基于GPRS/EDGE專網(wǎng)系統(tǒng)

分類：解決方案日期：2010-07-16 11:44:04

一、需求分析

　　近年來，信息技術(shù)的飛速發(fā)展，特別是以計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)Internet為代表的計(jì)算機(jī)信息網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)在全世界的迅速推廣和使用，使人們獲取、交流和處理信息的手段發(fā)生了巨大的變化，深刻地影響著人們的交流、工作、學(xué)習(xí)、生活和娛樂的方式。移動(dòng)信息化正是適應(yīng)時(shí)代變化的企業(yè)信息全面解決方案，使企業(yè)獲得全面的信息化服務(wù)，實(shí)現(xiàn)企業(yè)信息的智能管理，提高企業(yè)管理與生產(chǎn)效率，更有效的適應(yīng)市場競爭的需要。

　　某移動(dòng)提出的移動(dòng)信息化全面解決方案是以涵蓋數(shù)據(jù)通信、信息服務(wù)、增值業(yè)務(wù)的全數(shù)據(jù)觀念為基礎(chǔ)，利用移動(dòng)通信網(wǎng)、移動(dòng)智能網(wǎng)及移動(dòng)互聯(lián)網(wǎng)，針對(duì)行業(yè)的具體需求和應(yīng)用提供的一體化解決方案。

　　移動(dòng)信息化是以移動(dòng)通信網(wǎng)和移動(dòng)互聯(lián)網(wǎng)集成的綜合通信平臺(tái)。移動(dòng)信息化涵蓋集團(tuán)移動(dòng)電話網(wǎng)（VPMN）、語音專線、會(huì)議通、語音信息通知、移動(dòng)辦公助理、車輛調(diào)度、國際移動(dòng)互聯(lián)網(wǎng)專線、GPRS/EDGE專網(wǎng)等服務(wù)內(nèi)容。GPRS/EDGE是目前解決移動(dòng)通信信息服務(wù)的一種較完美的業(yè)務(wù)，它是以數(shù)據(jù)流量計(jì)費(fèi)、覆蓋范圍廣泛、數(shù)據(jù)傳輸速度更快。GPRS/EDGE的推出，為行業(yè)和企業(yè)用戶開展無線辦公提供了基礎(chǔ)設(shè)施平臺(tái)，為推動(dòng)移動(dòng)辦公的應(yīng)用和發(fā)展創(chuàng)造了有利條件。與有線網(wǎng)絡(luò)相比，GPRS/EDGE網(wǎng)絡(luò)具有租用費(fèi)用低、移動(dòng)辦公，不受地域制約等優(yōu)點(diǎn)。GPRS/EDGE的出現(xiàn)為企業(yè)和行業(yè)用戶開展無線辦公提供了一種新的選擇。

　　GPRS/EDGE通信方式更適合于彩票投注業(yè)務(wù)，目前彩票的業(yè)務(wù)中心與各營業(yè)點(diǎn)采用DDN或者電話線傳送數(shù)據(jù)。彩票業(yè)務(wù)單筆流量很小，采用DDN或IDSL專線月租費(fèi)太高，用電話線傳送數(shù)據(jù)按時(shí)間計(jì)費(fèi)，帶來諸多不便，費(fèi)用也不便宜。因此，許多省市彩票中心都考慮對(duì)傳統(tǒng)通信方式進(jìn)行改造，GPRS/EDGE無線傳輸數(shù)據(jù)有以下優(yōu)勢(shì)：

　　1．GPRS/EDGE用戶可隨意分布和移動(dòng)自己的網(wǎng)絡(luò)點(diǎn)，無須擔(dān)心線路的維護(hù)或有線在移機(jī)時(shí)導(dǎo)致的通訊中斷。建設(shè)新的營業(yè)點(diǎn)無需進(jìn)行拉線，埋線等工作。較光纖，或?qū)＞€系統(tǒng)投資較少，設(shè)備安裝方便。

　　2．終端價(jià)格比較低，與DDN相比，較DTU或基帶Modem(DDN專線Modem)其終端價(jià)格便宜很多。

　　3．GPRS/EDGE資費(fèi)便宜，計(jì)費(fèi)合理。GPRS/EDGE 資費(fèi)包月比有線電話網(wǎng)絡(luò)資費(fèi)還便宜。彩票投注沒有大數(shù)據(jù)量的信息傳輸，不必要采用資費(fèi)很高的專線（DDN、幀中繼）。GPRS/EDGE還可根據(jù)通信的數(shù)據(jù)量和提供的服務(wù)質(zhì)量進(jìn)行計(jì)費(fèi)。在GPRS/EDGE網(wǎng)中，用戶只需與網(wǎng)絡(luò)建立一次連接，就可長時(shí)間的保持這種連接，并只在傳輸數(shù)據(jù)時(shí)才占用信道并被計(jì)費(fèi)，保持時(shí)不占用信道也不計(jì)費(fèi)。這樣，營業(yè)點(diǎn)即不用頻繁建立連接，也不必支付傳輸間隙時(shí)的費(fèi)用。

