专线广域网安全解决方案

摘要:在众多的安全手段当中,物理隔离是最简单有效的手段之一,因此很多企事业单位都会通过租用专线的形式搭建与Internet物理隔离的专线广域网,以保障自身的信息安全。

在众多的安全手段当中,物理隔离是最简单有效的手段之一,因此很多企事业单位都会通过租用专线的形式搭建与Internet物理隔离的专线广域网,以保障自身的信息安全。此时,已经解决了来自互联网的安全威胁以后,信息安全关注的重点变为如何保障专线广域网的信息安全上来。

专线广域网信息安全的特点

分析专线广域网的应用环境,会发现整网的多管理员的管理模式,是其最大的特点。专线广域网连接的是各个分支机构的局域网,而一半情况下,每个局域网都会有自己的管理员。对于比较大型的专线广域网,也会实行分级网管策略,比如国家到各省的专线广域网为一个管理机构,各省内、市内的专线广域网又是各自独立的网管机构,从而形成多级网管的状态。专线广域网的这种多管理员特点,使得专线广域网在信息安全建设中需要考虑如下几个问题:

■  如何快速有效的抑制蠕虫病毒在网内的传播。

由于专线广域网将所有的局域网进行了连接,一旦某一局域网内出现了蠕虫病毒,则病毒会通过专线广域网快速传播。而多管理员结构又造成这样一种情况,当某一管理员发现蠕虫病毒时,需要通过其它管理员来进行相应动作,从而使得对蠕虫病毒的响应速度变慢,甚至得不到控制。

■  如何解决源自内网攻击行为和对攻击来源的定位问题。

解决了源自Internet的安全威胁,并不意味着攻击不会发生。个别不满员工的报复行为,由于缺少安全意识造成的无意识的破坏行为,由于非法连接外网从而造成成为第三方想内网发起攻击的跳板等等问题,都使得需要对源自内网攻击行为进行识别控制,并且需要定位攻击源。但是同样由于多管理员的问题,造成了定位困难。尤其在某些内部局域网还采用了NAT技术的情况下,问题更为突出。

■  广域网带宽的有效保护问题。

广域网带宽是非常紧缺和昂贵的,而在其上往往又经常承载视频会议等对带宽和时延非常敏感的应用,因此合理使用广域网带宽就显得非常重要。对于比较大型的广域网,内部资源非常丰富,自建FTP甚至P2P下载的情况经常出现,这往往对有限的广域网带宽带来很大的压力。而在多管理员环境下,很难保证全网同一的QoS策略的有效实施。

除上述问题外,对于比较大型的专线广域网往往会采用MPLS VPN技术进行多业务承载,这又对安全设备提出了组网适应性的要求,要求所选用的安全设备能够支持MPLS报文识别、OSPF路由协议等网络特性。

典型组网

DPtech内网控制解决方案是在充分考虑到了专线广域网所面对的全部L2~7层安全威胁的基础上,综合运用杭州迪普科技有限公司的防火墙、UTM、IPS、UAG等产品进行设计的。在近似的防护能力下,对于不同的网络环境、网络节点提供了不同的产品选择。

对于网络的核心节点和大型分支节点,采用独立的高性能的防火墙、IPS、UAG产品进行防护。首先通过DPtech防火墙实现L2~4层访问控制功能。而DPtech IPS实现了病毒库、攻击特征库和协议库的三库合一,因此通过DPtech IPS对包括蠕虫病毒在内的所有L4~7层安全威胁进行防护。DPtech UAG产品则可以对各种应用层协议进行分析,对不同的应用提供灵活的带宽控制和保障。

对于小型的网络分支节点,由于其对性能的要求相对较低,则可以通过DPtech UTM统一实现L2~7层安全威胁防护和广域网带宽控制和保障。

如专线广域网连接的各局域网没有终端准入的机制,则在专线广域网建设中还应该额外考虑广域网的终端准入问题,以解决对攻击源的定位问题。对于此需求,可以通过DPtech UAG上的web认证功能实现无客户端的广域网端点准入。

