解決方案：大型IP城域網系統安全案例
作者：sting　來源：賽迪網技術社區　發佈時間：2006.11.09
http://big5.ccidnet.com:89/gate/big5/security.c...0061108/944827_1.html

中國聯通公司是一個新興的電信運營商，是在中國電信運營市場開放的情況下成立的。中國聯通公司以移動業務為基礎，逐漸拓展到市話、長途、IP、數據、尋呼等業務，成為目前國內經營業務種類最為齊全的電信運營商。目前中國聯通的業務範圍包括：移動通訊、本地固定通訊、長途通訊及數據通訊等業務。

某聯通公司目前已經開通的業務有GSM130/131和CDMA133移動通訊、193長途通訊、165數據通訊及17911 VoIP電話等。並在各地市建設城域網，為客戶提供相應的網路互聯業務，並提供電信增值服務。城域網同樣需要安全系統建設。

　需求分析
　a、需要對地市城域網與省公司骨幹傳輸網進行訪問控制，防止來自外部互聯網對城域網的攻擊。城域網連接著中國聯通的骨幹傳輸網路，並與Internet連接。對於某省聯通城域網來說，所有連接到聯通骨幹網的外部網路都是不可信任的，需要防火牆系統的保護。

　b、需要對城域網的伺服器進行保護。
　每個地市城域網都有自己的內部網路和重要伺服器。伺服器都存在著安全隱患，如果不採取網路安全措施，伺服器就可能來自各個互聯網路的攻擊，因此需要防火牆系統的保護。

  c、需要對城域網的客戶進行有效管理。
  城域網的客戶比較複雜，不乏存在著不規範的上網行為甚至是惡意入侵行為，因此對城域網的客戶進行管理非常重要。比如，通過防火牆的NAT地址轉換、IP/MAC地址綁定、訪問日誌的記錄、審計等等功能，可對城域網的客戶進行有效的管理。

解決方案
1 綜述
東軟股份通過在某省聯通地市城域網上配置防火牆系統並設置有效的安全策略將達到以下目標：

a、保護基於某省聯通的城域網業務不間斷的正常運作，包括構成城域網網路的所有設施、系統、以及系統所處理的數據（資訊）。

b、某省聯通地市城域網系統中的重要資訊在可控的範圍內傳播，即有效的控制資訊傳播的範圍，防止重要資訊洩露給外部的組織或人員，特別是一些有目的的競爭對手組織。

資訊系統的安全是一個複雜的系統工程，涉及到技術和管理等多個層面。為達成以上目標，東軟股份將在充分調研和分析比較的基礎上採用合理的技術手段和產品以構建一個完整的安全技術體系，同時通過與某省聯通工作人員的共同工作，協助某省聯通建立完善的城域網路安全管理體系。

2 防火牆產品選型推薦
通過對某省聯通城域網網路的應用情況及實際拓撲結構的了解，我們注意到，城域網未來將提供越來越多的增值服務，如視頻服務、線上遊戲等等。這些伺服器資源使用非常集中，對時效性要求非常強，會對網路的傳輸帶寬要求很高，因此推薦的防火牆產品不能對網路的性能有較大的影響。

目前駭客（甚至某些電腦病毒）對網路的攻擊往往利用伺服器應用層協議的漏洞來進行。比如駭客可以通過HTTP對WEB伺服器中IIS程式發動攻擊，一旦攻擊成功後，可進一步在Web伺服器上安裝特殊的木馬程式建立秘密的HTTP通道，整個內部網路就都暴露在駭客的面前。因此推薦的防火牆產品不僅僅具有包過濾的性能，同時更應具有防範應用層攻擊的能力，即具有代理防火牆的安全性。

根據前面的分析，推薦使用東軟集團完全國產研製開發的具有國際先進水準的NetEye防火牆系統。該系統是一套軟硬體結合型防火牆，採用“流過濾”技術，同時具有狀態檢測包過濾與應用代理防火牆的優勢，能夠在交換模式與路由模式下工作，其性能、穩定性、安全性完全可以滿足某省聯通城域網網路的安全及未來發展的需求。

3 某省聯通地市城域網防火牆具體配置建議

a、放置在整個城域網與聯通互聯網的介面處，防範來自外部的攻擊；
b、保證網路的性能不受較大影響；
c、將城域網業務伺服器系統放置在防火牆的DMZ區中，只開放指定端口，這樣可以更好的保證城域網伺服器的安全。

建議在某省聯通各地市城域網與互聯網之間分別放置東軟NetEye 防火牆系統，將城域網伺服器單獨放置在防火牆的一個區域。考慮到某省聯通城域網業務的迅猛發展，視頻、線上遊戲等增值業務是未來的發展方向，對網路帶寬的要求會越來越高，因此我公司建議配置千兆防火牆，以滿足近兩年地市城域網的發展需求，具體型號為NetEye 4200G.。並配置為雙機熱備方式。具體配置圖如下：



項目效果
東軟在NetEye防火牆中以狀態檢測包過濾為基礎實現了一種我們稱之為“流過濾”的結構，其基本的原理是在防火牆外部仍然是包過濾的形態，工作在鏈路層或IP層，在規則允許下，兩端可以直接的訪問，但是對於任何一個被規則允許的訪問在防火牆內部都存在兩個完全獨立的TCP會話，數據是以“流”的方式從一個會話流向另一個會話，由於防火牆的應用層策略位於流的中間，因此可以在任何時候代替伺服器或客戶端參與應用層的會話，從而起到了與應用代理防火牆相同的控制能力。比如在NetEye防火牆對SMTP協議的處理中，系統可以在透明網橋的模式下實現完全的對郵件的存儲轉發，並實現豐富的對SMTP協議的各種攻擊的防範功能。

東軟NetEye防火牆憑藉先進的“流過濾”技術優勢，豐富的功能，穩定的性能，充分滿足某省聯通城域網網路的安全及未來發展的需求，在多次大規模爆發的蠕蟲事件中，為用戶有效的保護了網路資產，贏得了某省聯通的信賴！