　　4．GPRS/EDGE能最好地支持頻繁的、少量突發(fā)型數(shù)據(jù)業(yè)務(wù)。通信質(zhì)量穩(wěn)定可靠，永不掉線。

　　5．GPRS/EDGE網(wǎng)絡(luò)接入速度快，提供了與現(xiàn)有數(shù)據(jù)網(wǎng)的無縫連接。

　　由于GPRS/EDGE網(wǎng)本身就是一個(gè)分組型數(shù)據(jù)網(wǎng), 支持TCP/IP、X.25協(xié)議，因此無需經(jīng)過PSTN等網(wǎng)絡(luò)的轉(zhuǎn)接，直接與分組數(shù)據(jù)網(wǎng)（IP網(wǎng)或X.25網(wǎng)）互通，接入速度僅幾秒鐘，快于電路型數(shù)據(jù)業(yè)務(wù)。采用TCP/IP協(xié)議，較以前的無線數(shù)據(jù)網(wǎng)絡(luò)（集群，雙向傳呼，GSM短信息）而言，網(wǎng)絡(luò)接入更加直接方便。

　　6．覆蓋較好，比較很多無線數(shù)據(jù)網(wǎng)絡(luò)（集群，雙向傳呼，CDPD，CDMA）而言，其網(wǎng)絡(luò)覆蓋是最好的。

　　二、解決方案

　　1．系統(tǒng)結(jié)構(gòu)圖

　　2．系統(tǒng)組成

　　1）終端設(shè)備

　　用戶端：

　　采用廈門四信通信科技有限公司的GPRS/EDGE路由器，采用以太網(wǎng)\串口和彩票機(jī)相連，完成用戶系統(tǒng)的構(gòu)成，其中用戶的計(jì)算機(jī)運(yùn)行用戶的系統(tǒng)軟件和應(yīng)

　　局端：

采用某移動(dòng)提供的線路和接口。

　　隨著科技的不斷發(fā)展，便攜式PC\臺(tái)式機(jī)功能日漸強(qiáng)大，對(duì)于企業(yè)的員工而言操作更方便。

　　用戶系統(tǒng)：

　　用戶采用PC機(jī)，利用以太網(wǎng) \ 串口和本終端相連，實(shí)現(xiàn)系統(tǒng)的通信。

　　廈門四信提供的F3123 GPRS路由器和F3323 EDGE路由器通用的操作環(huán)境和強(qiáng)大的處理能力使得終端設(shè)備能夠通過對(duì)GPRS/EDGE網(wǎng)絡(luò)及后臺(tái)應(yīng)用服務(wù)的支持，迅速完成數(shù)據(jù)查詢及業(yè)務(wù)處理。

　　應(yīng)用服務(wù)

　　主要由四層軟件組成:

　　前端軟件：

　　前端軟件運(yùn)行于終端上，支持本地業(yè)務(wù)數(shù)據(jù)的查詢及業(yè)務(wù)事務(wù)處理；同時(shí)管理

　　無線通訊網(wǎng)絡(luò)，完成撥號(hào)、掛斷及狀態(tài)監(jiān)測；對(duì)于事務(wù)處理請(qǐng)求與確認(rèn)，實(shí)現(xiàn)可靠

　　的傳輸控制，保證與局端的協(xié)作。

　　外網(wǎng)服務(wù)軟件：

　　外網(wǎng)服務(wù)軟件完成與前端軟件的安全認(rèn)證及加解密，協(xié)同外網(wǎng)查詢數(shù)據(jù)庫完成

　　數(shù)據(jù)查詢請(qǐng)求的處理及應(yīng)答；處理內(nèi)網(wǎng)服務(wù)器產(chǎn)生的數(shù)據(jù)同步命令維護(hù)外網(wǎng)查詢數(shù)

