電信安全解決方案

安全建議書安全建議書第第1頁工程建議書技術文檔 密級:保密企業(yè)網(wǎng)絡安全解決方案助力企業(yè)網(wǎng)絡安全治理和應用層管控山石網(wǎng)通二零零七年十二月目錄\l“_TOC_250013“第一章公司簡介 1其次章：電信運營商網(wǎng)絡安全現(xiàn)狀 22．1電信運營商網(wǎng)絡現(xiàn)狀及面臨的挑戰(zhàn) 2\l“_TOC_250012“第三章HillStone電信網(wǎng)絡安全解決方案 4\l“_TOC_250011“網(wǎng)絡安全設計的根本原則 4\l“_TOC_250010“技術先進性和有用性原則 4\l“_TOC_250009“高牢靠性原則 4\l“_TOC_250008“易于擴展和升級的原則 5\l“_TOC_250007“治理和維護的便利性 5\l“_TOC_250006“電信網(wǎng)絡安全方案設計 5\l“_TOC_250005“HillStoneNetworks電信網(wǎng)絡安全解決方案示意圖 5\l“_TOC_250004“HillStone安全方案描述 53.2.3HillStone網(wǎng)絡安全解決方案為用戶帶來的好處 7\l“_TOC_250003“3.2。4HillStoneVPN網(wǎng)絡 8\l“_TOC_250002“第四章產(chǎn)品介紹 10\l“_TOC_250001“Hillstone安全產(chǎn)品架構和特點 10\l“_TOC_250000“Hillstone安全產(chǎn)品核心功能介紹 12山石網(wǎng)科通信技術〔北京)〔以下簡稱“山石網(wǎng)科”)創(chuàng)立于2006年，是網(wǎng)絡安全領域的代表企業(yè)之一,公司總部位于中國北京,并在美國硅谷設有研發(fā)中心。山石網(wǎng)科積存是專業(yè)的一代安全網(wǎng)絡設備供給商。目前，山石網(wǎng)科擁有員工200余人，其中博士、碩士占30%以上,公司的核心團隊由來自Juniper、Cisco、Netscreen、FortinetH3C等中外著名企業(yè)的精英組成，具備先進的技術閱歷475,太區(qū)形成了良性進展的產(chǎn)業(yè)和營銷體系。自成立以來,用產(chǎn)品和方案來幫助客戶獲得網(wǎng)絡安全，從而實現(xiàn)自身的企業(yè)價值。山石網(wǎng)科憑借其獨特的，并供給高性價比的一代網(wǎng)絡安全整體解決方案，服務于中國高速進展的網(wǎng)絡市場。作,SR系列安全路由器和SA系列安全網(wǎng)關產(chǎn)品，已經(jīng)為網(wǎng)絡安全領域樹立了的安全網(wǎng)絡產(chǎn)品質量水平，在國內(nèi)各大中小型企業(yè)及各高校中擁有了強大的客戶群體，并贏得了用戶的高度確定。全穩(wěn)健和諧進展的長征中,攜手共贏！其次章：電信運營商網(wǎng)絡安全現(xiàn)狀2．1電信運營商網(wǎng)絡現(xiàn)狀及面臨的挑戰(zhàn)6,互聯(lián)網(wǎng)飛速進展,制造了世界電信進展史上的奇跡。通信技術的融合以及寬帶網(wǎng)絡、IP技術和終端的融合等等.這種融合超越國界,超越制式，也帶來了更多的商業(yè)時機。質的效勞，以客戶效勞為中心,以供給更加專業(yè)優(yōu)質的效勞為目標，才能在殘酷牢靠性提出了較高的要求。,尤其是對于迅猛進展的互聯(lián).所以構筑安全的電信網(wǎng)絡系統(tǒng)至關重要。IP數(shù)據(jù)為根底的各種增值性,運營商們制造著爆炸性的營業(yè)收入.然而,如何在更.為了能夠把握住這IP網(wǎng)絡的根底上搭建有效的應用效勞網(wǎng)絡構造,而與此網(wǎng)絡進展相關的網(wǎng)絡和應用層安全掌握是企業(yè)成功的關鍵。