基于GPRS/EDGE專網系統

分類：解決方案日期：2010-07-16 11:44:04

一、需求分析

　　近年來，信息技術的飛速發展，特別是以計算機互聯網絡Internet為代表的計算機信息網絡及其應用系統在全世界的迅速推廣和使用，使人們獲取、交流和處理信息的手段發生了巨大的變化，深刻地影響著人們的交流、工作、學習、生活和娛樂的方式。移動信息化正是適應時代變化的企業信息全面解決方案，使企業獲得全面的信息化服務，實現企業信息的智能管理，提高企業管理與生產效率，更有效的適應市場競爭的需要。

　　某移動提出的移動信息化全面解決方案是以涵蓋數據通信、信息服務、增值業務的全數據觀念為基礎，利用移動通信網、移動智能網及移動互聯網，針對行業的具體需求和應用提供的一體化解決方案。

　　移動信息化是以移動通信網和移動互聯網集成的綜合通信平臺。移動信息化涵蓋集團移動電話網（VPMN）、語音專線、會議通、語音信息通知、移動辦公助理、車輛調度、國際移動互聯網專線、GPRS/EDGE專網等服務內容。GPRS/EDGE是目前解決移動通信信息服務的一種較完美的業務，它是以數據流量計費、覆蓋范圍廣泛、數據傳輸速度更快。GPRS/EDGE的推出，為行業和企業用戶開展無線辦公提供了基礎設施平臺，為推動移動辦公的應用和發展創造了有利條件。與有線網絡相比，GPRS/EDGE網絡具有租用費用低、移動辦公，不受地域制約等優點。GPRS/EDGE的出現為企業和行業用戶開展無線辦公提供了一種新的選擇。

　　GPRS/EDGE通信方式更適合于彩票投注業務，目前彩票的業務中心與各營業點采用DDN或者電話線傳送數據。彩票業務單筆流量很小，采用DDN或IDSL專線月租費太高，用電話線傳送數據按時間計費，帶來諸多不便，費用也不便宜。因此，許多省市彩票中心都考慮對傳統通信方式進行改造，GPRS/EDGE無線傳輸數據有以下優勢：

　　1．GPRS/EDGE用戶可隨意分布和移動自己的網絡點，無須擔心線路的維護或有線在移機時導致的通訊中斷。建設新的營業點無需進行拉線，埋線等工作。較光纖，或專線系統投資較少，設備安裝方便。

　　2．終端價格比較低，與DDN相比，較DTU或基帶Modem(DDN專線Modem)其終端價格便宜很多。

　　3．GPRS/EDGE資費便宜，計費合理。GPRS/EDGE 資費包月比有線電話網絡資費還便宜。彩票投注沒有大數據量的信息傳輸，不必要采用資費很高的專線（DDN、幀中繼）。GPRS/EDGE還可根據通信的數據量和提供的服務質量進行計費。在GPRS/EDGE網中，用戶只需與網絡建立一次連接，就可長時間的保持這種連接，并只在傳輸數據時才占用信道并被計費，保持時不占用信道也不計費。這樣，營業點即不用頻繁建立連接，也不必支付傳輸間隙時的費用。

　　4．GPRS/EDGE能最好地支持頻繁的、少量突發型數據業務。通信質量穩定可靠，永不掉線。

　　5．GPRS/EDGE網絡接入速度快，提供了與現有數據網的無縫連接。

　　由于GPRS/EDGE網本身就是一個分組型數據網, 支持TCP/IP、X.25協議，因此無需經過PSTN等網絡的轉接，直接與分組數據網（IP網或X.25網）互通，接入速度僅幾秒鐘，快于電路型數據業務。采用TCP/IP協議，較以前的無線數據網絡（集群，雙向傳呼，GSM短信息）而言，網絡接入更加直接方便。