　　據(jù)庫；為內(nèi)網(wǎng)服務(wù)軟件與前端軟件提供穿透物理隔離的傳輸，使業(yè)務(wù)處理請(qǐng)求可以

　　安全有效地到達(dá)內(nèi)網(wǎng)并進(jìn)行處理。

　　內(nèi)網(wǎng)服務(wù)軟件：

　　內(nèi)網(wǎng)服務(wù)軟件完成與外網(wǎng)服務(wù)軟件的隔離傳輸，及與前端軟件的安全認(rèn)證和加

　　解密，對(duì)前端產(chǎn)生的事務(wù)處理請(qǐng)求進(jìn)行解釋、執(zhí)行，依靠數(shù)據(jù)庫適配層軟件，將各

　　業(yè)務(wù)數(shù)據(jù)庫同步至外網(wǎng)查詢服務(wù)軟件。

　　局端數(shù)據(jù)庫適配層軟件：

　　局端數(shù)據(jù)庫適配層軟件對(duì)存在于多體系異種數(shù)據(jù)庫平臺(tái)的業(yè)務(wù)數(shù)據(jù)庫提供抽象

　　接口，支持內(nèi)網(wǎng)服務(wù)軟件完成事務(wù)處理及數(shù)據(jù)同步。

　　用于GPRS/EDGE網(wǎng)絡(luò)的無線數(shù)據(jù)傳輸

　　經(jīng)過數(shù)年多的建設(shè)，某移動(dòng)GPRS/EDGE網(wǎng)實(shí)現(xiàn)了沿海地區(qū)的全面覆蓋和山區(qū)地區(qū)的地市覆蓋，并且于2002年5.17正式向用戶提供服務(wù)。GPRS/EDGE業(yè)務(wù)的高速數(shù)據(jù)傳輸、“永遠(yuǎn)在線”、“流量計(jì)費(fèi)”和“全國漫游”的特性以及中國移動(dòng)的優(yōu)質(zhì)網(wǎng)絡(luò)，滿足了不同層次客戶的需求，也為發(fā)展行業(yè)應(yīng)用奠定了堅(jiān)實(shí)的基礎(chǔ)。

　　3．專線APN傳輸方式

　　根據(jù)企業(yè)對(duì)網(wǎng)絡(luò)安全的特殊要求，沈陽移動(dòng)通信分公司和廈門四信通信科技有限公司合作設(shè)計(jì)了基于GPRS/EDGE網(wǎng)絡(luò)的數(shù)據(jù)傳輸方案，采用了多種安全措施，主要包括：

　　l 通過一條2M 專線接入某移動(dòng)GPRS/EDGE網(wǎng)絡(luò)，雙方互聯(lián)路由器之間采用私有IP地址進(jìn)行廣域連接，在GGSN與某移動(dòng)互聯(lián)路由器之間采用GRE隧道。

　　l 為某移動(dòng)的客戶分配專用的APN，普通用戶不得申請(qǐng)?jiān)揂PN。用于GPRS/EDGE專網(wǎng)的SIM卡僅開通該專用APN，限制使用其他APN。

　　l 客戶可自建一套R(shí)ADIUS服務(wù)器和DHCP服務(wù)器，GGSN向RADIUS服務(wù)器提供用戶主叫號(hào)碼，采用主叫號(hào)碼和用戶賬號(hào)相結(jié)合的認(rèn)證方式；用戶通過認(rèn)證后由DHCP服務(wù)器分配企業(yè)內(nèi)部的靜態(tài)IP地址。

　　l 端到端加密：移動(dòng)終端和服務(wù)器平臺(tái)之間采用端到端加密，避免信息在整個(gè)傳輸過程中可能的泄漏。

　　l 雙方采用防火墻進(jìn)行隔離，并在防火墻上進(jìn)行IP地址和端口過濾。

　　4．業(yè)務(wù)流程

　　GPRS/EDGE專網(wǎng)系統(tǒng)終端上網(wǎng)登錄服務(wù)器平臺(tái)的流程為：

　　1）用戶發(fā)出GPRS/EDGE登錄請(qǐng)求，請(qǐng)求中包括由某移動(dòng)為GPRS/EDGE專網(wǎng)系統(tǒng)專門分配的專網(wǎng)APN；

　　2）根據(jù)請(qǐng)求中的APN，SGSN向DNS服務(wù)器發(fā)出查詢請(qǐng)求，找到與企業(yè)服務(wù)器平臺(tái)連接的GGSN，并將用戶請(qǐng)求通過GTP隧道封裝送給GGSN；

　　3）GGSN將用戶認(rèn)證信息（包括手機(jī)號(hào)碼、用戶賬號(hào)、密碼等）通過專線送至Radius進(jìn)行認(rèn)證；

　　4）Radius認(rèn)證服務(wù)器看到手機(jī)號(hào)等認(rèn)證信息，確認(rèn)是合法用戶發(fā)來的請(qǐng)求，向DHCP服務(wù)器請(qǐng)求分配用戶地址；

　　5）Radius認(rèn)證通過后，由Radius向GGSN發(fā)送攜帶用戶地址的確認(rèn)信息；

　　6）用戶得到了IP地址，就可以攜帶數(shù)據(jù)包，對(duì)GPRS/EDGE專網(wǎng)系統(tǒng)信息查詢和業(yè)務(wù)處理平臺(tái)進(jìn)行訪問。