各種安全威逼對于電信企業(yè)來說可能帶來極大的損害,而不完善的安全防護體制將會導致營業(yè)收入下降、維護本錢上升、客戶忠誠度降低等問題。各種安全威逼分布在從網(wǎng)絡層到應用層的全部節(jié)點上.1、網(wǎng)絡層變得格外不行靠，難以為用戶供給持續(xù)的效勞。同時,基于網(wǎng)絡層的冗余備份機制是電信網(wǎng)絡必需具備的力量,能夠保證供給鏈路和設備的冗余備份。根底網(wǎng)絡義的。2、應用層在電信網(wǎng)絡中,護是需要更高的網(wǎng)絡資源、更高的維護成原來支撐的.如何在保證應用層安全的同時，保持最低的擁有和維護本錢是電信用戶考慮的。第三章HillStone電信網(wǎng)絡安全解決方案網(wǎng)絡安全設計的根本原則技術先進性和有用性原則IT行業(yè)的技術更換代很快，為了保證網(wǎng)絡能夠滿足.一種時機應當是在這種技術在市場上已經(jīng)得到較為廣泛的應用,并且在使用中得到確定之后。雖然這時的技術可能已經(jīng)不是最的技術,但技術已經(jīng)成熟，設備的性性和有用性相結合,并找出其中的平衡點.高牢靠性原則,99999％的牢靠性.建設一個運行穩(wěn)定牢靠的現(xiàn)代化網(wǎng)絡系統(tǒng)，網(wǎng)絡中任何一臺安全設備或任何一條安全設備上的線路發(fā)生故障都不會導致通過該安全設備互聯(lián)的兩個網(wǎng)絡無法通訊,并且能夠保證在不影響網(wǎng)絡正常運行的狀況下完成對網(wǎng)絡故障的檢測和排解.安全建議書安全建議書第第5頁易于擴展和升級的原則在的數(shù)據(jù)網(wǎng)上,用戶對帶寬的需求必將增長，需要將網(wǎng)絡系統(tǒng)擴容，因此在網(wǎng)絡設計時應充分考慮將來網(wǎng)絡的擴容和升級問題.,只通過增加一些模塊就可以實現(xiàn)網(wǎng)絡性能和規(guī)模的擴展，滿足今后幾年業(yè)務進展的需要。治理和維護的便利性處理和解決。電信網(wǎng)絡安全方案設計HillStoneNetworksHillStone安全方案描述HillStoneSA的需求。1HillStone產(chǎn)品供給高性能的安全管控功能由于防火墻部署在電信網(wǎng)絡的關鍵位置，把守著全部數(shù)據(jù)流量的安全掌握，因此對防火墻的轉發(fā)性能以及吞吐要求都比較高。在電信網(wǎng)絡中,一般網(wǎng)絡出口大吞吐的防火墻會顯著降低整個網(wǎng)絡延遲，有效提高企業(yè)生產(chǎn)效率。HillStone.HillStoneSA2Gbps8Gbps務需求。同時HillStoneSA64最高達12萬的TCPSA2HillStone產(chǎn)品供給高效的防攻擊功能,越來越多地人能夠很便利的利用Internet上的免費工具進展準網(wǎng)絡攻擊和真正的網(wǎng)絡攻擊.和以往不同,越來越多的黑客發(fā)防護責任。HillStone產(chǎn)品能夠供給全面地防攻擊力量，能夠針對常見攻擊進展有效阻斷，同時還能夠針對零日攻擊進展準時的推斷和阻斷,有效保護企業(yè)用戶的網(wǎng)絡安全不受侵害。同時，HillStone產(chǎn)品強大的應用層檢測力量以及應用層處理性能為分析和阻擋各類攻擊供給了強大的支持。3HillStone產(chǎn)品供給高性能的應用層管控力量在高速信息交換的Internet上,海量的信息被不斷的公布和掃瞄.對于電信用信息等。HillStoneSA系列產(chǎn)品具有URL地址過濾功能，能夠通過設立黑名單URL地址，防止?jié)撛诘呢熑螁栴}.隨著Internet的不斷普及,的網(wǎng)絡應用層出不窮,并且對于網(wǎng)絡帶寬的占用日益增高，如網(wǎng)絡視頻、網(wǎng)絡玩耍、BT下載等。