增值业务安全解决方案增值业务安全解决方案.doc

哈广电增值业务系统安全解决方案 哈尔滨有线电视网络有限公司 2012年3月 目 录 1. 增值业务系统安全建设思路 1 1.1 稳定性 1 1.2 安全性 1 1.3 实用性 1 2. 整体网络设计方案 2 2.1 网络整体拓扑方案 2 2.2 广电侧系统和通过互联网与其他系统连接的网络安全策略 2 2.3 路由协议的选择 3 2.4 安全性设置 4 2.5 防火墙策略设计 6 3. 设备选型 7 3.1 网络设备型号（思科方案） 7 3.1.1防火墙型号 7 3.1.2交换机型号 7 3.2 网络设备型号（华为方案） 8 3.2.1交换机型号 8 3.2.2防火墙型号 8 3.3 网络设备型号（DPtech方案） 9 3.3.1交换机型号 9 3.3.2防火墙型号 9 3.4 网络设备厂商介绍 9 增值业务系统安全建设思路 整个主要面临两个方向的网络访问，一是外部网络的数据交换，二是广电侧本地终端和广电其他系统的网络互访。按照哈尔滨有线电视服务器数据流向和服务器运行的稳定性、安全性等多方面进行考虑需对整个的网络进行如下的规划。 稳定性 网络运行的稳定性包括安全设备的稳定性和线路的稳定性，安全设备稳定性采用HA技术保障设备的稳定、OSPF 和VRRP技术保障线路的稳定性。 安全性 为了保障整个广电系统服务集群的安全需要对以上两个方向的网络访问进行有效的限制和隔离，对可能发生的网络入侵事件进行深度检测和阻断。 实用性 充分保护好、利用好现有的资源，发挥现有设备的功效，功能完善、兼容性强，安全设备需要多核CPU支持多功能性，保证多种功能的协同工作，最大限度的发挥安全设备的功效。 整体网络设计方案 网络整体拓扑方案 广电侧系统和通过互联网与其他系统连接的网络安全策略 交换机与防火墙之间采用VRRP状态热备，使两台交换机工作在主-备模式下，为每台服务器提供一个虚拟的缺省网关。当主交换机发生故障Down掉后，另一台交换机会自动接管，使得网络不间断的进行数据转发。两台核心层设备均采用全冗余配置，以确保核心节点的高可靠性。各应用服务器，可通过1000M电口与两台交换机相连接，保证设备的高速接入与数据的快速转发，以及各客户端机的高速访问。双防火墙之间采用HA进行状态同步，在链路切换前，对会话信息进行主备同步（HA）；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。如下图所示，在接入点的位置部署两台防火墙，当其中一台防火墙发生故障时，数据流被引导到另一台防火墙上继续传输，因为在流量切换之前已经进行了数据同步，所以当前业务不会中断，从而提高了网络的稳定性及可靠性。 路由协议的选择 目前业界流行的IGP路由器协议有静态、RIP、OSPF、ISIS等几种，静态和RIP应用在简单、小型的网络中，可扩展性非常小；ISIS则主要应用与运营商的骨干网；而OSPF则是目前应用最广泛的动态路由器协议。 OSPF是Open Shortest Path First（即“开放最短路由优先协议”）的缩写。它是IETF组织开发的一个基于链路状态算法应用在自治系统内部的路由协议。在IP网络上，它通过收集和传递自治系统内部设备的链路状态信息来动态地发现并传播路由。 由于OSPF发展成熟，厂商支持广泛，已经成为世界上使用最广泛的IGP，尤其在企业级网络，也是IETF推荐的唯一的IGP。其他路由协议所能适应的网络和具备的主要优点，OSPF都能适应。 基于路由协议选择的原则和OSPF路由协议的特点，我们建议选择OSPF路由协议做为本系统使用的路由协议。 OSFP的网络通常不能超过100个网络节点，否则因为拓扑表的庞大，计算时间，以及消息扩散时间都会大大增加，并引起严重的网络拥塞。一般情况下，OSPF收敛时间普遍为4秒内。对于小的网络，收敛速度几乎无察觉。迪普防火墙多核处理器+FPGA硬件架构，并行处理技术，大大提升设备对路由信息处理速度，可以将网络的收敛速度控制在3秒内完成，同行业中，该技术处于领先地位。 防火墙与松花江光传输设备CISCO6506采用OSPF协议进行传输。OSPF协议对两条链路状态进行检测，即当前链路故障时，自动采用备份链路进行数据传输。安全性设置 防火墙是保证网络安全的一道网，在本项目中，防火墙采用多核处理器方式实现防火墙功能和IPS（入侵防御系统功能），对外通过两条线路与外部网络出口相连，通过NAT技术，实现用户对外网的访问；通过防火墙的合理配置，屏蔽内、外部网络的一些非法访问，实现内、外网之间的网络割离。 对于外部的服务器和客户端对系统内部局域网中应用服务器的访问，通过3-7层网络特征（如