网络通信 频道

IP城域网网络安全工程

    近几年来,随着社会信息化进程的加快,企业网络化应用开始向纵深发展,外联网、存储网络、局域网互连、高速数据传送、会议电视等新旧业务和应用的需求不断丰富,进而对网络带宽产生更高的需求。目前,骨干网带宽已经比较丰富,宽带接入手段多样化,带宽的瓶颈在城域网表现得最为突出。因此,城域网作为电信舞台上的新角色,在过去两年中掀起了一轮建设的热潮。福建是我国南部经济增长较快的省份,随着经济的快速增长,省内的互联网业务也呈指数级增长。尤其是宽带互联网业务,以其速度快、价格低等特点,获得了越来越多企业和个人的青睐,同时也成为了各大电信运营商的竞争的焦点。

一、福建联通安全问题浮出水面
    中国联通福建分公司(简称福建联通)城域网建成后发挥了巨大的作用,在短时间内迅速提升了福建省互联网的应用水平。但互联网的广泛应用和电子商务的迅速发展以及用户数量的激增,特别是黑客和病毒的泛滥,使福建联通原有的城域网暴露出一些问题,主要体现在三个方面:一是原有的城域网中IP地址比较混乱,同时公网IP地址的资源也越来越紧张,如何解决IP地址短缺问题已成为当务之急;二是目前各个城市的城域网只有一条出口链路,没有冗余设备,可以说这是一个很脆弱的单点故障;三是随着网内用户数越来越多,用户类型越来越复杂,网络安全问题开始显得日益突出,如何把黑客和病毒拒之于网外,也成为了福建联通急需解决的问题。
    为了解决上述问题,更好地为用户服务,并发展更多的用户,福建联通再次携手思科进行了全省IP城域网网络安全的二期改造工程。福建联通之所以再次选择思科进行网络安全的改造主要有以下原因:首先,思科公司是网络的安全专家,可以协助联通在透彻分析网络的基础上提出网络安全解决方案,部署网络安全产品。思科可以把网络安全建设融入整个网络的建设,使网络安全体系与整个网络有机结合为一体,这样不但能够有效地防御网络攻击,而且可以使安全体系随着网络的扩展而扩展,不会造成投资的浪费;其次,思科的网络安全产品和解决方案能够充分满足福建联通的需求,并且思科拥有IP城域网安全建设方面的丰富经验;其三,思科已在中国建立起强有力的售后服务体系,在其支持下,可以保证全网安全稳定地运行。

二、思科提出网络安全解决方案
    通过分析福建联通的网络情况和业务情况,在城域网二期项目中,思科做出以下部署,提出具体的福建联通城域网二期工程改建方案:为了解决用户提出的IP地址短缺问题和安全防御薄弱的问题,在福建省的每个地级市的城域网中增加部署CiscoPIX防火墙,利用CiscoPIX防火墙的非UNIX的安全、实时和嵌入式系统,来消除通用操作系统所带来的风险,提供了突出的安全性能;利用CiscoPIX防火墙的自适应安全算法,来为所有的TCP/IP对话提供静态安全性,以保护敏感的保密资源。另外还可以利用CiscoPIX防火墙强大的IP地址管理和用户控制的功能,将分配给最终用户的私有IP地址进行网络地址转换(NAT),使用户取得公网IP地址以访问Internet网络,从而实现城域网的IP地址管理,节省宝贵的IP地址资源,扩展网络地址空间,解决IP地址短缺的问题。
    针对城域网出口链路脆弱的问题,联通主要通过增设Cisco高端路由器来实现城域网核心节点的IP智能建设和增加城域网出口的冗余链路。Cisco高端路由器可以提供高性能、高密度、高度模块化和高可用性,每端口价格低,具有业界领先的维护简便性和可管理性,非常适合福建联通城域网目前的网络环境。

三、为福建联通布控全面安全体系
    为了做到量体裁衣地制定网络安全方案,思科协助福建联通,根据各个地级市的城市规模、业务发展和网络建设的具体情况,为福建联通城域网防火墙的选择制定了不同的标准,选用了两种设备:CiscoPIX525和CiscoPIX535,全面构建不同城市的网络安全防控体系。
    在莆田、南平、三明、龙岩等中小型城市采用CiscPIX 525-DC,可以满足中小城市目前的需求,并为今后的发展提供了预留空间。CiscPIX 525-DC是世界领先的防火墙,其安装、配置简单,网络中断时间非常少,平均无故障时间(MTBF)超过60000小时。CiscPIX 525-DC最多支持多达28万个同时连接,完全可以满足中小型城市目前的应用和未来一段时间的网络安全需求。
    在福州、厦门、漳州、泉州、宁德等大型城市采用CiscoPIX535-DC防火墙。PIX 535是一种能够提供非常强大保护能力的通用防火墙设备,能够进行50万个同时连接,并同时防止常见的拒绝服务(DoS)攻击。它支持使用56位数据加密标准(DES)或168位3DES对VPN应用进行站点到站点和远程访问。PIX 535的集成VPN功能可以得到VPN加速卡(VAC)选件的支持,能够提供100 Mbps的吞吐量和2000个IPSec隧道。PIX 535可以通过部署一个冗余的热备用单元来实现高可用性,这保证了即使是在系统故障情况下,PIX 535也能够维护正常工作。PIX 535拥有9个PCI插槽(4个64位/66MHz,5个32位/33MHz),6个DIMM插槽,支持多达6GB的PC133 DRAM。采用PIX 535既能满足省内几个大型城市目前业务的发展,并且具有很大的扩展升级空间。

四、福建联通安全得到可靠保障
    在思科和福建联通的共同努力下,福建联通城域网的改建工程顺利完成。改建成后的城域网拥有以下主要特点:
    高度的可靠性:福建联通城局网关键的出口链路具备了冗余设备,两条链路连接同时工作,确保在故障条件下能够实现自动愈合,增强了对病毒和黑客的防御力量,整个网络变得更加稳定可靠。
    安全级别增高:在关键位置增设防火墙,提高了福建联通整个城域网的安全级别,并且具有更高的升级空间,整个网络变得更加安全、更加稳定。
    解决了IP地址短缺问题:思科防火墙的NAT功能可保障内部私有IP网络间的安全,同时还可以让内部多个私有IP通过一个或多个公用IP同时上网,从而解决IP地址资源短缺的困扰。
    从整个福建联通城域网二期工程的建设上看,采用思科的安全产品和网络解决方案,保证了联通城域网网络建设的初衷。福建联通表示,改建后的城域网网络,由于具有极高的安全性,能够保证快速灵活地部署电信的各种新一代业务,并且为多业务系统提供出色的服务质量保证,完全可以适应福建联通业务发展的要求,提高了用户满意度,增强了福建联通在同行业中的竞争能力。

 

 

转载地址:http://www.cww.net.cn/Technique/2003/11/6996.htm

0
相关文章