基于GPRS/EDGE专网系统

分类：解决方案日期：2010-07-16 11:44:04

一、需求分析

　　近年来，信息技术的飞速发展，特别是以计算机互联网络Internet为代表的计算机信息网络及其应用系统在全世界的迅速推广和使用，使人们获取、交流和处理信息的手段发生了巨大的变化，深刻地影响着人们的交流、工作、学习、生活和娱乐的方式。移动信息化正是适应时代变化的企业信息全面解决方案，使企业获得全面的信息化服务，实现企业信息的智能管理，提高企业管理与生产效率，更有效的适应市场竞争的需要。

　　某移动提出的移动信息化全面解决方案是以涵盖数据通信、信息服务、增值业务的全数据观念为基础，利用移动通信网、移动智能网及移动互联网，针对行业的具体需求和应用提供的一体化解决方案。

　　移动信息化是以移动通信网和移动互联网集成的综合通信平台。移动信息化涵盖集团移动电话网（VPMN）、语音专线、会议通、语音信息通知、移动办公助理、车辆调度、国际移动互联网专线、GPRS/EDGE专网等服务内容。GPRS/EDGE是目前解决移动通信信息服务的一种较完美的业务，它是以数据流量计费、覆盖范围广泛、数据传输速度更快。GPRS/EDGE的推出，为行业和企业用户开展无线办公提供了基础设施平台，为推动移动办公的应用和发展创造了有利条件。与有线网络相比，GPRS/EDGE网络具有租用费用低、移动办公，不受地域制约等优点。GPRS/EDGE的出现为企业和行业用户开展无线办公提供了一种新的选择。

　　GPRS/EDGE通信方式更适合于彩票投注业务，目前彩票的业务中心与各营业点采用DDN或者电话线传送数据。彩票业务单笔流量很小，采用DDN或IDSL专线月租费太高，用电话线传送数据按时间计费，带来诸多不便，费用也不便宜。因此，许多省市彩票中心都考虑对传统通信方式进行改造，GPRS/EDGE无线传输数据有以下优势：

　　1．GPRS/EDGE用户可随意分布和移动自己的网络点，无须担心线路的维护或有线在移机时导致的通讯中断。建设新的营业点无需进行拉线，埋线等工作。较光纤，或专线系统投资较少，设备安装方便。

　　2．终端价格比较低，与DDN相比，较DTU或基带Modem(DDN专线Modem)其终端价格便宜很多。

　　3．GPRS/EDGE资费便宜，计费合理。GPRS/EDGE 资费包月比有线电话网络资费还便宜。彩票投注没有大数据量的信息传输，不必要采用资费很高的专线（DDN、帧中继）。GPRS/EDGE还可根据通信的数据量和提供的服务质量进行计费。在GPRS/EDGE网中，用户只需与网络建立一次连接，就可长时间的保持这种连接，并只在传输数据时才占用信道并被计费，保持时不占用信道也不计费。这样，营业点即不用频繁建立连接，也不必支付传输间隙时的费用。

　　4．GPRS/EDGE能最好地支持频繁的、少量突发型数据业务。通信质量稳定可靠，永不掉线。

　　5．GPRS/EDGE网络接入速度快，提供了与现有数据网的无缝连接。

　　由于GPRS/EDGE网本身就是一个分组型数据网, 支持TCP/IP、X.25协议，因此无需经过PSTN等网络的转接，直接与分组数据网（IP网或X.25网）互通，接入速度仅几秒钟，快于电路型数据业务。采用TCP/IP协议，较以前的无线数据网络（集群，双向传呼，GSM短信息）而言，网络接入更加直接方便。

　　6．覆盖较好，比较很多无线数据网络（集群，双向传呼，CDPD，CDMA）而言，其网络覆盖是最好的。

　　二、解决方案

　　1．系统结构图

　　2．系统组成

　　1）终端设备

　　用户端：

　　采用厦门四信通信科技有限公司的GPRS/EDGE路由器，采用以太网\串口和彩票机相连，完成用户系统的构成，其中用户的计算机运行用户的系统软件和应

　　局端：

采用某移动提供的线路和接口。

　　随着科技的不断发展，便携式PC\台式机功能日渐强大，对于企业的员工而言操作更方便。

　　用户系统：

　　用户采用PC机，利用以太网 \ 串口和本终端相连，实现系统的通信。

　　厦门四信提供的F3123 GPRS路由器和F3323 EDGE路由器通用的操作环境和强大的处理能力使得终端设备能够通过对GPRS/EDGE网络及后台应用服务的支持，迅速完成数据查询及业务处理。