　　6．覆蓋較好，比較很多無線數據網絡（集群，雙向傳呼，CDPD，CDMA）而言，其網絡覆蓋是最好的。

　　二、解決方案

　　1．系統結構圖

　　2．系統組成

　　1）終端設備

　　用戶端：

　　采用廈門四信通信科技有限公司的GPRS/EDGE路由器，采用以太網\串口和彩票機相連，完成用戶系統的構成，其中用戶的計算機運行用戶的系統軟件和應

　　局端：

采用某移動提供的線路和接口。

　　隨著科技的不斷發展，便攜式PC\臺式機功能日漸強大，對于企業的員工而言操作更方便。

　　用戶系統：

　　用戶采用PC機，利用以太網 \ 串口和本終端相連，實現系統的通信。

　　廈門四信提供的F3123 GPRS路由器和F3323 EDGE路由器通用的操作環境和強大的處理能力使得終端設備能夠通過對GPRS/EDGE網絡及后臺應用服務的支持，迅速完成數據查詢及業務處理。

　　應用服務

　　主要由四層軟件組成:

　　前端軟件：

　　前端軟件運行于終端上，支持本地業務數據的查詢及業務事務處理；同時管理

　　無線通訊網絡，完成撥號、掛斷及狀態監測；對于事務處理請求與確認，實現可靠

　　的傳輸控制，保證與局端的協作。

　　外網服務軟件：

　　外網服務軟件完成與前端軟件的安全認證及加解密，協同外網查詢數據庫完成

　　數據查詢請求的處理及應答；處理內網服務器產生的數據同步命令維護外網查詢數

　　據庫；為內網服務軟件與前端軟件提供穿透物理隔離的傳輸，使業務處理請求可以

　　安全有效地到達內網并進行處理。

　　內網服務軟件：

　　內網服務軟件完成與外網服務軟件的隔離傳輸，及與前端軟件的安全認證和加

　　解密，對前端產生的事務處理請求進行解釋、執行，依靠數據庫適配層軟件，將各

　　業務數據庫同步至外網查詢服務軟件。

　　局端數據庫適配層軟件：

　　局端數據庫適配層軟件對存在于多體系異種數據庫平臺的業務數據庫提供抽象

　　接口，支持內網服務軟件完成事務處理及數據同步。

　　用于GPRS/EDGE網絡的無線數據傳輸

　　經過數年多的建設，某移動GPRS/EDGE網實現了沿海地區的全面覆蓋和山區地區的地市覆蓋，并且于2002年5.17正式向用戶提供服務。GPRS/EDGE業務的高速數據傳輸、“永遠在線”、“流量計費”和“全國漫游”的特性以及中國移動的優質網絡，滿足了不同層次客戶的需求，也為發展行業應用奠定了堅實的基礎。

　　3．專線APN傳輸方式

　　根據企業對網絡安全的特殊要求，沈陽移動通信分公司和廈門四信通信科技有限公司合作設計了基于GPRS/EDGE網絡的數據傳輸方案，采用了多種安全措施，主要包括：

　　l 通過一條2M 專線接入某移動GPRS/EDGE網絡，雙方互聯路由器之間采用私有IP地址進行廣域連接，在GGSN與某移動互聯路由器之間采用GRE隧道。

　　l 為某移動的客戶分配專用的APN，普通用戶不得申請該APN。用于GPRS/EDGE專網的SIM卡僅開通該專用APN，限制使用其他APN。

　　l 客戶可自建一套RADIUS服務器和DHCP服務器，GGSN向RADIUS服務器提供用戶主叫號碼，采用主叫號碼和用戶賬號相結合的認證方式；用戶通過認證后由DHCP服務器分配企業內部的靜態IP地址。

