您好,欢迎访问三七文档
南通分公司DCN安全加固方案1南通分公司DCN安全加固方案中国移动通信集团江苏有限公司南通分公司2008年8月南通分公司DCN安全加固方案2目录一、实施背景................................................................................................................................3二、方案简介................................................................................................................................3三、现网结构................................................................................................................................3四、加固后网络结构....................................................................................................................4五、加固方案................................................................................................................................4六、费用测算................................................................................................................................5南通分公司DCN安全加固方案3一、实施背景从今年起,省公司加强了对DCN信息网络安全事件的考核,因南通已经出现多起营业厅、OA机器攻击省公司BOSS主机的事件,被省公司扣分,因此有必要对DCN网络安全进行加固。二、方案简介经分析研究,目前攻击省公司BOSS服务器的机器大多由病毒、木马引起,且机器中毒具有不可预料性,仅仅依赖杀毒软件显然不能做到有效防御。有两种方法可以有效抵御攻击BOSS主机事件,一是给每个终端安装能够控制终端并发连接数的客户端;二是安装防火墙,通过防火墙限制终端连接SESSION数。通过仔细对比,方法一终端数目众多,很可能因新增终端客户端未及时安装或者客户端进程退出等原因造成防御效果不佳,此外如此多数目的终端不能集中统一管理也是一大难题。方法二具有较高的可行性,可以集中管理,而且启用防火墙也可以对防火墙以下的接入用户起到很好的保护作用。三、现网结构7507-17507-2GSR-1GSR-2100M2M155南京无锡无锡南京1000MGE48025200KFQ2F27609-17609-210MMSTP综合楼6楼机房节点4802-14802-2营业系统5200F-1oa系统如皋mp4126启东华为S3528海安mp4126海门华为S3528通州华为S3528如东mp4126市区c3750县公司二层交换机南通分公司DCN安全加固方案4四、加固后网络结构7507-17507-2GSR-1GSR-2100M2M155南京无锡无锡南京1000MGE48025200KFQ2F27609-17609-210MMSTP综合楼6楼机房节点4802-14802-2营业系统5200F-1oa系统如皋mp4126启东华为S3528海安mp4126海门华为S3528通州华为S3528如东mp4126市区c3750县公司二层交换机五、加固方案现网营业厅与OA分别汇聚到两台4802与5200F,接入两台7609。如防火墙位置放置于4802以及5200F之前,至少需要4台防火墙才能实现安全加固功能。现方案在两台GSR与7609间各增加一台防火墙,通过防火墙对经过7609的流量做过滤,两台防火墙分别对经过的流量进行策略控制。两台防火墙工作于A/A(active/active)的HA模式,通过HA实现设备状态检测以及session连接的状态同步,因DCN网络结构为对称结构,避免了从一条链路出从另一条链路进儿引起的SESSION状态无法检测的情况。现网中7609与GSR之间采用GE、FE双链路连接,平时流量走GE,FE作为备份。加入防火墙后,将防火墙设为透明模式,并配置使得OSPF得以穿越,因GE的COST值比FE要低,因此流量会选择从防火墙通过。任意一台防火墙故障,流量会从分流到另一台防火墙,如两台防火墙同时故障,流量会从FE走,当FE也中断时,OSPF会自动选择从7507走,防火墙的故障不会对业务产生任何影响。加固后防火墙串接在7609与GSR之间,防火墙的性能直接影响到网络质量。南通分公司DCN安全加固方案5因此选取业务上符合要求(可以对单个IP的并发连接数做限制)同时具备较高性能的防火墙是本方案的关键。建议选取juniper的中高端千兆防火墙产品SSG-550M,该防火墙在同级别产品中性能处于领先位置,配置千兆SFP端口,支持1Gbps的防火墙吞吐以及500Mbps的VPN流量,最大并发连接256K,统一威胁管理(UTM)特性提供从网络底层到应用层的整体保护。目前该产品已经在无锡公司DCN网稳定运行。六、费用测算本次加固需增加两台防火墙,因防火墙原为千兆电口,需更换为SFP光口,价格如下表:模块数量(个)单价(元)总价(元)SSG-550M-SH,1GBDRAM,2AC252000104000JXE-1GE-SFP-S,1PortFiberGigabitEthernetEnhancedPIM4470018800JX-SFP-1GE-LXSFP1000Base-SXGigabitOpticalModule4300012000售后维保1134800×10%13480合计148280计入工程辅料、施工费用等,整个项目约需投资约15万元。
本文标题:DCN安全加固方案
链接地址:https://www.777doc.com/doc-2908931 .html