XX广电网络安全华为技术建议书 1.docx
《XX广电网络安全华为技术建议书 1.docx》由会员分享,可在线阅读,更多相关《XX广电网络安全华为技术建议书 1.docx(28页珍藏版)》请在冰点文库上搜索。
XX广电网络安全华为技术建议书1
XX广电网络安全华为技术建议书
华为技术有限公司
版权所有©华为技术有限公司2015。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:
深圳市龙岗区坂田华为总部办公楼邮编:
518129
网址:
客户服务邮箱:
support@
客户服务电话:
4008302118
目录
1项目概述4
1.1XX广电网络架构说明4
1.2项目背景5
1.3项目范围6
2XX广电内网安全分析6
2.1双向网络与Internet通道安全风险6
2.2外部专用通道安全风险6
2.3业务用户区安全风险7
2.4内部系统区安全风险7
2.5内部互联区安全风险8
2.6内部公共区安全风险8
3XX广电网络安全设计原则8
4华为安全解决方案10
4.1XX广电网络安全总体解决方案10
4.2Internet通道安全解决方案11
4.2.1第一道安全防御,Anti-DDoS检测及防护11
4.2.2第二道安全防御,访问控制12
4.2.3第三道安全防御,应用层检测防护13
4.2.4第四道安全防御,网页篡改防护13
4.2.5溯源及行为审计13
4.2.6防火墙宽带出口亮点功能14
4.3外部专用通道安全解决方案17
4.4业务用户区安全解决方案18
4.5内部系统区安全解决方案19
4.5.1服务器区通用安全解决方案19
4.5.2VOD服务器安全解决方案20
4.5.3BOSS服务器安全解决方案22
4.5.4EPG服务器安全防护23
4.5.5DHCP,DNS服务器安全防护24
4.6内部公共区安全解决方案25
5安全设备选型要求26
5.1选型原则26
5.2选型依据27
5.2.1宽带出口防火墙要求(根据具体项目填写)27
5.2.2宽带出口DDOS要求(根据具体项目填写)27
5.2.3宽带出口IPS要求(根据具体项目填写)27
5.2.4宽带出口WAF要求(根据具体项目填写)27
5.2.5VOD服务器区防火墙要求(根据具体项目填写)27
5.2.6VOD服务器区IPS要求(根据具体项目填写)27
5.3华为安全产品介绍27
6华为服务28
6.1服务理念28
6.2服务内容28
6.3服务保障28
1项目概述
1.1XX广电网络架构说明
网络业务分区架构图:
有线数字电视系统按功能区域范围不同可划分“四个区域和两个外部通道”,分别为内部系统区、内部互联区、内部公共区、业务用户区和外部专用通道、双向网络和Internet通道。
由于区域和接口繁杂,内部系统区存在多种、多条外部通道,因此系统面临多方面风险。
本文档按照省级系统为例,其他级别可根据实际情况对照本文档进行。
1)外部专用通道:
包括范围较广,如:
系统或设备的远程运维通道;增值业务通道(与广告、政务、生活服务、网游、电商等第三方增值业务提供商互联);内容提供通道(VOD、EPG等内容提供商通道);监管通道(总局监管中心节目监管通道);节目分发(接收直播节目流的通道)等,这些出口或通过互联网远程连接,或通过广电国家干线网络远程连接,远程攻击可经这些通道进入内部系统。
2)双向网络与Internet接口:
此处双向网络特指可提供机顶盒回传或可提供宽带接入服务的网络,Internet接口亦指宽带上网的出口。
由于双向网络与内部系统区有信令传输通道,该通道存在被非法利用的可能。
3)内部系统区:
各业务系统的核心(含门户),内部系统区与其他各区域及通道间存在可能的互联关系。
