DCN安全加固方案

《DCN安全加固方案》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、南通分公司DCN安全加固方案南通分公司DCN安全加固方案中国移动通信集团江苏有限公司南通分公司2008年8月5南通分公司DCN安全加固方案目录一、实施背景3二、方案简介3三、现网结构3四、加固后网络结构4五、加固方案4六、费用测算55南通分公司DCN安全加固方案一、实施背景从今年起，省公司加强了对DCN信息网络安全事件的考核，因南通已经出现多起营业厅、OA机器攻击省公司BOSS主机的事件，被省公司扣分，因此有必要对DCN网络安全进行加固。二、方案简介经分析研究，目前攻击省公司BOSS服务器的机器大多由病毒、木马引起，且机器中毒具有不可预料性，仅仅依赖杀毒软件显然不能做到有效

2、防御。有两种方法可以有效抵御攻击BOSS主机事件，一是给每个终端安装能够控制终端并发连接数的客户端；二是安装防火墙，通过防火墙限制终端连接SESSION数。通过仔细对比，方法一终端数目众多，很可能因新增终端客户端未及时安装或者客户端进程退出等原因造成防御效果不佳，此外如此多数目的终端不能集中统一管理也是一大难题。方法二具有较高的可行性，可以集中管理，而且启用防火墙也可以对防火墙以下的接入用户起到很好的保护作用。三、现网结构5南通分公司DCN安全加固方案一、加固后网络结构二、加固方案现网营业厅与OA分别汇聚到两台4802与5200F，接入两台7609。如防火墙位置放置于480

3、2以及5200F之前，至少需要4台防火墙才能实现安全加固功能。现方案在两台GSR与7609间各增加一台防火墙，通过防火墙对经过7609的流量做过滤，两台防火墙分别对经过的流量进行策略控制。两台防火墙工作于A/A（active/active）的HA模式，通过HA实现设备状态检测以及session连接的状态同步，因DCN网络结构为对称结构，避免了从一条链路出从另一条链路进儿引起的SESSION状态无法检测的情况。现网中7609与GSR之间采用GE、FE双链路连接，平时流量走GE，FE作为备份。加入防火墙后，将防火墙设为透明模式，并配置使得OSPF得以穿越，因GE的COST值比F

4、E要低，因此流量会选择从防火墙通过。任意一台防火墙故障，流量会从分流到另一台防火墙，如两台防火墙同时故障，流量会从FE走，当FE也中断时，OSPF会自动选择从7507走，防火墙的故障不会对业务产生任何影响。加固后防火墙串接在7609与GSR之间，防火墙的性能直接影响到网络质量。5南通分公司DCN安全加固方案因此选取业务上符合要求（可以对单个IP的并发连接数做限制）同时具备较高性能的防火墙是本方案的关键。建议选取juniper的中高端千兆防火墙产品SSG－550M，该防火墙在同级别产品中性能处于领先位置，配置千兆SFP端口，支持1Gbps的防火墙吞吐以及500Mbps的VPN

5、流量，最大并发连接256K，统一威胁管理（UTM）特性提供从网络底层到应用层的整体保护。目前该产品已经在无锡公司DCN网稳定运行。一、费用测算本次加固需增加两台防火墙，因防火墙原为千兆电口，需更换为SFP光口，价格如下表：模块数量（个）单价（元）总价（元）SSG-550M-SH,1GBDRAM,2AC252000104000JXE-1GE-SFP-S,1PortFiberGigabitEthernetEnhancedPIM4470018800JX-SFP-1GE-LXSFP1000Base-SXGigabitOpticalModule4300012000售后维保113480

6、0×10%13480合计148280计入工程辅料、施工费用等，整个项目约需投资约15万元。5