电信安全解决方案

安全建议书第1页项目建议书技术文档密级：保密企业网络安全解决方案——应用HillStoneSA助力企业网络安全管理和应用层管控山石网通有限公司二零零七年十二月安全建议书第2页目录第一章公司简介.............................................................................................................................3第二章：电信运营商网络安全现状...............................................................................................42．1电信运营商网络现状及面临的挑战..............................................................................4第三章HillStone电信网络安全解决方案............................................................................53．1网络安全设计的基本原则.............................................................................................53．1．1技术先进性和实用性原则...............................................................................53．1．2高可靠性原则...................................................................................................63．1．3易于扩展和升级的原则...................................................................................63．1．4管理和维护的方便性.......................................................................................63．2电信网络安全方案设计.................................................................................................73．2．1HillStoneNetworks电信网络安全解决方案示意图................................73．2．2HillStone安全方案描述.................................................................................73.2.3HillStone网络安全解决方案为用户带来的益处..........................................93.2.4HillStoneVPN网络.............................................................................................10第四章产品介绍.........................................................................................................................124．1Hillstone安全产品架构和特点....................................................................................124．2Hillstone安全产品核心功能介绍................................................................................15安全建议书第3页第一章公司简介山石网科通信技术（北京）有限公司（以下简称“山石网科”）创建于2006年，是网络安全领域的代表企业之一，公司总部位于中国北京，并在美国硅谷设有研发中心。山石网科积累了多年网络安全产品研发和市场运做经验，专注于信息安全，是专业的新一代安全网络设备提供商。目前，山石网科拥有员工200余人，其中博士、硕士占30%以上，公司的核心团队由来自Juniper、Cisco、Netscreen、Fortinet和H3C等中外著名企业的精英组成，具备先进的技术经验和丰富的企业管理经验。公司总注册资金475万美金，设有系统架构部，系统运营部，软件系统部，渠道销售部，售前售后技术部等部门，并且已经通过投资、控股和合作等形式，在亚太区形成了良性发展的产业和营销体系。自成立以来，山石网科就以“贴近市场，贴近客户，快速把握并满足客户需求”为己任，用产品和方案来帮助客户获得网络安全，从而实现自身的企业价值。山石网科凭借其独特的服务精神和强大的技术实力，以国际一流的技术打造适合中国本土化应用需求的高性能产品，并提供高性价比的新一代网络安全整体解决方案，服务于中国高速发展的网络市场。作为产业链中至关重要的一环，山石网科勇于创新，公司的SR系列安全路由器和SA系列安全网关产品，已经为网络安全领域树立了新的安全网络产品质量水平，在国内各大中小型企业及各高校中拥有了强大的客户群体，并赢得了用户的高度肯定。在网络时代的今天，山石网科愿与所有客户、合作伙伴一起，在探索与实践中国网络安全稳健和谐发展的新长征中，携手共赢！