内部系统区的主要构成可归纳为直播系统、双向互动系统和后台支撑系统(运营支撑系统和认证系统等)。
4)内部互联区:
业务系统的下级系统和接口,与内部系统区存在客户端-服务器、主备或省市关系。
主要包括:
省市县后台接口:
一方面包括运营支撑系统多级间互联通道,可能产生自下而上的攻击路径;另一方面包括各营业厅的终端系统,由终端侧发起的访问可能扩散至内部系统。
内容交换:
指节目或业务内容逐级下发的通道,如果该通道为双向,则存在反向攻击至内部系统的可能。
灾备:
灾备系统的同步通道。
OA:
指与省公司互联的办公网络及办公自动化系统。
5)内部公共区:
指公司内部的公共区域,主要包括办公网络、网管和监控客户端。
网管客户端和系统监控客户端:
各业务系统皆有可能有各自的网管及系统监测功能模块,客户端主机可以轻而易举的接入内部系统,存在安全隐患。
办公网络:
办公网络由于可接入的设备随意性大、可控性弱,一旦可与内部系统互联,安全风险极大。
6)业务用户区:
指有线电视网的用户,包括有线电视用户(机顶盒终端)和宽带接入用户(计算机终端),源自于这些终端的非法行为可能通过宽带接入或双向回传通道进入内部系统。
1.2项目背景
在三网融合的背景下,广电网络由单向演变为双向,现在部分机顶盒演变为双网卡结构,既可提供传统的视频点播业务,也可提供双向互动(如增值业务,三屏互动业务等)和WIFI业务。
广电也大量引入增值业务,比如:
三屏互动、阳光政务、互动游戏、警视通、校视通等,
因此随着双向机顶盒的引用,广电用户量的增长,以及新业务的不断引进,内网结构愈发复杂,种类繁多的操作系统与功能服务器,增加了内网信息安全隐患,迫切需要对内网进行安全防护。
1.3项目范围
内网信息安全项目,旨在建立内网信息安全防控体系,实现专网专用规划,同时也要考虑内网和IDC平台的融合的安全,项目涵盖范围如下:
●双向网络与Internet通道安全建设
●外部专用通道安全建设
●业务用户区安全建设
●内部系统区安全建设
●内部互联区安全建设
●内部公共区安全建设
2XX广电内网安全分析
2.1双向网络与Internet通道安全风险
内网系统子网边界安全威胁主要包括内部网与城域网对接的安全威胁、内部网接入Internet的安全威胁。
内部网与Internet的连接都没有采取有效的安全措施,成为入侵者攻击的主要来源。
这样入侵者可以做到:
第一:
入侵者通过控制边界网络设备,利用网络渗透搜集信息,为扩大网络入侵范围奠定基础。
比如,入侵者同样可以利用这些网络设备的系统漏洞或者配置漏洞,实现对其控制。
第二:
通过各种手段,对服务器实施DDOS攻击,从而造成网络通信的瘫痪。
2.2外部专用通道安全风险
第三方系统可直接接入广电内部核心服务器进行内容修改,审查不严格会造成攻击,并引起政治、法律风险。
远程用户的身份、用户终端设备的不确定性,Internet数据传输、用户访问权限的不受限以及网络攻击等都可能对内部网络、内部信息造成极大的安全威胁。
2.3业务用户区安全风险
非法访问:
由于机顶盒区别与传统的,可双向访问,存在非法用户或攻击用户访问BOSS系统,页面推送系统,省中心的增值业务系统和三屏互动系统;
病毒威胁:
终端机顶盒还面临来自Internet的各种危害:
蠕虫、木马、病毒等,机顶盒通过访问内部各种应用,从而把这些病毒传染给广电内网的应用服务器系统,由于应用服务器系统到其他终端机顶盒的路由都是打通的,因此会把这些病毒传染给其他的终端机顶盒,从而引起整个网络的瘫痪。
内部客户端可被黑客利用,作为肉鸡向广电服务器或Internet服务器发起DDOS攻击。
2.4内部系统区安全风险
1)操作系统安全威胁分析