電信網(wǎng)絡客戶在網(wǎng)絡中運行著應用不斷突破網(wǎng)絡帶寬限制,吞占著有限的網(wǎng)絡帶寬，嚴峻影響著其他客戶的正常使用。HillStoneSA系列安全網(wǎng)關具備細粒度的流量管控機制，甚至能夠針I(yè)P地址配置流量策略.IPIP地址范圍，我們可以定制IP地址的最大帶寬、最小帶寬以及突發(fā)帶寬.結合時間參數(shù)，我們可以定制,能夠更加人性化的治理企業(yè)網(wǎng)絡內(nèi)極為簡單的流中流量的真實狀況，能夠更加合理的安排帶寬資源。目前依靠于網(wǎng)絡應用的時代,能夠做到應用層的安全檢測以及安全防護功能是全部安全廠商的目標.由于應用層的檢測需要進展深度的數(shù)據(jù)包解析,而使用傳統(tǒng)網(wǎng)去實現(xiàn)。HillStoneSA系列安全網(wǎng)關承受創(chuàng)的64位多核處理器以及高達24G的交換總線,ASICNP的弊病,并能夠供給完善的應用層處理力量。4HillStone產(chǎn)品供給冗余備份的網(wǎng)絡架構HillStoneSAHA解決方案,A-AA—P。HillStoneHASession級別的同步，其中包括VPNSA同步，能夠保證網(wǎng)絡的長久暢通，提高客戶滿足度，為電信網(wǎng)絡供給更牢靠更經(jīng)濟的網(wǎng)絡安全解決方案。。3HillStone網(wǎng)絡安全解決方案為用戶帶來的好處HillStone供給專業(yè)的網(wǎng)絡安全效勞HillStone售后閱歷，能夠為用戶供給最準時最有效的安全解決方案。高性能的防火墻和防攻擊力量HillStoneSA地避開網(wǎng)絡攻擊對企業(yè)網(wǎng)絡的影響。先進的應用層管控機制HillStoneSAURL下更細粒度的管控自己的網(wǎng)絡.供給高性能的應用層解決方案前所未有的性能支持，保證在高吞吐高流量的狀況下沉著有效地進展應用層的管控。提高電信網(wǎng)絡部署的敏捷性和擴展性網(wǎng)絡解決方案能夠憑借HillStone幫助企業(yè)網(wǎng)絡應用的演化。在電信網(wǎng)絡的特定網(wǎng)絡安全環(huán)境下,通過的敏捷性和擴展性。降低系統(tǒng)維護難度和本錢憑借多種人性化治理維護方式和 HillStone集中治理功能的實現(xiàn)，HillStone電信網(wǎng)絡解決方案能夠極大的降低系統(tǒng)的維護難度和本錢。術支持和研發(fā)隊伍，能夠為電信網(wǎng)絡應用供給最優(yōu)質的專業(yè)技術保障。和性能要求的同時，供給最優(yōu)的性能價格比和擴展力量。3。2.4HillStoneVPN網(wǎng)絡VPN系統(tǒng)在企業(yè)網(wǎng)絡系統(tǒng)中應用的目的是在一個非信任的通信網(wǎng)絡鏈路或建立一個安全和穩(wěn)定的隧道.為便利遠程用戶和移動辦公用戶能接入到企業(yè)內(nèi)部網(wǎng)絡,同時為保證在基于,HillStone防火墻上VPN功能.IPSec協(xié)議是一種工業(yè)標準協(xié)議,運行于網(wǎng)絡層(OSI的第三層。IPSec供給了一種標準的、強健的以及包涵廣泛的機制,IP及上層協(xié)議〔UDP實施方案相互間可以共通。而且假設想增加的算法,其過程也是格外直接的,不會對共通性造成破壞.IPSec協(xié)議支持：①數(shù)據(jù)的保密性②數(shù)據(jù)的完整性③數(shù)據(jù)來源鑒別④防重放。VPN網(wǎng)絡可以從最大程度上來保證數(shù)據(jù)的安全性。在本方案中,用戶擔憂的問題有:VPN這主要包含在三個方面：1、VPN數(shù)據(jù)在公網(wǎng)上是否有可能被竊取和修改及假冒。