中國(guó)聯(lián)通公司是一個(gè)新興的電信運(yùn)營(yíng)商，是在中國(guó)電信運(yùn)營(yíng)市場(chǎng)開(kāi)放的情況下成立的。中國(guó)聯(lián)通公司以移動(dòng)業(yè)務(wù)為基礎(chǔ)，逐漸拓展到市話、長(zhǎng)途、ip、數(shù)據(jù)、尋呼等業(yè)務(wù)，成為目前國(guó)內(nèi)經(jīng)營(yíng)業(yè)務(wù)種類最為齊全的電信運(yùn)營(yíng)商。目前中國(guó)聯(lián)通的業(yè)務(wù)范圍包括：移動(dòng)通訊、本地固定通訊、長(zhǎng)途通訊及數(shù)據(jù)通訊等業(yè)務(wù)。

    某聯(lián)通公司目前已經(jīng)開(kāi)通的業(yè)務(wù)有GS M130/131和CDMA133移動(dòng)通訊、193長(zhǎng)途通訊、165數(shù)據(jù)通訊及17911 VoIP電話等。并在各地市建設(shè)城域網(wǎng)，為客戶提供相應(yīng)的網(wǎng)絡(luò)互聯(lián)業(yè)務(wù)，并提供電信增值服務(wù)。城域網(wǎng)同樣需要安全系統(tǒng)建設(shè)。

    需求分析

    a、需要對(duì)地市城域網(wǎng)與省公司骨干傳輸網(wǎng)進(jìn)行訪問(wèn)控制，防止來(lái)自外部互聯(lián)網(wǎng)對(duì)城域網(wǎng)的攻擊。城域網(wǎng)連接著中國(guó)聯(lián)通的骨干傳輸網(wǎng)絡(luò)，并與Internet連接。對(duì)于某省聯(lián)通城域網(wǎng)來(lái)說(shuō)，所有連接到聯(lián)通骨干網(wǎng)的外部網(wǎng)絡(luò)都是不可信任的，需要防火墻系統(tǒng)的保護(hù)。

    b、需要對(duì)城域網(wǎng)的服務(wù)器進(jìn)行保護(hù)。

    每個(gè)地市城域網(wǎng)都有自己的內(nèi)部網(wǎng)絡(luò)和重要服務(wù)器。服務(wù)器都存在著安全隱患，假如不采取網(wǎng)絡(luò)安全措施，服務(wù)器就可能來(lái)自各個(gè)互聯(lián)網(wǎng)絡(luò)的攻擊，因此需要防火墻系統(tǒng)的保護(hù)。

    c、需要對(duì)城域網(wǎng)的客戶進(jìn)行有效治理。

    城域網(wǎng)的客戶比較復(fù)雜，不乏存在著不規(guī)范的上網(wǎng)行為甚至是惡意入侵行為，因此對(duì)城域網(wǎng)的客戶進(jìn)行治理非常重要。比如，通過(guò)防火墻的NAT地址轉(zhuǎn)換、IP/MAC地址綁定、訪問(wèn)日志的記錄、審計(jì)等等功能，可對(duì)城域網(wǎng)的客戶進(jìn)行有效的治理。

    解決方案

    1 綜述

    東軟股份通過(guò)在某省聯(lián)通地市城域網(wǎng)上配置防火墻系統(tǒng)并設(shè)置有效的安全策略將達(dá)到以下目標(biāo)：

    a、保護(hù)基于某省聯(lián)通的城域網(wǎng)業(yè)務(wù)不間斷的正常運(yùn)作，包括構(gòu)成城域網(wǎng)網(wǎng)絡(luò)的所有設(shè)施、系統(tǒng)、以及系統(tǒng)所處理的數(shù)據(jù)（信息）。

    b、某省聯(lián)通地市城域網(wǎng)系統(tǒng)中的重要信息在可控的范圍內(nèi)傳播，即有效的控制信息傳播的范圍，防止重要信息泄露給外部的組織或人員，非凡是一些有目的的競(jìng)爭(zhēng)對(duì)手組織。

    信息系統(tǒng)的安全是一個(gè)復(fù)雜的系統(tǒng)工程，涉及到技術(shù)和治理等多個(gè)層面。為達(dá)成以上目標(biāo)，東軟股份將在充分調(diào)研和分析比較的基礎(chǔ)上采用合理的技術(shù)手段和產(chǎn)品以構(gòu)建一個(gè)完整的安全技術(shù)體系，同時(shí)通過(guò)與某省聯(lián)通工作人員的共同工作，協(xié)助某省聯(lián)通建立完善的城域網(wǎng)絡(luò)安全治理體系。