对边界网络设备来说,熟知操作系统的人员的范围要广的多,而且在网络上,很容易就能找到许多针对各种操作系统的漏洞的详细描述,所以,针对操作系统和数据库的入侵攻击在网络络中也是最多最常见的。
不管是什么操作系统,只要它运行于网络上,就必然会有或多或少的端口服务暴露在网络上,而这些专用的服务器不便定期进行操作系统的补丁升级,但这些端口服务又恰恰可能存在致命的安全漏洞,这无疑会给该系统带来严重的安全威胁,从而也给系统所在的网络带来很大的安全威胁。
2)应用与业务的安全威胁分析
在XX广电网络中运行着多种业务。
而恶意的入侵者往往会采取逐步网络渗透的方法来最终达成其入侵目的。
一旦这些关键应用系统遭到黑客的入侵或者破坏,将会影响整个XX省高清互动商业运营平台客户网络的正常运行,甚至会导致全网业务系统的崩溃,造成巨大的经济损失。
门户网站,EPG服务器容易被进行挂马、HTML注入、SQL注入,从而引起页面被篡改。
VOD信令报文容易被劫持。
BOSS存储和传输的数据被篡改。
DHCP、DNS服务器遭受DDOS攻击。
3)网络病毒的安全威胁分析
在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外,还具有一些新的特点,网络病毒的这些新的特点都会对网络与应用造成极大的威胁。
2.5内部互联区安全风险
运营支撑系统可能包含多级互联通道,如BOSS系统在县市营业厅与省中心互联,存在由下而上的攻击。
各办公区、营业厅网络接入随意,无用户身份认证,无法保证接入用户合法性,很容易攻击到内部核心网络。
2.6内部公共区安全风险
随着XX广电业务系统的迅速发展,各种支撑系统和主帐号数量的不断增加,网络规模迅速扩大,原有的账号口令、权限认证、审计管理措施已不能满足企业目前及未来业务发展的要求。
面对系统和网络安全性、IT运维管理和IT内控外审的挑战,如何提高系统运维管理水平,满足相关标准要求,降低运维成本,提供控制和审计依据,已经成为越来越困扰这些企业的问题。
随着维护集中化水平不断提高以及快速处理故障的需要,维护人员和第三方人员采用多种方式接入各支撑系统。
由于缺乏有效的控制手段,新的接入方式,特别是经IP网络远程维护,在提高维护工作效率的同时,也引入较大的安全风险,相应的安全事件时有发生。
随着攻击的深入发展,内部安全隐患也越来越突出,因此保证各终端的安全性显得尤为重要,而对于接入内网终端的身份认证、安全检查和其他安全指标的评估成为维护内网安全首当其冲的重要环节。
目前在XX广电内部办公区网络没有用户认证系统,导致任意人员都可接入内部网络,引起非法访问、数据泄露等风险。
3XX广电网络安全设计原则
根据XX广电对网络安全的需求以及华为公司对网络安全的积累,我们提出XX广电网络安全设计必须满足以下原则:
1)先进性原则:
XX广电网络中的安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全,符合业界技术的发展趋势,既体现先进性又比较成熟,并且是各个领域公认的领先产品。
2)高可靠性:
XX广电网络是其信息化的基础,网络的稳定性至关重要;网络安全设备由于部署在关键节点,成为网络稳定性的重要因素。
整个网络设计必须考虑到高可靠性因素。
3)可扩展性:
XX广电网络处在发展阶段,其网络也会不断的扩充变化,要求在保证网络安全的基础上整个网络具有灵活的可扩展性,特别是对安全区域的新增以及原有安全区域扩充等要求具有良好的支持。
4)开放兼容性:
XX广电网络的安全产品设计规范、技术指标符合国际和工业标准,支持多厂家产品,从而有效的保护投资。
5)安全最小授权原则:
XX广电网络的安全策略管理必须遵从最小授权原则,即不同安全区域内的主机只能访问属于相应网络资源,对XX广电的网络资源必须完全等到控制保护,防止未授权访问,保证XX广电的信息安全。
