键应用使用充足的带宽；

l 支持snmp协议，与hpopenview的网络管理系统（nms）兼容；

l 提供多种负载均衡方式，支持ospf动态路由协议；

l 支持网桥模式和路由模式的防火墙实施方案；

l 无需l4交换机、无需增加模块就可实现双机热备（active-standby）、负载均衡（active-active）的高可用性解决方案；

l 使用简单明了的中文图形界面及字符界面，安全管理员可以集中管理、执行安全策略；

l 多种审计、日志、报警及报告功能，管理更方便；

l 时间表策略，使安全管理自动化。

l 由于沿用ietf特性和标准，与其他任何网络上的标准vpn解决方案兼容，具有很强的可互用性。

l 安全机制配置在传输层之下，对应用软件与用户是透明的。

l 配置vpn无需更改应用软件和重新培训应用层用户，使用方便。

l 提供各种安全服务：数据保密性、数据完整性、数据**认证、动态重置密钥、身份识别与保护及防重发保护等。

l 免除专用网投资，实现专用网的性能。

l 可升级；可扩展；可互用。

l 采用堆叠方式可扩充速度及提高并发处理能力。

l 适用性强，可适用于任何网络上通信安全要求。

l 标准、完备的内部ca子系统对vpn认证进行强化支撑，并提供标准接口以连接符合国际标准的radius、pki、ldap等第三方ca或认证支持系统。

l 完善的审计日志功能。

l 远程安全配置vpn系统的功能。

l 抗开机密码及配置保护功能。

l 四级安全管理员权限划分与管理。

l 基于usb技术的客户端密钥及证书管理系统。

l 10/100tbase以太网自适应接口。

l 断电保护与自恢复。

l 支持1000~25000网关及client用户配置管理，100~1500并发用户管理及扩展。

nxg防火墙的vpn接入方式。

2、产品对网络和系统的影响。

随着xx省移动公司的不断发展，网络规模也不断增大。在网络建设的过程中，网络安全也越来越重要。为了更好地建设xx省移动网络，保证网络的安全、可靠，遵循国际国内安全标准规范，保障产品在网络应用后不对现有正常业务造成影响（如宕机、访问速度比正常情况延长5秒以上等）。

我们对项目实时对现有系统产生的影响作以了测试和评估。

应用三星的vpn产品后，对现有xx省移动网络的整体性能没有超出要求标准，在模拟测试中我们的产品还取得了良好的测试表现。在xx省移动模拟环境中，nxg本身的vpn性能和防火墙性能都远远超过了专线带宽的承载能力，在运行环境中不会构成瓶颈，在开启了vpn、ids等功能后，整个传输效率不会低于89%，中心端效率的损失也没有超过3%。完全满足xx省移动对vpn设备的性能要求。

3、产品对网络和系统的应急恢复考虑。

在网络设计和产品应用上，三星vpn设备充分考虑了系统的应急恢复和高可靠性。

vpn系统一般安装在可信网络和不可信网络的边界上，所有进出受控网络的流量集中在这一点上，要求产品系统故障率越低越好，一旦发生故障必须能迅速恢复。nxg产品提供多机热备份功能（high**ailability以下称为ha）和负载均衡功能（loadbalancing以下称为lb）。

nxg可以在多种模式下实现ha。nxg支持路由模式和网桥模式的网络结构，在路由模式下支持active–active的ha结构；在网桥模式下可以实现active-standby以及active-active的ha结构。使用active-active方式，两台（或多台）nxg可同时为网络提供安全服务，提高了数据包处理的效率与吞吐量，也平衡了网络负载，优化了网络性能。

同时在nxg产品上有配置保存和恢复应用功能，使得网络管理人员可随时保存和应用现有的配置文件。做到应急恢复和灾难配置保护，并给管理人员在管理和配置设备上提供了极大的方便。

电信类方案

电信渠道拓展方案电信拓展方案

电信赞助方案

电信悬吊方案

其他用户还读了

电信类方案

电信渠道拓展方案 电信拓展方案

电信赞助方案

电信悬吊方案

其他用户还读了

电信渠道拓展方案电信拓展方案