　　l 端到端加密：移動終端和服務器平臺之間采用端到端加密，避免信息在整個傳輸過程中可能的泄漏。

　　l 雙方采用防火墻進行隔離，并在防火墻上進行IP地址和端口過濾。

　　4．業務流程

　　GPRS/EDGE專網系統終端上網登錄服務器平臺的流程為：

　　1）用戶發出GPRS/EDGE登錄請求，請求中包括由某移動為GPRS/EDGE專網系統專門分配的專網APN；

　　2）根據請求中的APN，SGSN向DNS服務器發出查詢請求，找到與企業服務器平臺連接的GGSN，并將用戶請求通過GTP隧道封裝送給GGSN；

　　3）GGSN將用戶認證信息（包括手機號碼、用戶賬號、密碼等）通過專線送至Radius進行認證；

　　4）Radius認證服務器看到手機號等認證信息，確認是合法用戶發來的請求，向DHCP服務器請求分配用戶地址；

　　5）Radius認證通過后，由Radius向GGSN發送攜帶用戶地址的確認信息；

　　6）用戶得到了IP地址，就可以攜帶數據包，對GPRS/EDGE專網系統信息查詢和業務處理平臺進行訪問。

　　三、網絡安全

　　1．安全方案的設計原則

　　在設計GPRS/EDGE彩票系統網絡的安全系統時，我們將遵循以下原則：

　　l 體系化設計原則

　　通過分析信息網絡的層次關系，提出科學的安全體系和安全框架，并根據安全體系分析存在的各種安全風險，從而最大限度地解決可能存在的安全問題。

　　l 全局性、均衡性、綜合性設計原則

　　從全局出發，綜合考慮各種安全風險，采取相應的安全措施，并根據風險的大小，采取不同強度的安全措施，提供具有最優的性能價格比的安全解決方案。

　　l 可行性、可靠性、安全性

　　在采用安全系統之后，不會對GPRS/EDGE彩票系統網絡原有的網絡和應用系統有大的影響。在保證網絡和應用系統正常運轉的前提下，保證系統的安全。

　　l 統一規劃、分布實施原則

　　針對整個GPRS/EDGE彩票系統網絡統一制定技術方案，采取相同的技術路線，這樣有利于統一安全策略的制定，有利于保護整個GPRS/EDGE彩票系統網絡的安全，并且可以節約投資，減少浪費。

　　在統一規劃的基礎上，可以采取分步實施的策略，在資金允許條件下，先解決有迫切安全需求、而且技術成熟的問題。

　　2．安全體系

　　安全方案的科學性、可行性是其可順利實施的保障。

　　安全方案必須架構在科學的安全體系和安全框架之上，因為安全框架是安全方案設計和分析的基礎。

　　為了系統、科學地分析安全方案涉及的各種安全問題，在大量調查研究的基礎上，我們提出了下面的安全體系（見下圖），它反映了信息系統安全需求和體系結構的共性。具體說明如下：

　　安全體系是一個三維結構：

　　l 第一維（X軸）是安全服務特性，給出了7種安全屬性；

　　l 第二維（Y軸）是系統單元，給出了信息網絡系統的組成；

　　l 第三維（Z軸）是協議層次，給出了國際標準化組織ISO的開放系統互連（OSI）模型。

　　安全體系的具體模型和介紹如下：

　　安全管理

　　貫穿于上述三個方面各個層次的是安全管理。通過技術手段和行政管理手段，安全管理將涉及到各系統單元在各個協議層次提供的各種安全服務。

　　安全技術體系

　　通過對網絡應用的全面了解，安全風險存在于網絡系統的各個層次，那么，在網絡系統的各個層次之中都應有相應的安全解決技術，包括：物理層安全、鏈路層安全、網絡層安全、操作系統安全以及管理安全。只有這樣的安全技術體系才是完整的、全面的。下圖列出了各網絡安全設備在網絡安全三維體系中的應用。

　　3．安全子系統劃分

　　在安全方案設計中，首先要確定安全方案所涉及到的系統單元，其次要考慮該系統單元在各個層次所提供的安全服務（功能），最后還應考慮這些單元系統之間的邏輯關系，在整體安全體系框架下，劃分成不同的安全子系統，分別提供相應的安全解決方案，才能提供全面的、合理的、有機的安全服務。