4华为安全解决方案
4.1XX广电网络安全总体解决方案
首先根据业务属性,完成安全区域划分,将网络划分业务用户区、内部系统区、外部通道,地市城域网、省中心等。
实现系统边界隔离,僵尸、木马和病毒防护,DDoS攻击防护,网站防护,流量监控,访问控制,VPN加密等功能,保障全省内网业务稳定和安全。
组建出口DMZ区,部署DDOS,防火墙,IPS,WAF,阻止Internet用户对广电内部攻击。
与第三方合作时部署VPN加密网关,保证传输数据不被篡改。
服务器区按业务属性部署防火墙,IPS,WAF,DDOS,保证重要服务器不被黑客控制,EPG页面不被篡改,DHCP等服务器免受DDOS攻击。
运维区部署防火墙,IPS,运维审计系统,防止运维客户端遭受入侵攻击,防止运维人员非法操作,做到事后审计。
针对双向互动的业务(如信令流,宽带业务,增值业务)进行安全防护;单向属性的视频流不做防护,视频主要要做严格的内容审查机制,构建应急覆盖系统。
4.2Internet通道安全解决方案
Internet出口风险较大,作为重点防护区域,进行DDOS防护、防火墙防护、IPS防护、网页防篡改防护。
4.2.1第一道安全防御,Anti-DDoS检测及防护
旁路部署DDOS设备,提供流量型攻击防护,有效保护服务器免受DDOS攻击。
采用动态引流的部署方式,在Internet出口处采用分光器,一份流量发给DDOS检测设备,一份流量正常转发给下游设备。
整个DDOS防护过程有如下几个步骤:
1)检测
检测设备根据分光过来的流量与配置的阈值进行分析,对达到阈值上线的的流量上报给管理模块。
管理模块接收检测设备上报的攻击日志,读取目的IP、攻击类型、攻击状态等关键字段信息,并生成清洗任务,向清洗设备下发针对指定IP启动/停止清洗的操作命令,
2)引流
清洗设备收到管理中心下发的引流策略,向出口路由交换设备发布32位掩码的BGP主机路由,对发生异常的IP流量进行智能动态引流,引流过程无需人工参与。
当攻击停止时,系统自动判断攻击停止,并向出口路由交换设备发布原BGP撤消指令,回复原被攻击用户在网络中流量走向。
3)清洗
针对于客户网络环境中,可能会发生异常的正常客户端,由于应用终端设备故障而产生的异常流量行为(这种行为几乎与正常用户的行为一致,无法通过一般意义上的清洗技术清洗),华为公司检测、清洗设备可以第一时间发现异常,清洗设备引流后,对该种异常流量进行“缓解”,缓解的目地是在于保障点播服务器、页面服务器、设备的可持续服务能力。
清洗设备通过层次化的防护技术,对异常流量进行分层次过滤清洗。
在清洗过程中,清洗设备会利用正常用户认证识别技术,把网络中的正常用户识别出来,把异常用户的流量第一时间阻断在清洗设备上。
引流开始后,攻击流量不会被转发到被攻击用户处,正常流量会持续转发回用户的网络,通过这种机制,可保证在攻击持续状态下,被攻击用户IP的服务具有持续对外服务能力。
经过清洗后,清洗设备可以阻断异常流量,转发正常用户的流量,实现异常流量清洗的目的。
4)回注
在做清洗后正常流量的回注时,可通过与路由交换设备其MPLSVPN隧道,把正常流量回注回去,防止形成环路;也可专门在回注的链路中起逻辑接口,在对接路由器\交换机侧逻辑接口的入方向使能策略路由(与清洗设备对接的接口入方向),把清洗后正常用户的流量强制重定向到下行内网接入设备,防止形成路由环路(若不做处理,从清洗设备来的流量又会选择原先发布的BGP明细路由进行选路,又把流量送回清洗设备,这样会形成路由环路。
为了避免这种有害情况,我们需在这个入接口上启策略路由。
策略路由转发优先级高于明细路由)。
4.2.2第二道安全防御,访问控制