　　三、網(wǎng)絡(luò)安全

　　1．安全方案的設(shè)計(jì)原則

　　在設(shè)計(jì)GPRS/EDGE彩票系統(tǒng)網(wǎng)絡(luò)的安全系統(tǒng)時(shí)，我們將遵循以下原則：

　　l 體系化設(shè)計(jì)原則

　　通過分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險(xiǎn)，從而最大限度地解決可能存在的安全問題。

　　l 全局性、均衡性、綜合性設(shè)計(jì)原則

　　從全局出發(fā)，綜合考慮各種安全風(fēng)險(xiǎn)，采取相應(yīng)的安全措施，并根據(jù)風(fēng)險(xiǎn)的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價(jià)格比的安全解決方案。

　　l 可行性、可靠性、安全性

　　在采用安全系統(tǒng)之后，不會(huì)對(duì)GPRS/EDGE彩票系統(tǒng)網(wǎng)絡(luò)原有的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)有大的影響。在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，保證系統(tǒng)的安全。

　　l 統(tǒng)一規(guī)劃、分布實(shí)施原則

　　針對(duì)整個(gè)GPRS/EDGE彩票系統(tǒng)網(wǎng)絡(luò)統(tǒng)一制定技術(shù)方案，采取相同的技術(shù)路線，這樣有利于統(tǒng)一安全策略的制定，有利于保護(hù)整個(gè)GPRS/EDGE彩票系統(tǒng)網(wǎng)絡(luò)的安全，并且可以節(jié)約投資，減少浪費(fèi)。

　　在統(tǒng)一規(guī)劃的基礎(chǔ)上，可以采取分步實(shí)施的策略，在資金允許條件下，先解決有迫切安全需求、而且技術(shù)成熟的問題。

　　2．安全體系

　　安全方案的科學(xué)性、可行性是其可順利實(shí)施的保障。

　　安全方案必須架構(gòu)在科學(xué)的安全體系和安全框架之上，因?yàn)榘踩蚣苁前踩桨冈O(shè)計(jì)和分析的基礎(chǔ)。

　　為了系統(tǒng)、科學(xué)地分析安全方案涉及的各種安全問題，在大量調(diào)查研究的基礎(chǔ)上，我們提出了下面的安全體系（見下圖），它反映了信息系統(tǒng)安全需求和體系結(jié)構(gòu)的共性。具體說明如下：

　　安全體系是一個(gè)三維結(jié)構(gòu)：

　　l 第一維（X軸）是安全服務(wù)特性，給出了7種安全屬性；

　　l 第二維（Y軸）是系統(tǒng)單元，給出了信息網(wǎng)絡(luò)系統(tǒng)的組成；

　　l 第三維（Z軸）是協(xié)議層次，給出了國際標(biāo)準(zhǔn)化組織ISO的開放系統(tǒng)互連（OSI）模型。

　　安全體系的具體模型和介紹如下：

　　安全管理

　　貫穿于上述三個(gè)方面各個(gè)層次的是安全管理。通過技術(shù)手段和行政管理手段，安全管理將涉及到各系統(tǒng)單元在各個(gè)協(xié)議層次提供的各種安全服務(wù)。

　　安全技術(shù)體系

　　通過對(duì)網(wǎng)絡(luò)應(yīng)用的全面了解，安全風(fēng)險(xiǎn)存在于網(wǎng)絡(luò)系統(tǒng)的各個(gè)層次，那么，在網(wǎng)絡(luò)系統(tǒng)的各個(gè)層次之中都應(yīng)有相應(yīng)的安全解決技術(shù)，包括：物理層安全、鏈路層安全、網(wǎng)絡(luò)層安全、操作系統(tǒng)安全以及管理安全。只有這樣的安全技術(shù)體系才是完整的、全面的。下圖列出了各網(wǎng)絡(luò)安全設(shè)備在網(wǎng)絡(luò)安全三維體系中的應(yīng)用。

　　3．安全子系統(tǒng)劃分

　　在安全方案設(shè)計(jì)中，首先要確定安全方案所涉及到的系統(tǒng)單元，其次要考慮該系統(tǒng)單元在各個(gè)層次所提供的安全服務(wù)（功能），最后還應(yīng)考慮這些單元系統(tǒng)之間的邏輯關(guān)系，在整體安全體系框架下，劃分成不同的安全子系統(tǒng)，分別提供相應(yīng)的安全解決方案，才能提供全面的、合理的、有機(jī)的安全服務(wù)。

　　因在GPRS/EDGE專網(wǎng)系統(tǒng)中以包含RADIUS身份認(rèn)證系統(tǒng)，本方案中針對(duì)GPRS/EDGE彩票系統(tǒng)的網(wǎng)絡(luò)層安全系統(tǒng)（包括防火墻和入侵檢測系統(tǒng)）進(jìn)行論述