　　因在GPRS/EDGE專網系統中以包含RADIUS身份認證系統，本方案中針對GPRS/EDGE彩票系統的網絡層安全系統（包括防火墻和入侵檢測系統）進行論述

　　網絡層安全系統：主要通過防火墻分布式隔離來實現，即在彩票總部數據中心網絡和各營業點均通過防火墻進行安全隔離，將危險區域進行分劃到每個區域子網，使危險區域控制在小的區域區間內。對某一個區域的攻擊不會影響到別的區域，同時通過安全規則的細化，盡量避免了各區域子網之間的攻擊擴散。同時，對于彩票總部數據中心網絡重要的服務器子網采用入侵檢測系統，作為實時的訪問監控，及時的對外來攻擊作出報警及阻斷的響應。

　　4．總體網絡安全邏輯結構示意

　　根據以上分析，我們得出GPRS/EDGE彩票系統網絡安全如下：

　　1）網絡安全示意圖：

　　5．安全方案的選型

　　1）網絡系統安全系統

　　主要依靠防火墻、基本入侵檢測等技術，在網絡層構筑一道安全屏障，并依靠分布式的產品部署，集成在同一個安全管理平臺上，實現網絡層的統一、集中的安全管理。

　　2)網絡層安全管理平臺

　　選擇網絡層安全管理平臺時主要考慮這個安全管理平臺能否與其它相關的網絡安全產品集成，能否對這些安全產品進行統一的管理，包括配置各相關安全產品的安全策略、維護相關安全產品的系統配置、檢查并調整相關安全產品的系統狀態等。

　　在這個前提下，我們建議在GPRS/EDGE彩票系統網絡中采用由清華得實公司提供的網絡層安全管理平臺。

　　3）安全網絡拓撲結構劃分

　　劃分網絡拓撲結構，一方面要保證網絡的安全，另一方面，不能對原有網絡結構做太大的更改。為此我們建議采用下圖所示的支持非軍事化區的三網段安全網絡拓撲結構。

　　用非軍事化區的安全網絡拓撲示意圖

　　這種安全網絡拓撲圖主要從保護重要服務器的安全出發考慮，把網絡劃分成三個網段：外網、非軍事化區網段和安全內網。

　　非軍事化區網段（DMZ）主要放置一些對外提供服務的服務器，包括WEB服務器、DB、網管工作站。安全系統的一些安全服務器、管理服務器等也都放在非軍事化區內。

　　安全內網主要放置一些不對外直接開放的重要服務器，如各種數據庫服務器、WWW服務器等。在這種網絡結構中，通過防火墻等安全設備的配置，可以確保：

　　l 可以拒絕從外網對安全內網的各種直接的訪問連接；

　　l 可以在非軍事化區內對外網開放一些服務器和服務端口，如WEB服務器的80端口等；

　　l 可以限制內網中用戶能夠訪問外網的某些服務端口，如只允許訪問HTTP、FTP等服務。

　　通過這種配置，可以保證在對外提供正常服務的同時，充分保證服務器和數據的安全。下面的防火墻配置將以這種支持非軍事化區的三網段安全網絡拓撲結構為基礎。

　　4）防火墻配置

　　我們建議如“GPRS/EDGE彩票系統網絡安全示意圖”所示配置防火墻設備：

　　在彩票系統中心網絡的外聯出口采用一臺清華得實NetST2104企業級防火墻，保護彩票系統中心網絡；

　　在自己允許的情況下，可在每個營業點機構，安裝一臺經濟適用的清華得實NetST1000小型部門級防火墻，保護各營業點系統；

　　5）NetST防火墻產品

　　A.選型原則

　　在本方案中，我們選擇了清華得實防火墻NetST產品。

　　綜合考慮到安全、性能、價格等因素，我們建議在配置防火墻時，采取國內防火墻產品：即防火墻NetST。選擇國內產品主要考慮自主研發的、具有自主版權的、技術成熟且安全可靠、性能優越的防火墻產品。所選產品經過國家有關部門的認證，有銷售許可。

　　B.NetST簡介

　　作為國內最早自主開發的防火墻系統之一，新一代NetST防火墻引擎采用了國際先進的狀態檢測技術，實時在線監測當前內外網絡的各種連接狀態，并根據連接狀態動態配置規則，對異常的連接狀態進行阻斷。

