近几年来,随着电信行业的飞速发展,中国电信行业的改革逐步加大,中国电信集团公司组建中国电信北京分公司,开展中国电信在北京的电信业务。在业务系统建设当中,BOSS系统是业务系统的
|
|
2.需求分析
北京电信希望建议一套足够弹性的,可靠的,容易扩展的基础架构,以支持将要建设的Boss各个应用系统:计费(Billing),结算(Settlement),客服(CRM),EAI等;同时,能方便未来快速而灵活的部署其他的应用系统,而不必重新构筑现有的基础系统。
从逻辑上或物理上,将系统划分为三个层次,不同的层次间采用防火墙进行隔离,不同的层次采用不同的IP地址分配/使用原则,譬如:上层可能采用私有的IP地址段,并且只有极少数系统网络可达;中间层系统和外部系统的IP地址可能使用公共地址或两层之间可相互路由的地址,亦即在没有安全策略的前提下,两层系统可直接网络访问。
安全管理需要按各个应用系统分开管理,达到更高的安全性。
3.解决方案
整个方案物理上采用两层防火墙,接入层防火墙主要负责隔离各个不同的接入系统,采用物理连接方式隔离接入层和应用系统及数据库系统。我们知道,系统的主要安全风险来自接入系统,特别是Internet和各个非北京电信管理的接入系统。理论上和实际上都存在着各种各样的基于网络的安全攻击事件,因此,一层物理连接的防火墙是非常必要的;如果,单纯采用逻辑的防火墙,从功能上可以满足安全策略的设置,但核心交换设备可以不经防火墙就二层可达,一旦控制核心交换设备,逻辑防火墙则成为无用之物,整个系统不仅是应用服务器,数据库服务器也很容易的受到攻击。另外一个方面,大多数企业在设计自己的安全体系时,外层防火墙都是采用物理连接,几乎很少采用逻辑联接的。第二层防火墙我们建议采用逻辑连接,旁挂在核心交换机旁边,主要考虑到:接入层防火墙已经采用物理连接,安全攻击不容易控制核心交换设备;灵活的控制内部应用系统和数据库系统的安全层次。
Netscreen防火墙应用
北京电信BOSS系统使用了两层防火墙:接入防火墙Netscreen208和核心防火墙Netscreen 500。接入防火墙Netscreen208负责整个接入层访问核心系统的接入安全;核心防火墙负责实施整个核心系统之间不同系统不同安全层次之间的逻辑安全层次划分。