　　網(wǎng)絡(luò)層安全系統(tǒng)：主要通過防火墻分布式隔離來實(shí)現(xiàn)，即在彩票總部數(shù)據(jù)中心網(wǎng)絡(luò)和各營業(yè)點(diǎn)均通過防火墻進(jìn)行安全隔離，將危險(xiǎn)區(qū)域進(jìn)行分劃到每個(gè)區(qū)域子網(wǎng)，使危險(xiǎn)區(qū)域控制在小的區(qū)域區(qū)間內(nèi)。對(duì)某一個(gè)區(qū)域的攻擊不會(huì)影響到別的區(qū)域，同時(shí)通過安全規(guī)則的細(xì)化，盡量避免了各區(qū)域子網(wǎng)之間的攻擊擴(kuò)散。同時(shí)，對(duì)于彩票總部數(shù)據(jù)中心網(wǎng)絡(luò)重要的服務(wù)器子網(wǎng)采用入侵檢測系統(tǒng)，作為實(shí)時(shí)的訪問監(jiān)控，及時(shí)的對(duì)外來攻擊作出報(bào)警及阻斷的響應(yīng)。

　　4．總體網(wǎng)絡(luò)安全邏輯結(jié)構(gòu)示意

　　根據(jù)以上分析，我們得出GPRS/EDGE彩票系統(tǒng)網(wǎng)絡(luò)安全如下：

　　1）網(wǎng)絡(luò)安全示意圖：

　　5．安全方案的選型

　　1）網(wǎng)絡(luò)系統(tǒng)安全系統(tǒng)

　　主要依靠防火墻、基本入侵檢測等技術(shù)，在網(wǎng)絡(luò)層構(gòu)筑一道安全屏障，并依靠分布式的產(chǎn)品部署，集成在同一個(gè)安全管理平臺(tái)上，實(shí)現(xiàn)網(wǎng)絡(luò)層的統(tǒng)一、集中的安全管理。

　　2)網(wǎng)絡(luò)層安全管理平臺(tái)

　　選擇網(wǎng)絡(luò)層安全管理平臺(tái)時(shí)主要考慮這個(gè)安全管理平臺(tái)能否與其它相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品集成，能否對(duì)這些安全產(chǎn)品進(jìn)行統(tǒng)一的管理，包括配置各相關(guān)安全產(chǎn)品的安全策略、維護(hù)相關(guān)安全產(chǎn)品的系統(tǒng)配置、檢查并調(diào)整相關(guān)安全產(chǎn)品的系統(tǒng)狀態(tài)等。

　　在這個(gè)前提下，我們建議在GPRS/EDGE彩票系統(tǒng)網(wǎng)絡(luò)中采用由清華得實(shí)公司提供的網(wǎng)絡(luò)層安全管理平臺(tái)。

　　3）安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)劃分

　　劃分網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，一方面要保證網(wǎng)絡(luò)的安全，另一方面，不能對(duì)原有網(wǎng)絡(luò)結(jié)構(gòu)做太大的更改。為此我們建議采用下圖所示的支持非軍事化區(qū)的三網(wǎng)段安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

　　用非軍事化區(qū)的安全網(wǎng)絡(luò)拓?fù)涫疽鈭D

　　這種安全網(wǎng)絡(luò)拓?fù)鋱D主要從保護(hù)重要服務(wù)器的安全出發(fā)考慮，把網(wǎng)絡(luò)劃分成三個(gè)網(wǎng)段：外網(wǎng)、非軍事化區(qū)網(wǎng)段和安全內(nèi)網(wǎng)。

　　非軍事化區(qū)網(wǎng)段（DMZ）主要放置一些對(duì)外提供服務(wù)的服務(wù)器，包括WEB服務(wù)器、DB、網(wǎng)管工作站。安全系統(tǒng)的一些安全服務(wù)器、管理服務(wù)器等也都放在非軍事化區(qū)內(nèi)。

　　安全內(nèi)網(wǎng)主要放置一些不對(duì)外直接開放的重要服務(wù)器，如各種數(shù)據(jù)庫服務(wù)器、WWW服務(wù)器等。在這種網(wǎng)絡(luò)結(jié)構(gòu)中，通過防火墻等安全設(shè)備的配置，可以確保：

　　l 可以拒絕從外網(wǎng)對(duì)安全內(nèi)網(wǎng)的各種直接的訪問連接；

　　l 可以在非軍事化區(qū)內(nèi)對(duì)外網(wǎng)開放一些服務(wù)器和服務(wù)端口，如WEB服務(wù)器的80端口等；

　　l 可以限制內(nèi)網(wǎng)中用戶能夠訪問外網(wǎng)的某些服務(wù)端口，如只允許訪問HTTP、FTP等服務(wù)。

　　通過這種配置，可以保證在對(duì)外提供正常服務(wù)的同時(shí)，充分保證服務(wù)器和數(shù)據(jù)的安全。下面的防火墻配置將以這種支持非軍事化區(qū)的三網(wǎng)段安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)。