　　应用服务

　　主要由四层软件组成:

　　前端软件：

　　前端软件运行于终端上，支持本地业务数据的查询及业务事务处理；同时管理

　　无线通讯网络，完成拨号、挂断及状态监测；对于事务处理请求与确认，实现可靠

　　的传输控制，保证与局端的协作。

　　外网服务软件：

　　外网服务软件完成与前端软件的安全认证及加解密，协同外网查询数据库完成

　　数据查询请求的处理及应答；处理内网服务器产生的数据同步命令维护外网查询数

　　据库；为内网服务软件与前端软件提供穿透物理隔离的传输，使业务处理请求可以

　　安全有效地到达内网并进行处理。

　　内网服务软件：

　　内网服务软件完成与外网服务软件的隔离传输，及与前端软件的安全认证和加

　　解密，对前端产生的事务处理请求进行解释、执行，依靠数据库适配层软件，将各

　　业务数据库同步至外网查询服务软件。

　　局端数据库适配层软件：

　　局端数据库适配层软件对存在于多体系异种数据库平台的业务数据库提供抽象

　　接口，支持内网服务软件完成事务处理及数据同步。

　　用于GPRS/EDGE网络的无线数据传输

　　经过数年多的建设，某移动GPRS/EDGE网实现了沿海地区的全面覆盖和山区地区的地市覆盖，并且于2002年5.17正式向用户提供服务。GPRS/EDGE业务的高速数据传输、“永远在线”、“流量计费”和“全国漫游”的特性以及中国移动的优质网络，满足了不同层次客户的需求，也为发展行业应用奠定了坚实的基础。

　　3．专线APN传输方式

　　根据企业对网络安全的特殊要求，沈阳移动通信分公司和厦门四信通信科技有限公司合作设计了基于GPRS/EDGE网络的数据传输方案，采用了多种安全措施，主要包括：

　　l 通过一条2M 专线接入某移动GPRS/EDGE网络，双方互联路由器之间采用私有IP地址进行广域连接，在GGSN与某移动互联路由器之间采用GRE隧道。

　　l 为某移动的客户分配专用的APN，普通用户不得申请该APN。用于GPRS/EDGE专网的SIM卡仅开通该专用APN，限制使用其他APN。

　　l 客户可自建一套RADIUS服务器和DHCP服务器，GGSN向RADIUS服务器提供用户主叫号码，采用主叫号码和用户账号相结合的认证方式；用户通过认证后由DHCP服务器分配企业内部的静态IP地址。

　　l 端到端加密：移动终端和服务器平台之间采用端到端加密，避免信息在整个传输过程中可能的泄漏。

　　l 双方采用防火墙进行隔离，并在防火墙上进行IP地址和端口过滤。

　　4．业务流程

　　GPRS/EDGE专网系统终端上网登录服务器平台的流程为：

　　1）用户发出GPRS/EDGE登录请求，请求中包括由某移动为GPRS/EDGE专网系统专门分配的专网APN；

　　2）根据请求中的APN，SGSN向DNS服务器发出查询请求，找到与企业服务器平台连接的GGSN，并将用户请求通过GTP隧道封装送给GGSN；

　　3）GGSN将用户认证信息（包括手机号码、用户账号、密码等）通过专线送至Radius进行认证；

　　4）Radius认证服务器看到手机号等认证信息，确认是合法用户发来的请求，向DHCP服务器请求分配用户地址；

　　5）Radius认证通过后，由Radius向GGSN发送携带用户地址的确认信息；

　　6）用户得到了IP地址，就可以携带数据包，对GPRS/EDGE专网系统信息查询和业务处理平台进行访问。

　　三、网络安全

　　1．安全方案的设计原则

　　在设计GPRS/EDGE彩票系统网络的安全系统时，我们将遵循以下原则：

　　l 体系化设计原则

　　通过分析信息网络的层次关系，提出科学的安全体系和安全框架，并根据安全体系分析存在的各种安全风险，从而最大限度地解决可能存在的安全问题。

　　l 全局性、均衡性、综合性设计原则

　　从全局出发，综合考虑各种安全风险，采取相应的安全措施，并根据风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。

