DCN安全加固方案

1、南通分公司南通分公司 DCNDCN 安全加固方案安全加固方案 中國移動通信集團中國移動通信集團 江蘇有限公司南通分公司江蘇有限公司南通分公司 20082008 年年 8 8 月月 目目 錄錄 一、一、實施背景實施背景.3 二、二、方案簡介方案簡介.3 三、三、現(xiàn)網(wǎng)結(jié)構(gòu)現(xiàn)網(wǎng)結(jié)構(gòu).3 四、四、加固后網(wǎng)絡(luò)結(jié)構(gòu)加固后網(wǎng)絡(luò)結(jié)構(gòu).4 五、加固方案加固方案.4 六、六、費用測算費用測算.5 一、一、 實施背景實施背景 從今年起，省公司加強了對 DCN 信息網(wǎng)絡(luò)安全事件的考核，因南通已經(jīng) 出現(xiàn)多起營業(yè)廳、OA 機器攻擊省公司 BOSS 主機的事件，被省公司扣分，因 此有必要對 DCN 網(wǎng)絡(luò)安全進行加固。 二、

2、二、 方案簡介方案簡介 經(jīng)分析研究，目前攻擊省公司 BOSS 服務(wù)器的機器大多由病毒、木馬引起， 且機器中毒具有不可預(yù)料性，僅僅依賴殺毒軟件顯然不能做到有效防御。 有兩種方法可以有效抵御攻擊 BOSS 主機事件，一是給每個終端安裝能夠 控制終端并發(fā)連接數(shù)的客戶端；二是安裝防火墻，通過防火墻限制終端連接 SESSION 數(shù)。 通過仔細(xì)對比，方法一終端數(shù)目眾多，很可能因新增終端客戶端未及時安 裝或者客戶端進程退出等原因造成防御效果不佳，此外如此多數(shù)目的終端不能 集中統(tǒng)一管理也是一大難題。 方法二具有較高的可行性，可以集中管理，而且啟用防火墻也可以對防火 墻以下的接入用戶起到很好的保護作用。 三、三

3、、 現(xiàn)網(wǎng)結(jié)構(gòu)現(xiàn)網(wǎng)結(jié)構(gòu) 7507175072 GSR 1GSR 2 100M 2M 155 南京無錫 無錫南京 1000M GE 4802 5200 KFQ2F2 7609-1 7609-2 10M MSTP 綜合樓6樓機房節(jié)點 48021 48022 營業(yè)系統(tǒng) 5200F1 oa系統(tǒng) 如皋 mp4126 啟東華為 S3528 海安 mp4126 海門華為 S3528 通州華為 S3528 如東 mp4126 市區(qū) c3750 縣公司二層交換機 四、四、 加固后網(wǎng)絡(luò)結(jié)構(gòu)加固后網(wǎng)絡(luò)結(jié)構(gòu) 7507175072 GSR 1GSR 2 100M 2M 155 南京無錫 無錫南京 1000M GE 480

4、2 5200 KFQ2F2 7609-1 7609-2 10M MSTP 綜合樓6樓機房節(jié)點 48021 48022 營業(yè)系統(tǒng) 5200F1 oa系統(tǒng) 如皋 mp4126 啟東華為 S3528 海安 mp4126 海門華為 S3528 通州華為 S3528 如東 mp4126 市區(qū) c3750 縣公司二層交換機 五、五、加固方案加固方案 現(xiàn)網(wǎng)營業(yè)廳與 OA 分別匯聚到兩臺 4802 與 5200F，接入兩臺 7609。如防火 墻位置放置于 4802 以及 5200F 之前，至少需要 4 臺防火墻才能實現(xiàn)安全加固功 能。 現(xiàn)方案在兩臺 GSR 與 7609 間各增加一臺防火墻，通過防火墻對經(jīng)過

5、7609 的流量做過濾，兩臺防火墻分別對經(jīng)過的流量進行策略控制。兩臺防火墻工作 于 A/A（active/active）的 HA 模式，通過 HA 實現(xiàn)設(shè)備狀態(tài)檢測以及 session 連 接的狀態(tài)同步，因 DCN 網(wǎng)絡(luò)結(jié)構(gòu)為對稱結(jié)構(gòu)，避免了從一條鏈路出從另一條 鏈路進兒引起的 SESSION 狀態(tài)無法檢測的情況。 現(xiàn)網(wǎng)中 7609 與 GSR 之間采用 GE、FE 雙鏈路連接，平時流量走 GE，F(xiàn)E 作為備份。加入防火墻后，將防火墻設(shè)為透明模式，并配置使得 OSPF 得以穿 越，因 GE 的 COST 值比 FE 要低，因此流量會選擇從防火墻通過。 任意一臺防火墻故障，流量會從分流到另一臺防

6、火墻，如兩臺防火墻同時 故障，流量會從 FE 走，當(dāng) FE 也中斷時，OSPF 會自動選擇從 7507 走，防火墻 的故障不會對業(yè)務(wù)產(chǎn)生任何影響。 加固后防火墻串接在 7609 與 GSR 之間，防火墻的性能直接影響到網(wǎng)絡(luò)質(zhì) 量。因此選取業(yè)務(wù)上符合要求（可以對單個 IP 的并發(fā)連接數(shù)做限制）同時具備 較高性能的防火墻是本方案的關(guān)鍵。 建議選取juniper的中高端千兆防火墻產(chǎn)品SSG550M，該防火墻在同級別 產(chǎn)品中性能處于領(lǐng)先位置，配置千兆SFP端口，支持1Gbps的防火墻吞吐以及 500Mbps的VPN流量，最大并發(fā)連接256K，統(tǒng)一威脅管理（UTM）特性提供從 網(wǎng)絡(luò)底層到應(yīng)用層的整體保護。目前該產(chǎn)品已經(jīng)在無錫公司DCN網(wǎng)穩(wěn)定運行。 六、六、費用測算費用測算 本次加固需增加兩臺防火墻，因防火墻原為千兆電口，需更換為 SFP 光口， 價格如下表： 模塊數(shù)量（個）單價（元）總價（元） SSG-550M-SH,1GB DRAM, 2 AC2 52000 JXE-1GE-SFP-S,1PortFiber Gigabit Ethernet Enhanced PIM 4470018800 JX-SFP-