安全建议书第4页第二章：电信运营商网络安全现状2．1电信运营商网络现状及面临的挑战近几年，中国电信业发展迅猛，全国电信总用户突破6亿，四年平均增幅达到42％。固定电话用户增长了16倍，移动电话用户增长了400倍，与此同时，互联网飞速发展，创造了世界电信发展史上的奇迹。同时国内电信行业也在加速融合，这种融合是全方面的，包括家用电器、电脑、通信技术的融合以及宽带网络、IP技术和终端的融合等等。这种融合超越国界，超越制式，也带来了更多的商业机会。我国为了电信业的发展采取了很多改革措施，如电信公司的分拆措施，为多个电信运营商相互竞争创造了有利条件。这就要求每个电信运营商提供高效、优质的服务，以客户服务为中心，以提供更加专业优质的服务为目标，才能在残酷的市场竞争中取得成功。由于电信运营商提供的是全天候的服务，这就要求电信各应用系统和网络设备24小时地提供优质地服务。因此对电信系统的安全性和可靠性提出了较高的要求。近年来，安全问题已经是电信业相当严重的问题，尤其是对于迅猛发展的互联网业，以及对于电信相关增值服务的安全性提出了较高的安全要求。电信增值服务是目前电信业主要的利润增长点，为电信发展注入了新的活力。所以构筑安全的电信网络系统至关重要。传统电信运营商和移动电信运营商都提供着以IP数据为基础的各种增值性服务，例如专线申请、宽带存储、主机托管、多媒体、VoIP、视频服务等各种新式的服务。依靠这些增值服务，运营商们创造着爆炸性的营业收入。然而，如何在更加激烈的竞争中降低运营成本、提高营业收入显得尤为迫切。为了能够把握住这些机会和挑战，电信运营商必须在原有IP网络的基础上搭建有效的应用服务网络结构，而与此网络发展相关的网络和应用层安全控制是企业成功的关键。各种安全威胁对于电信企业来说可能带来极大的损害，而不完善的安全防护体制将会导致营业收入下降、维护成本上升、客户忠诚度降低等问题。各种安全威胁分布在从网络层到应用层的所有节点上。安全建议书第5页1、网络层IP网络上存在着大量的交换机、路由器，在大量的网络层攻击面前这些设备变得非常不可靠，难以为用户提供持续的服务。同时，基于网络层的冗余备份机制是电信网络必须具备的能力，能够保证提供链路和设备的冗余备份。基础网络层是电信网络的基石，没有稳定可靠的网络层谈任何其它的安全防护都是没有意义的。2、应用层在电信网络中，众多的应用程序运行在基础网络之上的应用层。在应用层，大量的病毒、蠕虫、垃圾邮件等威胁不断地侵蚀着电信网络系统的应用服务资源、不断地增加着电信网络的维护成本。应用层不同于网络层，基于应用层的安全防护是需要更高的网络资源、更高的维护成本来支撑的。如何在保证应用层安全的同时，保持最低的拥有和维护成本是电信用户考虑的。第三章HillStone电信网络安全解决方案3．1网络安全设计的基本原则3．1．1技术先进性和实用性原则网络安全方案中采用技术，具有一定的前瞻性，符合一定时期内网络安全技术发展的趋势，并在今后一定的时期内处于领先地位。网络安全系统设计必须遵循先进性和成熟性。由于IT行业的技术更新换代很快，为了保证网络能够满足今后一段时间内应用的发展，在选择网络安全技术和设备时不仅要考虑先进性，也要考虑技术的成熟性，同时更要考虑接入业务的特点等多方面的因素。一种新技术在刚出现时往往有很大不稳定和不确定因素，需要有一个发展、逐步完善和实践检验的过程，经常有一些技术在刚出现时被宣传和评价很高，但在一段时间后发现存在很多问题，甚至很快退出市场。用户采用了这种技术，往往会因为设安全建议书第6页备厂商转产停产等问题，无法对网络扩展升级，最终造成前期投资的浪费。一种新的技术产品在刚出现时一般价格都非常高，所以选择使用一种新的技术的最佳时机应该是在这种技术在市场上已经得到较为广泛的应用，并且在使用中得到肯定之后。虽然这时的技术可能已经不是最新的技术，但技术已经成熟，设备的性能价格比更高。所以选择网络技术和设备时不要去追求最新最好，应该遵循先进性和实用性相结合，并找出其中的平衡点。3．1．2高可靠性原则由于网络对数据传输的实时性的要求，对网络的传输环节要求很高。因而要求选用的网络安全设备具有相当高的可靠性，要达到电信级标准，具备99.999%的可靠性。建设一个运行稳定可靠的现代化网络系统，网络中任何一台安全设备或任何一条安全设备上的线路发生故障都不会导致通过该安全设备互联的两个网络无法通讯，并且能够保证在不影响网络正常运行的情况下完成对网络故障的检测和排除。3．1．3易于扩展和升级的原则网络及数据通信技术发展速度快、新的设备不断面世，新业务也将逐步运行在新的数据网上，用户对带宽的需求必将增长，需要将网络系统扩容，因此在网络设计时应充分考虑将来网络的扩容和升级问题。随着Internet的发展扩大，网络的系统性能的需要将不断提高，网络的规模也会不断扩展，而隔离网络的安全设备也同样需要扩容和升级。所以在设计网络时，要充分考虑到网络安全设备的可扩展性，为了保护用户的投资，设计应保证至少若干年内网络的升级和扩展不需要更换主要网络安全设备，只通过增加一些模块就可以实现网络性能和规模的扩展，满足今后几年业务发展的需要。3．1．4管理和维护的方便性网络系统中的所有安全设备均应是可管理的，支持远程监控和故障的过程诊断和恢复。可通过网管软件方便地监控网络运行的实时情况，对出现的问题及时处理和解决。安全建议书第7页3．2电信网络安全方案设计3．2．1HillStoneNetworks电信网络安全解决方案示意图3．2．2HillStone安全方案描述在电信网络中，通过HillStoneSA系列产品的应用，从处理能力、扩展能力、安全性、冗余性和应用的便利性等方面为用户考虑，提供了各种安全功能、高吞吐以及完备的冗余备份机制，能够满足电信用户对安全性、稳定性和高性能的需求。1、通过HillStone产品提供高性能的安全管控功能由于防火墙部署在电信网络的关键位置，扼守着所有数据流量的安全控制，因