〔IPSec〕Internet據(jù)是經(jīng)過高度加密的,可以最高級別地保證數(shù)據(jù)的完整性、安全性、保密性。HillStone防火墻VPN(InternationalComputerSecurityAssociation，ICSA,正式名稱為NSCA〕認證的,因此在公網(wǎng)上是不行能被竊取和修改及假冒.2IPSpoofingIPSpoofing〔IP〕防范和檢測的功能。3、外部利用分支機構下載的帶木馬的軟件或資料，來竊取內(nèi)部信息.到最低。在本方案中,HillStone供給了良好的網(wǎng)絡的集中治理和監(jiān)控功能。利用HillStone防火墻的VPN功能，可以嚴格的掌握數(shù)據(jù)的流向和各種數(shù)據(jù)效勞HillStone防火墻設備的VPN告警功能，可以便利的治理和監(jiān)控各部的網(wǎng)絡運行狀態(tài)。安全建議書安全建議書第第10頁第四章產(chǎn)品介紹Hillstone安全產(chǎn)品架構和特點隨著網(wǎng)絡威逼不斷的進展,純的網(wǎng)絡層安全防護系統(tǒng)無法滿足用戶的需求.傳統(tǒng)防火墻以網(wǎng)絡層防護為主，PCASICNP〔網(wǎng)絡處理器〕純硬件防火墻系統(tǒng)。第三代基于ASICNP架構的防火墻可以實現(xiàn)高性能的網(wǎng)絡安全防護，對于應用層的安全防護無能為力，應用層完全依靠通用CPU進展處理,UTM產(chǎn)品，一旦翻開應用層安全防護功能，如P2P/IM安全掌握、IPS、Web過濾、防病毒以及防垃圾郵件等內(nèi)容過濾功能，性能會急劇下降,無法滿足用戶實際的網(wǎng)絡安全需求.基于以上緣由，Hillstone全線產(chǎn)品承受了創(chuàng)的一代網(wǎng)絡安全架構，硬件64位高性能的多核處理器Multi-CoreCPU〔16核高達24Gbps,安全產(chǎn)品中重要參數(shù)之一的每秒建會話數(shù)是目前業(yè)界最高性能的基于ASIC和NP510倍!64位專用高性能多核處理器的多核并行處理力量為應用層內(nèi)容安全功能供給了強大的保障,同時又避開了純ASIC和NP64位多核處縮以及其他安全功能的芯片級硬件加速功能,使得Hillstone安全產(chǎn)品具有強大高效的VPN和應用層安全處理力量。承受創(chuàng)的一代網(wǎng)絡安全架構的Hillstone網(wǎng)絡安全的紀元.1664MIPS處理器具有強大的應用層安全處理力量,眾所CPUASICCPUASIC／NP架構而承受純CPU的架構。Hillstone承受多核處理器，使得該硬件架構充分考慮到了應用安全建議書安全建議書第第11頁重要指標之一的每秒建連接數(shù)最高到達了20萬／秒,同時結合內(nèi)部高速交換64位專用處理器，Hillstone安全產(chǎn)品具有了強大的應用安全處理力量和可擴展力量，為集成更多的應用安全供給了強大的資源保障.強健的專用實時64位并行操作系統(tǒng)〔RobustSpecificRealtimeOperatingSystem)Hillstone全線產(chǎn)品承受專用多線程實時64位并行操作系統(tǒng)，多線程的并行64位操高了系統(tǒng)的處理效率、系統(tǒng)穩(wěn)定性和安全性。模塊化和多線程的處理機制，為Hillstone器和集成更多安全功能。眾所周知,操作系統(tǒng)是整個安全設備的核心和根底,安全產(chǎn)品的操作系統(tǒng)必需操作系統(tǒng)會暴露大量的操作系統(tǒng)漏洞，安全系統(tǒng)再強大,操作系統(tǒng)的漏洞會直接導致這個系統(tǒng)的崩潰.