DCN安全加固方案

1、南通分公司南通分公司 DCNDCN 安全加固方案安全加固方案 中国移动通信集团中国移动通信集团 江苏有限公司南通分公司江苏有限公司南通分公司 20082008 年年 8 8 月月 目目 录录 一、一、实施背景实施背景.3 二、二、方案简介方案简介.3 三、三、现网结构现网结构.3 四、四、加固后网络结构加固后网络结构.4 五、加固方案加固方案.4 六、六、费用测算费用测算.5 一、一、 实施背景实施背景 从今年起，省公司加强了对 DCN 信息网络安全事件的考核，因南通已经 出现多起营业厅、OA 机器攻击省公司 BOSS 主机的事件，被省公司扣分，因 此有必要对 DCN 网络安全进行加固。 二、

2、二、 方案简介方案简介 经分析研究，目前攻击省公司 BOSS 服务器的机器大多由病毒、木马引起， 且机器中毒具有不可预料性，仅仅依赖杀毒软件显然不能做到有效防御。 有两种方法可以有效抵御攻击 BOSS 主机事件，一是给每个终端安装能够 控制终端并发连接数的客户端；二是安装防火墙，通过防火墙限制终端连接 SESSION 数。 通过仔细对比，方法一终端数目众多，很可能因新增终端客户端未及时安 装或者客户端进程退出等原因造成防御效果不佳，此外如此多数目的终端不能 集中统一管理也是一大难题。 方法二具有较高的可行性，可以集中管理，而且启用防火墙也可以对防火 墙以下的接入用户起到很好的保护作用。 三、三

3、、 现网结构现网结构 7507175072 GSR 1GSR 2 100M 2M 155 南京无锡 无锡南京 1000M GE 4802 5200 KFQ2F2 7609-1 7609-2 10M MSTP 综合楼6楼机房节点 48021 48022 营业系统 5200F1 oa系统 如皋 mp4126 启东华为 S3528 海安 mp4126 海门华为 S3528 通州华为 S3528 如东 mp4126 市区 c3750 县公司二层交换机 四、四、 加固后网络结构加固后网络结构 7507175072 GSR 1GSR 2 100M 2M 155 南京无锡 无锡南京 1000M GE 480

4、2 5200 KFQ2F2 7609-1 7609-2 10M MSTP 综合楼6楼机房节点 48021 48022 营业系统 5200F1 oa系统 如皋 mp4126 启东华为 S3528 海安 mp4126 海门华为 S3528 通州华为 S3528 如东 mp4126 市区 c3750 县公司二层交换机 五、五、加固方案加固方案 现网营业厅与 OA 分别汇聚到两台 4802 与 5200F，接入两台 7609。如防火 墙位置放置于 4802 以及 5200F 之前，至少需要 4 台防火墙才能实现安全加固功 能。 现方案在两台 GSR 与 7609 间各增加一台防火墙，通过防火墙对经过

5、7609 的流量做过滤，两台防火墙分别对经过的流量进行策略控制。两台防火墙工作 于 A/A（active/active）的 HA 模式，通过 HA 实现设备状态检测以及 session 连 接的状态同步，因 DCN 网络结构为对称结构，避免了从一条链路出从另一条 链路进儿引起的 SESSION 状态无法检测的情况。 现网中 7609 与 GSR 之间采用 GE、FE 双链路连接，平时流量走 GE，FE 作为备份。加入防火墙后，将防火墙设为透明模式，并配置使得 OSPF 得以穿 越，因 GE 的 COST 值比 FE 要低，因此流量会选择从防火墙通过。 任意一台防火墙故障，流量会从分流到另一台防

6、火墙，如两台防火墙同时 故障，流量会从 FE 走，当 FE 也中断时，OSPF 会自动选择从 7507 走，防火墙 的故障不会对业务产生任何影响。 加固后防火墙串接在 7609 与 GSR 之间，防火墙的性能直接影响到网络质 量。因此选取业务上符合要求（可以对单个 IP 的并发连接数做限制）同时具备 较高性能的防火墙是本方案的关键。 建议选取juniper的中高端千兆防火墙产品SSG550M，该防火墙在同级别 产品中性能处于领先位置，配置千兆SFP端口，支持1Gbps的防火墙吞吐以及 500Mbps的VPN流量，最大并发连接256K，统一威胁管理（UTM）特性提供从 网络底层到应用层的整体保护。目前该产品已经在无锡公司DCN网稳定运行。 六、六、费用测算费用测算 本次加固需增加两台防火墙，因防火墙原为千兆电口，需更换为 SFP 光口， 价格如下表： 模块数量（个）单价（元）总价（元） SSG-550M-SH,1GB DRAM, 2 AC2 52000 JXE-1GE-SFP-S,1PortFiber Gigabit Ethernet Enhanced PIM 4470018800 JX-SFP-