该家大型电信服务运营商为户提供不可或缺的电信、通信及信息服务,为了保证服务的水平,其运营系统的稳定性、可靠性和安全性有着过硬的要求,以安全性为例,其电信数据通信网络(DCN) 便采用了在互联网安全领域首屈一指的Check Point 软件技术有限公司的防火墙方案,为网络提供充分的安全保护。
现有DCN网络面临的安全挑战
该电信公司的DCN网络是其所有专业网管系统专用的数据通信网络。武汉、北京、上海为3个DCN网络的核心层节点,与全国31个省级汇接节点互联,构成DCN网络骨干网络。某省电信下设11个地市及节点,若干县级节点,为一典型的三级结构(省级—地市级—县级)。
省中心骨干网向上分别通过两条E1线路连至全国DCN骨干网核心节点,上海和武汉;并通过E1线路和128K DDN连接各地市中心;各县级节点路由器最终将通过2条2M的主用链路分别连接至所属地市。综合DCN现有的安全保护措施主要有:交换机上不同的应用系统划分了不同的VLAN,但几乎所有VLAN之间都互联互通。
DCN网络上已有少量防火墙系统,但主要用来防止来自网络外部的非法访问,例如拨号用户,没有对各市系统之间进行区隔,不能防止各市子系统之间的不安全访问。
部分路由器配置了访问控制列表(ACL,Access Control List),但ACL不能实现复杂的安全控制策略。
网络和系统设备由其固定口令保护,但固定口令容易被破译,一旦攻破即获得相应权限,如被非法利用,其后果不堪设想。
根据以上的安全保护分析,这家电信公司的DCN网络面对下列安全挑战:
§ 用路由器配置访问控制列表来实现边界的安全控制,但功能弱,不能有效的保护网络。
§ 有少量的防火墙,但没有统一集中的控制,安全性必需提高。
§ 静态的口令保护设备,很容易被黑客取得控制权,从而导致全网的安全性下降。
解决方案介绍
Check Point 与其OPSEC (Open Platform for Security) 伙伴i-Security 携手合作,为该电信公司的DCN网络提供整合安全方案,由于这是千兆网络,信息流量大,所以采用了Check Point VPN-1 Pro for Enterprises及i-Security SP-5500。
Check Point VPN-1 Pro 堪称行业中最安全的VPN方案之一,它提供防火墙、VPN及入侵防范保护,整合了Check Point专有的Stateful Inspection、Application Intelligence及One-Click VPN技术,具备简化IPSec/SSL VPN部署、智能化应用及网络层保护、降低远程访问与站点与站点访问成本、及集中化管理等优点。