目前，專用定制的操作系統(tǒng)被廣泛承受。Hillstone安全產(chǎn)品均承受定制的專用操作系統(tǒng)StoneOS.StoneOS具有64位實時并行處理力量，其核心針對Hillstone硬件產(chǎn)品進展了全面優(yōu)化，使得系統(tǒng)具有更高的處理效率和穩(wěn)定性。模塊化的系統(tǒng)構造易于繼承更多的安全功能,系統(tǒng)具有極強的伸縮性和可擴展性。任何獨立的安全模塊消滅問題都不會影響整個系統(tǒng)的運行。高牢靠性和穩(wěn)定性〔HighReliabilityandStability〕積存多年被證明的專業(yè)硬件安全產(chǎn)品研發(fā)和市場閱歷,Hillstone一代網(wǎng)絡IT環(huán)境供給了強大的保障.Hillstone安全產(chǎn)品最大程度上確保企業(yè)關鍵業(yè)務的不連續(xù)運行，提高用戶的競爭力。最低的總體擁有本錢〔LowestTCO〕Hillstone全線產(chǎn)品供給了格外友好的使用和治理界面，部署簡潔、易于維護和治理.敏捷的特性可以滿足不同用戶不同應用環(huán)境的需求.獨特創(chuàng)的一代網(wǎng)絡安全架構供給應用戶最大化的可擴展力量,最大化地保護用戶投資。Hillstone安全產(chǎn)品解決方案特點：創(chuàng)的一代網(wǎng)絡安全架構高性能的綜合安全系統(tǒng)高牢靠性和擴展性高性價比豐富的安全特性TCO友好和易于使用的治理界面細粒度的安全參數(shù)調整出色的內(nèi)容安全綜合處理力量敏捷的部署特性，易于部署和維護全面的產(chǎn)品線，滿足不同用戶的需求專業(yè)的技術支持和銷售團隊P2P/IM應用的安全掌握和細粒化治理Hillstone安全產(chǎn)品核心功能介紹獨特的防火墻狀態(tài)監(jiān)測Hillstone防火墻對經(jīng)過的數(shù)據(jù)包進展狀態(tài)檢測,除了根本的基于數(shù)據(jù)包源地址、,還能夠基于應用特征〔P2P軟件、IM即時通訊工具等〕IPSession數(shù)進展限制，有效的治理客戶端,FTPH。323等較為特別Pinhole技術，通過智能識別技術能夠分析翻開的連接，動態(tài)調整防火墻的安全規(guī)章，在敏捷支持應用的同時，不犧牲安全。源和目的地址源和目的接口IP協(xié)議號TCPUDP端口號端口范圍ICMP信息類型IPTCP中都有的選項類型IPTCP標記組合VLAN信息時間IPSession數(shù)應用特征〔P2P軟件、IM即時通訊工具〕Network強大的防范功能ADforallzonesADpersecurityzoneGenerateAlarmw/odropframeConf—ableTCPtimeoutperservice/rule—--partofitinsession。StaticanddynamicACLIPpacketfragmentationblockingIPOptionanomalydetectionTCPanomalydetectionIPSourceRouteOptionsTracertdatagramcontrolIPAddressSpoofprotectionAddresssweepprotectionPortscanprotectionSessionlimiting：source-basedSessionlimiting:Dest—basedSynFloodICMPFloodUDPFloodLandSmurfFraggleHugeICMPpacketICMPredirectandunreachableARPspoofattackARP主動反向查詢VoIPDOSattacksWinNukePingofDeathTearDropHA高可用性Hillstone一.