　　NetST防火墻為用戶提供了強大的包過濾功能，支持TCP/IP協議族內各種主流網絡協議，可以根據網絡流量的類型、網絡地址、應用服務等條件進行過濾。

　　NetST提供了包括網絡層訪問控制、地址轉換、流量限制等多種防火墻基本功能，還提供基于用戶身份的安全策略控制，還可以實時在線監視網絡的各種連接，用戶可以隨時掌握網絡中發生的各種情況，并在日志中記錄所有對防火墻的配置操作、異常的連接、被防火墻拒絕的連接、可能的入侵等信息，并提供友好的管理界面進行管理。

　　NetST還提供系統安全防范功能，可以對多種網絡入侵，包括多種拒絕服務攻擊（如ping of death，land，syn flooding，tear drop等）、端口掃描、IP欺騙等攻擊行為，進行辨別和有效阻斷。

　　NetST通過采用工業級硬件系統，可靠的專用安全操作系統、穩定的防火墻引擎，保證了整個系統具有極高的性能和可靠性。

　　NetST已經通過了公安部采用最新包過濾防火墻國家標準（GB18019-1999）進行的安全產品認證（序號：010128，銷售許可證號：XKC33129）和中國國家信息安全測評認證中心的認證（CNISTEC1999TYP009）。

　　C.防火墻的特點：

　　l 最大支持100Mbps線速狀態檢測。

　　l 防火墻滿足網絡間的單向訪問需求、過濾不安全的服務。

　　l 最大并發連接數達到60,000個以上，遠遠滿足用戶的需求。

　　l 支持VPN功能。

　　l 可以針對協議、端口號、時間、流量等條件實現安全的訪問控制。

　　l 可以根據如下信息進行過濾：

　　a) －源IP地址

　　b) －目的IP地址

　　c) －協議類型(IP、ICMP、TCP、UDP)

　　d) －源TCP/UDP端口

　　e) －目的TCP／UDP端口

　　f) －ICMP報文類型域和代碼域

　　g) －碎片包

　　h) －其它標志位，如SYN、ACK位

　　l 自動掃描主機打開的端口。

　　l 防火墻支持高可用性和負載均衡。

　　l 防火墻初始狀態應關閉所有端口，根據客戶需要一個個打開。具備反端口掃描功能。

　　l 可以斷開任一網絡接口的連接。

　　l 網絡地址轉換NAT技術、MAC地址綁定技術。

　　l NetST防火墻支持在內部網使用保留的IP地址，通過動態的地址轉換功能實現對外部網的訪問。NetST防火墻具有動態和靜態地址NAT兩種轉換方式，滿足用戶的不同需求。