　　4）防火墻配置

　　我們建議如“GPRS/EDGE彩票系統(tǒng)網(wǎng)絡(luò)安全示意圖”所示配置防火墻設(shè)備：

　　在彩票系統(tǒng)中心網(wǎng)絡(luò)的外聯(lián)出口采用一臺(tái)清華得實(shí)NetST2104企業(yè)級(jí)防火墻，保護(hù)彩票系統(tǒng)中心網(wǎng)絡(luò)；

　　在自己允許的情況下，可在每個(gè)營業(yè)點(diǎn)機(jī)構(gòu)，安裝一臺(tái)經(jīng)濟(jì)適用的清華得實(shí)NetST1000小型部門級(jí)防火墻，保護(hù)各營業(yè)點(diǎn)系統(tǒng)；

　　5）NetST防火墻產(chǎn)品

　　A.選型原則

　　在本方案中，我們選擇了清華得實(shí)防火墻NetST產(chǎn)品。

　　綜合考慮到安全、性能、價(jià)格等因素，我們建議在配置防火墻時(shí)，采取國內(nèi)防火墻產(chǎn)品：即防火墻NetST。選擇國內(nèi)產(chǎn)品主要考慮自主研發(fā)的、具有自主版權(quán)的、技術(shù)成熟且安全可靠、性能優(yōu)越的防火墻產(chǎn)品。所選產(chǎn)品經(jīng)過國家有關(guān)部門的認(rèn)證，有銷售許可。

　　B.NetST簡介

　　作為國內(nèi)最早自主開發(fā)的防火墻系統(tǒng)之一，新一代NetST防火墻引擎采用了國際先進(jìn)的狀態(tài)檢測技術(shù)，實(shí)時(shí)在線監(jiān)測當(dāng)前內(nèi)外網(wǎng)絡(luò)的各種連接狀態(tài)，并根據(jù)連接狀態(tài)動(dòng)態(tài)配置規(guī)則，對(duì)異常的連接狀態(tài)進(jìn)行阻斷。

　　NetST防火墻為用戶提供了強(qiáng)大的包過濾功能，支持TCP/IP協(xié)議族內(nèi)各種主流網(wǎng)絡(luò)協(xié)議，可以根據(jù)網(wǎng)絡(luò)流量的類型、網(wǎng)絡(luò)地址、應(yīng)用服務(wù)等條件進(jìn)行過濾。

　　NetST提供了包括網(wǎng)絡(luò)層訪問控制、地址轉(zhuǎn)換、流量限制等多種防火墻基本功能，還提供基于用戶身份的安全策略控制，還可以實(shí)時(shí)在線監(jiān)視網(wǎng)絡(luò)的各種連接，用戶可以隨時(shí)掌握網(wǎng)絡(luò)中發(fā)生的各種情況，并在日志中記錄所有對(duì)防火墻的配置操作、異常的連接、被防火墻拒絕的連接、可能的入侵等信息，并提供友好的管理界面進(jìn)行管理。

　　NetST還提供系統(tǒng)安全防范功能，可以對(duì)多種網(wǎng)絡(luò)入侵，包括多種拒絕服務(wù)攻擊（如ping of death，land，syn flooding，tear drop等）、端口掃描、IP欺騙等攻擊行為，進(jìn)行辨別和有效阻斷。

　　NetST通過采用工業(yè)級(jí)硬件系統(tǒng)，可靠的專用安全操作系統(tǒng)、穩(wěn)定的防火墻引擎，保證了整個(gè)系統(tǒng)具有極高的性能和可靠性。

　　NetST已經(jīng)通過了公安部采用最新包過濾防火墻國家標(biāo)準(zhǔn)（GB18019-1999）進(jìn)行的安全產(chǎn)品認(rèn)證（序號(hào)：010128，銷售許可證號(hào)：XKC33129）和中國國家信息安全測評(píng)認(rèn)證中心的認(rèn)證（CNISTEC1999TYP009）。