特点与优势

■  网络级的性能

迪普相关产品基于APP-X硬件平台,可以在吞吐量、并发、新建连接、延时等方面提供网络级的性能。不会因为增加了新的设备而使得应用的性能出现下降。

■  网络适应性

迪普相关产品基于Conplat软件平台,提供了丰富的网络适应性,可以在IPv6、MPLS等复杂网络环境下良好的工作。设备部署的时候,可不受网络环境的限制,也不需要大面积调整网络结构。

■   完善的L2~7安全保护

通过DPtech的防火墙、IPS、UAG提供了完善的L2~7层安全保护。

■   统一安全策略部署

DPtech产品的统一管理和策略部署能力,提供了简便的统一安全策略部署方案。

■  完善的高可靠性保障

DPtech防火墙和IPS都具有双机热备能力,提供完善的高可靠性保障。

 

第一章 项目概述 5 1.1 项目目标 5 1.1.1 总体目标 5 1.1.2 阶段目标 5 1.2 设计原则 6 第二章 应用分析 8 2.1 应用分类 8 2.1.1 应用系统总体框架 8 2.1.2 业务系统应用分类 9 2.1.3 信息管理系统应用分类 10 2.2 数据中心及分行定位 11 2.2.1 阶段一 11 2.2.2 阶段二 11 2.2.3 阶段三 12 第三章 设备配置 13 3.1 基本原则 13 3.1.1 命名规范 13 3.1.2 端口分配 14 3.2 北京数据中心 15 3.2.1 设备配置 15 3.2.2 端口分配 15 3.3 上海数据中心 16 3.3.1 设备配置 16 3.3.2 端口分配 16 3.4 一级分行 16 3.4.1 设备配置 16 3.4.2 端口分配 17 第四章 网络结构 18 4.1 网络结构设计原则 18 4.2 网络结构阶段分析 18 4.2.1 阶段一 18 4.2.2 阶段二 20 4.2.3 阶段三 22 4.3 分行接入标准 23 4.3.1 阶段一 23 4.3.2 阶段二 24 4.3.3 阶段三 24 第五章 冗余策略 26 5.1 拓扑冗余策略 26 5.1.1 拓扑冗余策略设计原则 26 5.1.2 拓扑冗余策略(阶段一) 26 5.1.3 拓扑冗余策略(阶段二) 28 5.1.4 拓扑冗余策略(阶段三) 30 5.2 运营商、设备、板卡冗余策略 33 5.2.1 运营商、设备、板卡冗余策略设计原则 33 5.2.2 运营商、设备、板卡冗余策略阶段一、二、三(核心骨干网) 33 5.2.3 运营商、设备、板卡冗余策略阶段一、二(一级骨干网) 35 5.2.4 运营商、设备、板卡冗余策略阶段三(一级骨干网) 36 第六章 路由策略 40 6.1 路由总体规划 40 6.1.1 路由协议选择 40 6.1.2 路由协议部署(阶段一、二) 41 6.1.3 路由协议部署(阶段三) 42 6.2 广域网路由策略 43 6.2.1 阶段一、二 43 6.2.2 阶段三 46 6.3 广域区路由策略 48 6.3.1 阶段一、二 48 6.3.2 阶段三 52 6.4 局域网路由策略 56 6.4.1 阶段一、二 56 6.4.2 阶段三 56 第七章 流量工程 58 7.1 流量分布 58 7.1.1 阶段一 58 7.1.2 阶段二 58 7.1.3 阶段三 59 7.2 QOS策略 60 7.2.1 总体策略 60 7.2.2 阶段一、二 62 7.2.3 阶段三 63 第八章 网络安全 65 8.1 网络安全原则 65 8.2 设备安全 65 8.3 业务安全 68 8.3.1 阶段一、二 68 8.3.2 阶段三 69 第九章 IP地址分配 71 9.1 IP地址分配原则 71 9.2 IP地址具体分配 71 第十章 网络管理 74 10.1 网管系统选择 74 10.1.1 选择原则 74 10.1.2 网元管理软件 74 10.2 网管系统部署 75
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值