　　l 可行性、可靠性、安全性

　　在采用安全系统之后，不会对GPRS/EDGE彩票系统网络原有的网络和应用系统有大的影响。在保证网络和应用系统正常运转的前提下，保证系统的安全。

　　l 统一规划、分布实施原则

　　针对整个GPRS/EDGE彩票系统网络统一制定技术方案，采取相同的技术路线，这样有利于统一安全策略的制定，有利于保护整个GPRS/EDGE彩票系统网络的安全，并且可以节约投资，减少浪费。

　　在统一规划的基础上，可以采取分步实施的策略，在资金允许条件下，先解决有迫切安全需求、而且技术成熟的问题。

　　2．安全体系

　　安全方案的科学性、可行性是其可顺利实施的保障。

　　安全方案必须架构在科学的安全体系和安全框架之上，因为安全框架是安全方案设计和分析的基础。

　　为了系统、科学地分析安全方案涉及的各种安全问题，在大量调查研究的基础上，我们提出了下面的安全体系（见下图），它反映了信息系统安全需求和体系结构的共性。具体说明如下：

　　安全体系是一个三维结构：

　　l 第一维（X轴）是安全服务特性，给出了7种安全属性；

　　l 第二维（Y轴）是系统单元，给出了信息网络系统的组成；

　　l 第三维（Z轴）是协议层次，给出了国际标准化组织ISO的开放系统互连（OSI）模型。

　　安全体系的具体模型和介绍如下：

　　安全管理

　　贯穿于上述三个方面各个层次的是安全管理。通过技术手段和行政管理手段，安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务。

　　安全技术体系

　　通过对网络应用的全面了解，安全风险存在于网络系统的各个层次，那么，在网络系统的各个层次之中都应有相应的安全解决技术，包括：物理层安全、链路层安全、网络层安全、操作系统安全以及管理安全。只有这样的安全技术体系才是完整的、全面的。下图列出了各网络安全设备在网络安全三维体系中的应用。

　　3．安全子系统划分

　　在安全方案设计中，首先要确定安全方案所涉及到的系统单元，其次要考虑该系统单元在各个层次所提供的安全服务（功能），最后还应考虑这些单元系统之间的逻辑关系，在整体安全体系框架下，划分成不同的安全子系统，分别提供相应的安全解决方案，才能提供全面的、合理的、有机的安全服务。

　　因在GPRS/EDGE专网系统中以包含RADIUS身份认证系统，本方案中针对GPRS/EDGE彩票系统的网络层安全系统（包括防火墙和入侵检测系统）进行论述

　　网络层安全系统：主要通过防火墙分布式隔离来实现，即在彩票总部数据中心网络和各营业点均通过防火墙进行安全隔离，将危险区域进行分划到每个区域子网，使危险区域控制在小的区域区间内。对某一个区域的攻击不会影响到别的区域，同时通过安全规则的细化，尽量避免了各区域子网之间的攻击扩散。同时，对于彩票总部数据中心网络重要的服务器子网采用入侵检测系统，作为实时的访问监控，及时的对外来攻击作出报警及阻断的响应。

　　4．总体网络安全逻辑结构示意

　　根据以上分析，我们得出GPRS/EDGE彩票系统网络安全如下：

　　1）网络安全示意图：

　　5．安全方案的选型

　　1）网络系统安全系统

　　主要依靠防火墙、基本入侵检测等技术，在网络层构筑一道安全屏障，并依靠分布式的产品部署，集成在同一个安全管理平台上，实现网络层的统一、集中的安全管理。

　　2)网络层安全管理平台

　　选择网络层安全管理平台时主要考虑这个安全管理平台能否与其它相关的网络安全产品集成，能否对这些安全产品进行统一的管理，包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。