　　C.防火墻的特點(diǎn)：

　　l 最大支持100Mbps線速狀態(tài)檢測。

　　l 防火墻滿足網(wǎng)絡(luò)間的單向訪問需求、過濾不安全的服務(wù)。

　　l 最大并發(fā)連接數(shù)達(dá)到60,000個(gè)以上，遠(yuǎn)遠(yuǎn)滿足用戶的需求。

　　l 支持VPN功能。

　　l 可以針對(duì)協(xié)議、端口號(hào)、時(shí)間、流量等條件實(shí)現(xiàn)安全的訪問控制。

　　l 可以根據(jù)如下信息進(jìn)行過濾：

　　a) －源IP地址

　　b) －目的IP地址

　　c) －協(xié)議類型(IP、ICMP、TCP、UDP)

　　d) －源TCP/UDP端口

　　e) －目的TCP／UDP端口

　　f) －ICMP報(bào)文類型域和代碼域

　　g) －碎片包

　　h) －其它標(biāo)志位，如SYN、ACK位

　　l 自動(dòng)掃描主機(jī)打開的端口。

　　l 防火墻支持高可用性和負(fù)載均衡。

　　l 防火墻初始狀態(tài)應(yīng)關(guān)閉所有端口，根據(jù)客戶需要一個(gè)個(gè)打開。具備反端口掃描功能。

　　l 可以斷開任一網(wǎng)絡(luò)接口的連接。

　　l 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)、MAC地址綁定技術(shù)。

　　l NetST防火墻支持在內(nèi)部網(wǎng)使用保留的IP地址，通過動(dòng)態(tài)的地址轉(zhuǎn)換功能實(shí)現(xiàn)對(duì)外部網(wǎng)的訪問。NetST防火墻具有動(dòng)態(tài)和靜態(tài)地址NAT兩種轉(zhuǎn)換方式，滿足用戶的不同需求。

　　l 有智能的過濾、攔截功能。

　　l 防火墻具有惡意入侵檢測與報(bào)警。通過NetST防火墻的報(bào)警系統(tǒng)和入侵檢測系統(tǒng)的協(xié)同工作，實(shí)現(xiàn)對(duì)入侵攻擊及早防御。同時(shí)會(huì)啟動(dòng)自動(dòng)防范系統(tǒng)進(jìn)行防范。

　　l 防火墻具有強(qiáng)大的審計(jì)功能和統(tǒng)計(jì)報(bào)表功能。

　　l 防火墻具有集中管理的功能。

　　l 防火墻具有備份功能。

　　l NetST防火墻提供非常方便的升級(jí)方式。

　　l 支持DHCP功能。

　　D.防火墻防范的種類的攻擊：

　　l 檢測多種DOS攻擊

　　l 檢測保護(hù)子網(wǎng)中是否存在后門和木馬程序

　　l 測多種針對(duì)FTP服務(wù)的攻擊

　　l 檢測多種DDOS攻擊

　　l 檢測多種針對(duì)Finger服務(wù)的攻擊

　　l 檢測基于NetBi0S的攻擊

　　l 檢測緩沖區(qū)溢出類型攻擊

　　l 檢測基于RPC的攻擊

　　l 檢測基于SMTP的攻擊

　　l 檢測基于Telnet的攻擊

　　l 檢測CGI攻擊

　　l 檢測針對(duì)WEB Server的FrontPage擴(kuò)展進(jìn)行的攻擊

　　l 檢測針對(duì)WEB Server的ColdFusion擴(kuò)展進(jìn)行的攻擊

　　l 檢測針對(duì)MicroSoft IIS server進(jìn)行的攻擊

　　l 檢測利用ICMP進(jìn)行的掃描和攻擊。

　　l 檢測利用Traceroute對(duì)網(wǎng)絡(luò)的探測

　　l 檢測ActiveX，JaveApplet的傳輸

　　l 檢測對(duì)其他可能的網(wǎng)絡(luò)服務(wù)進(jìn)行的攻擊。

　　E. 入侵檢測系統(tǒng)配置

　　針對(duì)以上需求情況：我們?cè)诓势敝行木W(wǎng)絡(luò)中都設(shè)置一臺(tái)NetDT入侵檢測系統(tǒng)。

　　設(shè)置安全檢測和攻擊預(yù)警系統(tǒng)的目的是：運(yùn)用成熟的攻擊、反攻擊技術(shù)，分析已知的系統(tǒng)安全漏洞和薄弱環(huán)節(jié)。安全檢測可以在不安全因素被誘發(fā)之前，消除系統(tǒng)可能的安全隱患。攻擊預(yù)警系統(tǒng)可以實(shí)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，阻撓不安全用戶進(jìn)入系統(tǒng)。

　　F.入侵檢測系統(tǒng)的建設(shè)目標(biāo)

