Check Point防火墙助电信企业构建安全网络
2006-12-06 12:38:36 来源:WEB开发网该家大型电信服务运营商为户提供不可或缺的电信、通信及信息服务,为了保证服务的水平,其运营系统的稳定性、可靠性和安全性有着过硬的要求,以安全性为例,其电信数据通信网络(DCN) 便采用了在互联网安全领域首屈一指的Check Point 软件技术有限公司的防火墙方案,为网络提供充分的安全保护。
现有DCN网络面临的安全挑战
该电信公司的DCN网络是其所有专业网管系统专用的数据通信网络。武汉、北京、上海为3个DCN网络的核心层节点,与全国31个省级汇接节点互联,构成DCN网络骨干网络。某省电信下设11个地市及节点,若干县级节点,为一典型的三级结构(省级—地市级—县级)。
省中心骨干网向上分别通过两条E1线路连至全国DCN骨干网核心节点,上海和武汉;并通过E1线路和128K DDN连接各地市中心;各县级节点路由器最终将通过2条2M的主用链路分别连接至所属地市。综合DCN现有的安全保护措施主要有:交换机上不同的应用系统划分了不同的VLAN,但几乎所有VLAN之间都互联互通。
DCN网络上已有少量防火墙系统,但主要用来防止来自网络外部的非法访问,例如拨号用户,没有对各市系统之间进行区隔,不能防止各市子系统之间的不安全访问。
部分路由器配置了访问控制列表(ACL,Access Control List),但ACL不能实现复杂的安全控制策略。
网络和系统设备由其固定口令保护,但固定口令容易被破译,一旦攻破即获得相应权限,如被非法利用,其后果不堪设想。
根据以上的安全保护分析,这家电信公司的DCN网络面对下列安全挑战:
§ 用路由器配置访问控制列表来实现边界的安全控制,但功能弱,不能有效的保护网络。
§ 有少量的防火墙,但没有统一集中的控制,安全性必需提高。
§ 静态的口令保护设备,很容易被黑客取得控制权,从而导致全网的安全性下降。
解决方案介绍
Check Point 与其OPSEC (Open Platform for Security) 伙伴i-Security 携手合作,为该电信公司的DCN网络提供整合安全方案,由于这是千兆网络,信息流量大,所以采用了Check Point VPN-1 Pro for Enterprises及i-Security SP-5500。
Check Point VPN-1 Pro 堪称行业中最安全的VPN方案之一,它提供防火墙、VPN及入侵防范保护,整合了Check Point专有的Stateful Inspection、Application Intelligence及One-Click VPN技术,具备简化IPSec/SSL VPN部署、智能化应用及网络层保护、降低远程访问与站点与站点访问成本、及集中化管理等优点。
DCN网络拓扑图
如上图所示,省中心骨干网向上分别通过两条E1线路连接全国DCN骨干网核心节点,上海和武汉。此处为该省电信DCN网络和全国DCN骨干网的分界处,应在此处的两台路由器后布置防火墙,以实现进出流量的访问控制。
主中心和容灾中心分别通过155M POS和2*2M E1与地市级网络相连,此处为省级网络与地市级网络的分界点,应分别在路由器后配置防火墙,以实现省级网络与地市级网络间的访问控制。
地市级网络分别通过155M POS和2*2M E1与主中心和容灾中心网络相连,在此网络分界点配置Check Point VPN-1 Pro边界防火墙实现访问控制。
方案评估
除充分满足用户的安全需求外,本方案所构建的网络安全体系更具有高性能、高可靠性,极端情况下不宕机,可集中管理等优势。
本方案中,Check Point的安全管理架构可对防火墙、VPN乃至其它网络设备进行集中式管理,方便、快捷且节约成本。Check Point开放式安全平台(OPSEC™)伙伴i-Security SP-5500 提供3.2G的防火墙吞吐率;其热插拔电源冗余/硬盘镜像冗余/端口热备份使得系统不会因为硬件故障而中断运行,而Check Point VPN-1 Pro不单为该电信公司智能化及可靠性程度最高的安全保护,同时也简化了其互联网通信管理工作,i-Security SP-5500及 Check Point VPN-1 Pro配合使用可谓相得益彰。
赞助商链接