增值业务安全解决方案

增值业务安全解决方案

ID:16276193

大小:673.50 KB

页数:12页

时间:2018-08-08

增值业务安全解决方案_第1页
增值业务安全解决方案_第2页
增值业务安全解决方案_第3页
增值业务安全解决方案_第4页
增值业务安全解决方案_第5页
资源描述:

《增值业务安全解决方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、哈广电增值业务系统安全解决方案哈尔滨有线电视网络有限公司2012年3月目录1.增值业务系统安全建设思路11.1稳定性11.2安全性11.3实用性12.整体网络设计方案22.1网络整体拓扑方案22.2广电侧系统和通过互联网与其他系统连接的网络安全策略22.3路由协议的选择32.4安全性设置42.5防火墙策略设计63.设备选型73.1网络设备型号(思科方案)73.1.1防火墙型号73.1.2交换机型号73.2网络设备型号(华为方案)83.2.1交换机型号83.2.2防火墙型号83.3网络设备型号(DPtech

2、方案)93.3.1交换机型号93.3.2防火墙型号93.4网络设备厂商介绍91.增值业务系统安全建设思路整个增值业务中OA、中间业务平台全业务管理系统、网上营业厅、充值卡系统以及新改版的人才、阳光政务、交警查询等系统主要面临两个方向的网络访问,一是通过互联网与外部网络的数据交换,二是广电侧本地终端和广电其他系统的网络互访。按照哈尔滨有线电视增值业务服务器数据流向和服务器运行的稳定性、安全性等多方面进行考虑需对整个增值业务系统的网络安全进行如下的规划。1.1稳定性增值业务系统安全网络运行的稳定性包括安全设备

3、的稳定性和线路的稳定性,安全设备稳定性采用HA技术保障设备的稳定、OSPF和VRRP技术保障线路的稳定性。1.2安全性为了保障整个广电增值业务系统服务集群的安全需要对以上两个方向的网络访问进行有效的限制和隔离,对可能发生的网络入侵事件进行深度检测和阻断。1.3实用性充分保护好、利用好现有的资源,发挥现有设备的功效,功能完善、兼容性强,安全设备需要多核CPU支持多功能性,保证多种功能的协同工作,最大限度的发挥安全设备的功效。101.整体网络设计方案1.1网络整体拓扑方案1.2广电侧系统和通过互联网与其他系统

4、连接的网络安全策略10交换机与防火墙之间采用VRRP状态热备,使两台交换机工作在主-备模式下,为每台服务器提供一个虚拟的缺省网关。当主交换机发生故障Down掉后,另一台交换机会自动接管,使得网络不间断的进行数据转发。两台核心层设备均采用全冗余配置,以确保核心节点的高可靠性。各应用服务器,可通过1000M电口与两台交换机相连接,保证设备的高速接入与数据的快速转发,以及各客户端机的高速访问。双防火墙之间采用HA进行状态同步,在链路切换前,对会话信息进行主备同步(HA);在设备故障后能将流量切换到其他备份设备,

5、由备份设备继续处理业务,从而保证了当前的会话不被中断。如下图所示,在接入点的位置部署两台防火墙,当其中一台防火墙发生故障时,数据流被引导到另一台防火墙上继续传输,因为在流量切换之前已经进行了数据同步,所以当前业务不会中断,从而提高了网络的稳定性及可靠性。1.1路由协议的选择目前业界流行的IGP路由器协议有静态、RIP、OSPF、ISIS等几种,静态和RIP应用在简单、小型的网络中,可扩展性非常小;ISIS则主要应用与运营商的骨干网;而OSPF则是目前应用最广泛的动态路由器协议。OSPF是OpenShort

6、estPathFirst(即“开放最短路由优先协议”)的缩写。它是IETF组织开发的一个基于链路状态算法应用在自治系统内部的路由协议。在IP网络上,它通过收集和传递自治系统内部设备的链路状态信息来动态地发现并传播路由。由于OSPF发展成熟,厂商支持广泛,已经成为世界上使用最广泛的IGP,尤其在企业级网络,也是IETF推荐的唯一的IGP。其他路由协议所能适应的网络和具备的主要优点,OSPF都能适应。10基于路由协议选择的原则和OSPF路由协议的特点,我们建议选择OSPF路由协议做为本系统使用的路由协议。OS

7、FP的网络通常不能超过100个网络节点,否则因为拓扑表的庞大,计算时间,以及消息扩散时间都会大大增加,并引起严重的网络拥塞。一般情况下,OSPF收敛时间普遍为4秒内。对于小的网络,收敛速度几乎无察觉。迪普防火墙多核处理器+FPGA硬件架构,并行处理技术,大大提升设备对路由信息处理速度,可以将网络的收敛速度控制在3秒内完成,同行业中,该技术处于领先地位。防火墙与松花江光传输设备CISCO6506采用OSPF协议进行传输。OSPF协议对两条链路状态进行检测,即当前链路故障时,自动采用备份链路进行数据传输。1.

8、1安全性设置防火墙是保证网络安全的一道网,在本项目中,防火墙采用多核处理器方式实现防火墙功能和IPS(入侵防御系统功能),对外通过两条线路与外部网络出口相连,通过NAT技术,实现用户对外网的访问;通过防火墙的合理配置,屏蔽内、外部网络的一些非法访问,实现内、外网之间的网络割离。对于外部的服务器和客户端对系统内部局域网中应用服务器的访问,通过3-7层网络特10征(如IP地址、端口、MAC、7层特征码等)对外部访问进行严格限制。利

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。