　　根據(jù)彩票投注對(duì)安全的需求，我們認(rèn)為對(duì)該系統(tǒng)入侵檢測系統(tǒng)的建設(shè)目標(biāo)應(yīng)該是：

　　l 對(duì)外，需要能夠及時(shí)發(fā)現(xiàn)針對(duì)彩票中心網(wǎng)的服務(wù)器以及內(nèi)部網(wǎng)絡(luò)的各種攻擊能夠及時(shí)被發(fā)現(xiàn)和阻斷。

　　l 對(duì)內(nèi)，要保證針對(duì)彩票中心網(wǎng)的重要服務(wù)器的各種攻擊企圖要能夠及時(shí)被發(fā)現(xiàn)和阻斷。

　　入侵檢測系統(tǒng)有基于主機(jī)和基于網(wǎng)絡(luò)的兩種模式的技術(shù)和產(chǎn)品。

　　基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),通過在計(jì)算機(jī)網(wǎng)絡(luò)中的某些點(diǎn),被動(dòng)地監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)脑剂髁?，?duì)獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理，從中獲取有用的信息，再與已知攻擊特征相匹配,或與正常網(wǎng)絡(luò)行為原型相比較,來識(shí)別攻擊事件。

　　基于主機(jī)的產(chǎn)品只能針對(duì)某一個(gè)服務(wù)器的訪問行為進(jìn)行檢測，一般是通過檢查系統(tǒng)的訪問日志進(jìn)行判別，識(shí)別率較高，但實(shí)時(shí)性較差。此外，基于主機(jī)的產(chǎn)品與服務(wù)器的操作系統(tǒng)關(guān)系密切，一般只支持主流的操作系統(tǒng)（如Windows NT，Solaris等）。

　　為此，我們建議采用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。如圖2、3所示，我們建議入侵檢測系統(tǒng)的配置是：

　　在內(nèi)部網(wǎng)，配置入侵檢測系統(tǒng)的監(jiān)控中心，對(duì)彩票中心網(wǎng)的所有入侵檢測系統(tǒng)的探測頭進(jìn)行集中、統(tǒng)一的管理和監(jiān)控；

　　我們選用的清華得實(shí)NetDT入侵檢測產(chǎn)品功能如下：

　　網(wǎng)絡(luò)入侵檢測NetDT系統(tǒng)是北京清華得實(shí)科技股份有限公司網(wǎng)絡(luò)安全系統(tǒng)產(chǎn)品之一。該系統(tǒng)采用分布式入侵偵測系統(tǒng)構(gòu)架，國際先進(jìn)的反IDS欺騙技術(shù)、底層協(xié)議分析技術(shù)、智能規(guī)則技術(shù)、實(shí)時(shí)顯示技術(shù)和網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控技術(shù)，全面監(jiān)視各個(gè)子網(wǎng)絡(luò)的通信情況，及時(shí)捕獲入侵行為，并針對(duì)網(wǎng)絡(luò)上的可疑入侵行為，做出策略反應(yīng)，及時(shí)告警和日志記錄等，最大限度地保障系統(tǒng)安全，是一套擁有完全自主版權(quán)、實(shí)用性強(qiáng)的安全產(chǎn)品，適用于政府、銀行、證券、電子商務(wù)、數(shù)據(jù)中心等單位和部門。

　　清華得實(shí)NetDT入侵檢測系統(tǒng)功能如下：

　　l 分布式系統(tǒng)架構(gòu)：偵聽器可安裝在網(wǎng)絡(luò)的各物理網(wǎng)段上，一臺(tái)服務(wù)器管理多個(gè)偵聽器，從而達(dá)到分布安裝，全網(wǎng)監(jiān)控，集中管理。

　　l 高效的檢測能力：系統(tǒng)提供100Mbps最大監(jiān)控網(wǎng)絡(luò)流量。

　　l 自動(dòng)的防御能力：中斷當(dāng)前攻擊行為，維護(hù)系統(tǒng)和數(shù)據(jù)安全。

　　l 強(qiáng)大的偵聽能力：記錄攻擊行為的屬性、特征和來源。

　　l 有效的分析能力：對(duì)入侵行為進(jìn)行統(tǒng)計(jì)、分類和等級(jí)劃分，提供客觀的分析和防御基礎(chǔ)。

　　l 靈活準(zhǔn)確的報(bào)警方式，使管理員及時(shí)了解網(wǎng)絡(luò)狀況。

　　l 說盡的日志說錄，靈活的日志查詢手段。

　　l 多樣化的報(bào)表形式，可生成多種樣式的報(bào)表。

　　l 優(yōu)越的數(shù)據(jù)處理能力，可應(yīng)對(duì)龐大的數(shù)據(jù)流。

　　l 系統(tǒng)廣泛的可適用性：適合于大、中、小各種規(guī)模、不同應(yīng)用的網(wǎng)絡(luò)的內(nèi)部濫用行業(yè)和外部入侵行為的共同檢測與防御。

　　l 圖形化管理能辦：可視的管理、監(jiān)視、控制和分析操作界面，方便使用。