直路部署防火墙,主要防护从Internet主动访问广电内部服务器的流量,如访问网站、网上办事大厅,在防火墙上配置安全域并采取最小访问原则,根据服务器业务类型限定目的端口访问范围,如网站服务器只允许80端口访问进来。
在防火墙上配置地址扫描攻击、端口扫描攻击检查,阻止攻击者对内网服务的恶意扫描,阻断攻击的前奏。
针对广电宽带用户访问Internet的流量采取快速放行的原则,不做过渡防护限制。
4.2.3第三道安全防御,应用层检测防护
由于新兴应用的增长,比如三屏互动,社交网络,在线视频等,使得互联网用户充分暴露在互联网环境下,使得攻击者有了新的机会,大量的客户端漏洞被暴露,大量的攻击都开始瞄准用户。
恶意的攻击者们受利益的驱使,通过攻击普通用户,得到如信用卡,帐号等隐私信息,或者得到普通用户的系统控制权限,进入内网,绕过防火墙等网络层设备。
前几道防御系统主要是针对网络层的保护,属于边界安全防护,针对业务系统的攻击,比如,通过SQL注入、跨站脚本等方式攻击网站;修改网站文件,造成组织的信誉损失;加载网马等恶意软件,转而攻击访问的客户端等,边界防火墙已经无法满足要求了,需要部署基于应用层检测的IPS系统,有效防护针对服务器自身漏洞的攻击。
4.2.4第四道安全防御,网页篡改防护
在门户网站服务器前端部署网页防篡改WAF设备,实现对门户应用系统的深度攻击防护,支持HTTPS的双向深度分析,实施抵御各类攻击,包括SQL注入、命令注入、Cookie注入、Cookie假冒、跨站脚本(XSS)、敏感信息泄露、挂马攻击、恶意代码、错误配置、隐藏字段、会话劫持、参数篡改、缓冲区溢出、强制访问、应用层拒绝服务、其他变形的应用攻击。
防止网站发生被篡改,杜绝被篡改内容被外界浏览。
4.2.5溯源及行为审计
旁路部署日志审计系统,对防火墙进行NAT溯源,满足公安部82号另要求。
可根据设备、时间范围(入库时间和会话开始时间)、目的IP地址、目的端口、NAT后源IP地址、NAT后源端口、源IP地址、源端口、NAT后目的IP地址、NAT后目的端口、协议进行查询。
通过对华为防火墙设备等网络网元的会话日志和安全日志进行采集和分析,从而追踪上网行为(如使用P2P、email、HTTP、MSN、QQ等业务),分析上网行为,分析应用时长和流量,对上网行为进行管理。
日志审计系统能提供丰富的报表功能,方便用户了解设备的实时和历史安全信息以及网络攻击状况。
4.2.6防火墙宽带出口亮点功能
华为防火墙同时支持丰富的NAT转换,完善的NAT溯源,链路负载均衡,出口带宽管理,内网P2P加速。
可以满足广电用户访问Internet的各种需求。
4.2.6.1NAT模块设计
华为防火墙支持丰富的NAT特性,可实现一对一、一对多等NAT转换,同时可根据需要对NAT地址池中的特殊地址进行剔除,满足各种应用场景。
将内网用户的源地址转换成租用链路的公网地址,可根据目的出接口识别出是去往哪个运营商,从而根据域间配置把内网用户的私网IP地址转换成对应运营商的公网IP。
对广电内部对外提供服务的业务,在防火墙上配置NATServer,将服务器的私网地址和对外提供的公网地址进行映射,并且可以对应到端口级别。
配置高性能的NAT溯源,符合公安部82号令要求,能记录NAT转换前后IP、端口、时间等信息。
针对NAT公网IP地址进行探测,可探测防封杀的地址,防火墙定期主动探测并进行回应统计,当探测到某一个地址不可用时,及时切断此地址相关的连接,并将此地址在NAT地址池中剔除,一段时间内不再使用,避免内网用户转换成此地址而不能进行网络访问。
4.2.6.2链路负载均衡模块设计
目前广电出口部署了多家运营商的多条线路,需要选择合适的线路转发广电内网流量。
可按照如下技术进行选择:
按路由权重进行选择,按照出口带宽进行选择,内置运营商ISP静态选路,智能出站探测,端到端流量优化等功能,可根据客户实际需求进行选择。
(1)路由权重负载分担模式
系统会根据各个接口设置的路由权重比例分配新建会话,使经由这等价路由多个出接口输出的流量比例接近或等于各个接口的路由权重比例,流量按照接口设置的路由权重比例进行负载分担。
当路由权重负载分担模式下同时配置了接口带宽阈值时,系统实时监控每条链路的实际使用状况是否超过阈值。
在没有链路达到阈值的情况下,流量按照接口设置的路由权重比例进行负载分担;当其中某条链路流量接近或超过阈值,新建会话时不再选择该链路;直到接口实际流量小于该链路阈值的90%后,再将该链路加入路由选择列表。
(2)链路带宽负载分担模式
系统根据等价路由多个接口的物理带宽比例分配新建会话,使经由这多个出接口输出的流量比例接近或等于各个接口的物理带宽比例。
配置接口带宽阈值后,系统实时监控每条链路的带宽实际使用状况是否超过阈值。
在没有链路达到阈值的情况下,流量按照接口物理带宽进行负载分担;当其中某条链路流量接近或超过阈值,新建会话时不再选择该链路;直到接口实际流量小于该链路阈值的90%后,再将该链路加入路由选择列表。
(3)基于应用的流量选路
客户内部网络通过多条链路与Internet连接,分别由多个不同的运营商提供。
为了保证高优先级的业务如游戏使用高质量的链路,需要把低优先级的业务如P2P流量放到低价值的链路,华为防火墙上还支持基于应用的策略路由,以具体的应用为判断条件,将不同应用的流量转发到不同的链路上。
如将网络中的关键业务如游戏、Email、数据库等流量发送到高质量链路,确保这些业务的正常运行;而将非关键业务如P2P流量发送到低质量链路,以免影响关键业务的运行。
(4)内置ISP地址选路
建议网络选择内置ISP地址选路的功能,这个功能可以将运营商的地址按照列表方式存放在防火墙设备上,在做静态路由时可直接引用这些ISP地址列表,如到电信ISP的流量,可配置静态路由下一跳为电信对端设备地址,到联通ISP的流量,静态路由下一跳指向联通设备地址。
这种方式可以大大节省维护工作量,增加配置的灵活性。
对于列表中没有的地址,客户可根据路由选择,自行添加。
(5)智能出站探测设计
可以实现智能出站探测,对于访问的特定目的IP地址,自动优先选择响应时延最小的地址进行访问。
从而保证用户上网访问的应用,到达特定应用的访问全部为最优路径,用户上网质量和体验大幅提升。
4.2.6.3端到端流量优化功能设计
在此网络中,充斥着大量的P2P、VoIP、IM、Video、Game、Stock等应用流量,有些应用占用着大量的带宽,严重影响了用户上网体验,导致视频、语音等体验感较强的业务受到严重影响,降低了用户的网络感受;也存在着游戏等对链路质量要求高的业务。
可以按照业务需要识别出需要优先处理的应用来,通过重标记IP报文投中的DSCP字段,来给业务流量着色(绿色、黄色、红色),下行路由器设备通过着色来区分处理的优先级,优先保障重点业务流量。
从而实现端到端的优化网络流量。
目前,路由器都支持QOS功能,但是无法识别流量的应用类型。
我们将防火墙加入到现有网络中,利用防火墙的应用协议识别功能,识别出流量的应用类型。
这里我们利用IP报文中的DSCP字段,DSCP是IP报文头的一部分,根据RFC的定义,我们可以将其内容修改,这样在路由器上通过读取DSCP,就可以知道流量的类型。
例如:
我们可以定义将游戏的流量的DSCP标记为ef,这样在路由器发现DSCP标记为ef的报文就知道是游戏的流量,就可以对游戏流量做预先配置的QOS(比如优先保证)
4.2.6.4P2P内网加速模块详细设计
通过特殊的NAT转换完成P2P内网地址选择,可使P2P流量在内部网络直接互通,在保证终端可以较
升级会员 