    2 防火墻產(chǎn)品選型推薦

    通過(guò)對(duì)某省聯(lián)通城域網(wǎng)網(wǎng)絡(luò)的應(yīng)用情況及實(shí)際拓?fù)浣Y(jié)構(gòu)的了解，我們注重到，城域網(wǎng)未來(lái)將提供越來(lái)越多的增值服務(wù)，如視頻服務(wù)、在線游戲等等。這些服務(wù)器資源使用非常集中，對(duì)時(shí)效性要求非常強(qiáng)，會(huì)對(duì)網(wǎng)絡(luò)的傳輸帶寬要求很高，因此推薦的防火墻產(chǎn)品不能對(duì)網(wǎng)絡(luò)的性能有較大的影響。

    目前黑客（甚至某些計(jì)算機(jī)病毒）對(duì)網(wǎng)絡(luò)的攻擊往往利用服務(wù)器應(yīng)用層協(xié)議的漏洞來(lái)進(jìn)行。比如黑客可以通過(guò)HTTP對(duì)WEB服務(wù)器中IIS程序發(fā)動(dòng)攻擊，一旦攻擊成功后，可進(jìn)一步在Web服務(wù)器上安裝非凡的木馬程序建立秘密的HTTP通道，整個(gè)內(nèi)部網(wǎng)絡(luò)就都暴露在黑客的面前。因此推薦的防火墻產(chǎn)品不僅僅具有包過(guò)濾的性能，同時(shí)更應(yīng)具有防范應(yīng)用層攻擊的能力，即具有代理防火墻的安全性。

    根據(jù)前面的分析，推薦使用東軟集團(tuán)完全國(guó)產(chǎn)研制開(kāi)發(fā)的具有國(guó)際先進(jìn)水平的NetEye防火墻系統(tǒng)。該系統(tǒng)是一套軟硬件結(jié)合型防火墻，采用“流過(guò)濾”技術(shù)，同時(shí)具有狀態(tài)檢測(cè)包過(guò)濾與應(yīng)用代理防火墻的優(yōu)勢(shì)，能夠在交換模式與路由模式下工作，其性能、穩(wěn)定性、安全性完全可以滿足某省聯(lián)通城域網(wǎng)網(wǎng)絡(luò)的安全及未來(lái)發(fā)展的需求。

    3 某省聯(lián)通地市城域網(wǎng)防火墻具體配置建議

    a、放置在整個(gè)城域網(wǎng)與聯(lián)通互聯(lián)網(wǎng)的接口處，防范來(lái)自外部的攻擊；

    b、保證網(wǎng)絡(luò)的性能不受較大影響；

    c、將城域網(wǎng)業(yè)務(wù)服務(wù)器系統(tǒng)放置在防火墻的DMZ區(qū)中，只開(kāi)放指定端口，這樣可以更好的保證城域網(wǎng)服務(wù)器的安全。

    建議在某省聯(lián)通各地市城域網(wǎng)與互聯(lián)網(wǎng)之間分別放置東軟NetEye 防火墻系統(tǒng)，將城域網(wǎng)服務(wù)器單獨(dú)放置在防火墻的一個(gè)區(qū)域。考慮到某省聯(lián)通城域網(wǎng)業(yè)務(wù)的迅猛發(fā)展，視頻、在線游戲等增值業(yè)務(wù)是未來(lái)的發(fā)展方向，對(duì)網(wǎng)絡(luò)帶寬的要求會(huì)越來(lái)越高，因此我公司建議配置千兆防火墻，以滿足近兩年地市城域網(wǎng)的發(fā)展需求，具體型號(hào)為NetEye 4200G.。并配置為雙機(jī)熱備方式。

    項(xiàng)目效果

    東軟在NetEye防火墻中以狀態(tài)檢測(cè)包過(guò)濾為基礎(chǔ)實(shí)現(xiàn)了一種我們稱之為“流過(guò)濾”的結(jié)構(gòu)，其基本的原理是在防火墻外部仍然是包過(guò)濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則答應(yīng)下，兩端可以直接的訪問(wèn)，但是對(duì)于任何一個(gè)被規(guī)則答應(yīng)的訪問(wèn)在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的TCP會(huì)話，數(shù)據(jù)是以“流”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話，由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制能力。比如在NetEye防火墻對(duì)SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì)郵件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì)SMTP協(xié)議的各種攻擊的防范功能。

    東軟NetEye防火墻憑借先進(jìn)的“流過(guò)濾”技術(shù)優(yōu)勢(shì)，豐富的功能，穩(wěn)定的性能，充分滿足某省聯(lián)通城域網(wǎng)網(wǎng)絡(luò)的安全及未來(lái)發(fā)展的需求，在多次大規(guī)模爆發(fā)的蠕蟲事件中，為用戶有效的保護(hù)了網(wǎng)絡(luò)資產(chǎn)，贏得了某省聯(lián)通的信賴！