全面優(yōu)化的軟硬件系統(tǒng)的穩(wěn)定性和高牢靠性為網(wǎng)絡流量和網(wǎng)絡攻擊日益膨脹的企IT環(huán)境供給了強大的保障。Hillstone產(chǎn)品能在最大程度上確保了網(wǎng)絡關鍵業(yè)務的不連續(xù)運行。HillStoneSAHAA-AA—P.HillStoneHASession級別的同步,VPN的SA同步,能夠保證網(wǎng)絡的長久暢通，提高客戶滿足度,為電信網(wǎng)絡供給更牢靠更經(jīng)濟的網(wǎng)絡安全解決方案。靜態(tài)和動態(tài)黑名單Hillstone防火墻允許用戶自定義黑名單列表,將制止訪問的域名、IP地址或網(wǎng)段定義時間。如，當某一IP單位時間內(nèi)連續(xù)ping防火墻超過N次，則將該IP自動添加到動態(tài)黑名單予以阻斷,M分鐘。DHCPDHCPRelayDHCPDHCPRelay。DHCPClientDHCPServerDHCPServer,防火墻可以為網(wǎng)絡中計算機動IP地址的治理。DHCPClientInternet時,IP地址為動態(tài)安排的.IP才能對數(shù)據(jù)包進展訪問掌握。IPIP地址，便利敏捷的接入用戶的網(wǎng)絡環(huán)境。PPPoE撥號目前國內(nèi)越來越多的企業(yè)通過ADSL接入Internet,而ADSL需要撥號以后才能獲得IP地址.這時假設要安裝防火墻需要防火墻必需支持PPPoE協(xié)議,否則無法完成撥號過程,無法接入網(wǎng)絡。HillstonePPPoE協(xié)議，通過在防火墻上ADSLIP地址進展地址轉換、VPN等操作。802。3ad鏈路會聚8023ad,在獲得更高帶寬的同時也供給了更高的鏈路冗余穩(wěn)定性。VLANHillstone802。1Q封裝協(xié)議，也就是說可以把防火墻架設在劃802.1Q協(xié)議時，防VLAN間的數(shù)據(jù)包轉發(fā)，這樣可VLAN在防火墻的配置中將消滅一個虛擬接的安全性和配置敏捷性。VLAN間路由VLAN的透亮穿透IPMAC地址綁定在內(nèi)部網(wǎng)絡的應用中，常常會遇到內(nèi)部網(wǎng)絡用戶擅自修改IP地址，以獵取一個合法IP地址來進展相應的網(wǎng)絡應用,這樣會使內(nèi)部網(wǎng)絡在地址資源的安排和使用上消滅混亂，大大影響內(nèi)部網(wǎng)絡的正常運行.故發(fā)生以后，地址尋找的難度很大。地址與MAC地址綁定規(guī)定某一IP只對應于某一特定的網(wǎng)卡(每個網(wǎng)卡具有唯一的MAC地址〕,即限定一個IP地址只能在一臺指定的機器上使用。當某臺機器通過防火墻訪問Internet時,防火墻要檢查其發(fā)出的數(shù)據(jù)中的IP以及MAC是否與防火墻上的規(guī)定相符，假設相符就放行.否則不允許通過防火墻，這樣可大大便利IP地址治理。支持端口鏡像為了遵從行業(yè)法案，Hillstone防火墻供給端口鏡像功能,它把指定端口的資料包復制到監(jiān)控端口。允許用戶自行設置一個監(jiān)視治理端口來監(jiān)視被監(jiān)視端口的資就可以知道被監(jiān)視端口狀況，從而進展網(wǎng)絡檢測、監(jiān)控和故障排解。基于策略的路由〔PBR〕Hillstone防火墻可以基于不同的策略定義不同的路由.依據(jù)源地址、效勞等定義ISP，應用在多個出口的環(huán)境。支持動態(tài)路由表以動態(tài)地反映網(wǎng)絡拓撲變化。Hillstone支持多種動態(tài)路由RIP〔RIPV1、RIPV2)OSPF協(xié)議。ApplicationLayerGatewayHillstone