　　l 有智能的過濾、攔截功能。

　　l 防火墻具有惡意入侵檢測與報警。通過NetST防火墻的報警系統和入侵檢測系統的協同工作，實現對入侵攻擊及早防御。同時會啟動自動防范系統進行防范。

　　l 防火墻具有強大的審計功能和統計報表功能。

　　l 防火墻具有集中管理的功能。

　　l 防火墻具有備份功能。

　　l NetST防火墻提供非常方便的升級方式。

　　l 支持DHCP功能。

　　D.防火墻防范的種類的攻擊：

　　l 檢測多種DOS攻擊

　　l 檢測保護子網中是否存在后門和木馬程序

　　l 測多種針對FTP服務的攻擊

　　l 檢測多種DDOS攻擊

　　l 檢測多種針對Finger服務的攻擊

　　l 檢測基于NetBi0S的攻擊

　　l 檢測緩沖區溢出類型攻擊

　　l 檢測基于RPC的攻擊

　　l 檢測基于SMTP的攻擊

　　l 檢測基于Telnet的攻擊

　　l 檢測CGI攻擊

　　l 檢測針對WEB Server的FrontPage擴展進行的攻擊

　　l 檢測針對WEB Server的ColdFusion擴展進行的攻擊

　　l 檢測針對MicroSoft IIS server進行的攻擊

　　l 檢測利用ICMP進行的掃描和攻擊。

　　l 檢測利用Traceroute對網絡的探測

　　l 檢測ActiveX，JaveApplet的傳輸

　　l 檢測對其他可能的網絡服務進行的攻擊。

　　E. 入侵檢測系統配置

　　針對以上需求情況：我們在彩票中心網絡中都設置一臺NetDT入侵檢測系統。

　　設置安全檢測和攻擊預警系統的目的是：運用成熟的攻擊、反攻擊技術，分析已知的系統安全漏洞和薄弱環節。安全檢測可以在不安全因素被誘發之前，消除系統可能的安全隱患。攻擊預警系統可以實時發現網絡攻擊，阻撓不安全用戶進入系統。

　　F.入侵檢測系統的建設目標

　　根據彩票投注對安全的需求，我們認為對該系統入侵檢測系統的建設目標應該是：

　　l 對外，需要能夠及時發現針對彩票中心網的服務器以及內部網絡的各種攻擊能夠及時被發現和阻斷。

　　l 對內，要保證針對彩票中心網的重要服務器的各種攻擊企圖要能夠及時被發現和阻斷。

　　入侵檢測系統有基于主機和基于網絡的兩種模式的技術和產品。

　　基于網絡的入侵檢測系統,通過在計算機網絡中的某些點,被動地監聽網絡上傳輸的原始流量，對獲取的網絡數據進行處理，從中獲取有用的信息，再與已知攻擊特征相匹配,或與正常網絡行為原型相比較,來識別攻擊事件。

　　基于主機的產品只能針對某一個服務器的訪問行為進行檢測，一般是通過檢查系統的訪問日志進行判別，識別率較高，但實時性較差。此外，基于主機的產品與服務器的操作系統關系密切，一般只支持主流的操作系統（如Windows NT，Solaris等）。

　　為此，我們建議采用基于網絡的入侵檢測系統。如圖2、3所示，我們建議入侵檢測系統的配置是：

　　在內部網，配置入侵檢測系統的監控中心，對彩票中心網的所有入侵檢測系統的探測頭進行集中、統一的管理和監控；

　　我們選用的清華得實NetDT入侵檢測產品功能如下：

　　網絡入侵檢測NetDT系統是北京清華得實科技股份有限公司網絡安全系統產品之一。該系統采用分布式入侵偵測系統構架，國際先進的反IDS欺騙技術、底層協議分析技術、智能規則技術、實時顯示技術和網絡數據監控技術，全面監視各個子網絡的通信情況，及時捕獲入侵行為，并針對網絡上的可疑入侵行為，做出策略反應，及時告警和日志記錄等，最大限度地保障系統安全，是一套擁有完全自主版權、實用性強的安全產品，適用于政府、銀行、證券、電子商務、數據中心等單位和部門。

　　清華得實NetDT入侵檢測系統功能如下：

　　l 分布式系統架構：偵聽器可安裝在網絡的各物理網段上，一臺服務器管理多個偵聽器，從而達到分布安裝，全網監控，集中管理。

　　l 高效的檢測能力：系統提供100Mbps最大監控網絡流量。

　　l 自動的防御能力：中斷當前攻擊行為，維護系統和數據安全。

　　l 強大的偵聽能力：記錄攻擊行為的屬性、特征和來源。

　　l 有效的分析能力：對入侵行為進行統計、分類和等級劃分，提供客觀的分析和防御基礎。

　　l 靈活準確的報警方式，使管理員及時了解網絡狀況。

　　l 說盡的日志說錄，靈活的日志查詢手段。

　　l 多樣化的報表形式，可生成多種樣式的報表。

　　l 優越的數據處理能力，可應對龐大的數據流。

　　l 系統廣泛的可適用性：適合于大、中、小各種規模、不同應用的網絡的內部濫用行業和外部入侵行為的共同檢測與防御。

　　l 圖形化管理能辦：可視的管理、監視、控制和分析操作界面，方便使用。