　　在这个前提下，我们建议在GPRS/EDGE彩票系统网络中采用由清华得实公司提供的网络层安全管理平台。

　　3）安全网络拓扑结构划分

　　划分网络拓扑结构，一方面要保证网络的安全，另一方面，不能对原有网络结构做太大的更改。为此我们建议采用下图所示的支持非军事化区的三网段安全网络拓扑结构。

　　用非军事化区的安全网络拓扑示意图

　　这种安全网络拓扑图主要从保护重要服务器的安全出发考虑，把网络划分成三个网段：外网、非军事化区网段和安全内网。

　　非军事化区网段（DMZ）主要放置一些对外提供服务的服务器，包括WEB服务器、DB、网管工作站。安全系统的一些安全服务器、管理服务器等也都放在非军事化区内。

　　安全内网主要放置一些不对外直接开放的重要服务器，如各种数据库服务器、WWW服务器等。在这种网络结构中，通过防火墙等安全设备的配置，可以确保：

　　l 可以拒绝从外网对安全内网的各种直接的访问连接；

　　l 可以在非军事化区内对外网开放一些服务器和服务端口，如WEB服务器的80端口等；

　　l 可以限制内网中用户能够访问外网的某些服务端口，如只允许访问HTTP、FTP等服务。

　　通过这种配置，可以保证在对外提供正常服务的同时，充分保证服务器和数据的安全。下面的防火墙配置将以这种支持非军事化区的三网段安全网络拓扑结构为基础。

　　4）防火墙配置

　　我们建议如“GPRS/EDGE彩票系统网络安全示意图”所示配置防火墙设备：

　　在彩票系统中心网络的外联出口采用一台清华得实NetST2104企业级防火墙，保护彩票系统中心网络；

　　在自己允许的情况下，可在每个营业点机构，安装一台经济适用的清华得实NetST1000小型部门级防火墙，保护各营业点系统；

　　5）NetST防火墙产品

　　A.选型原则

　　在本方案中，我们选择了清华得实防火墙NetST产品。

　　综合考虑到安全、性能、价格等因素，我们建议在配置防火墙时，采取国内防火墙产品：即防火墙NetST。选择国内产品主要考虑自主研发的、具有自主版权的、技术成熟且安全可靠、性能优越的防火墙产品。所选产品经过国家有关部门的认证，有销售许可。

　　B.NetST简介

　　作为国内最早自主开发的防火墙系统之一，新一代NetST防火墙引擎采用了国际先进的状态检测技术，实时在线监测当前内外网络的各种连接状态，并根据连接状态动态配置规则，对异常的连接状态进行阻断。

　　NetST防火墙为用户提供了强大的包过滤功能，支持TCP/IP协议族内各种主流网络协议，可以根据网络流量的类型、网络地址、应用服务等条件进行过滤。

　　NetST提供了包括网络层访问控制、地址转换、流量限制等多种防火墙基本功能，还提供基于用户身份的安全策略控制，还可以实时在线监视网络的各种连接，用户可以随时掌握网络中发生的各种情况，并在日志中记录所有对防火墙的配置操作、异常的连接、被防火墙拒绝的连接、可能的入侵等信息，并提供友好的管理界面进行管理。

　　NetST还提供系统安全防范功能，可以对多种网络入侵，包括多种拒绝服务攻击（如ping of death，land，syn flooding，tear drop等）、端口扫描、IP欺骗等攻击行为，进行辨别和有效阻断。

　　NetST通过采用工业级硬件系统，可靠的专用安全操作系统、稳定的防火墙引擎，保证了整个系统具有极高的性能和可靠性。

　　NetST已经通过了公安部采用最新包过滤防火墙国家标准（GB18019-1999）进行的安全产品认证（序号：010128，销售许可证号：XKC33129）和中国国家信息安全测评认证中心的认证（CNISTEC1999TYP009）。

　　C.防火墙的特点：

　　l 最大支持100Mbps线速状态检测。

　　l 防火墙满足网络间的单向访问需求、过滤不安全的服务。

　　l 最大并发连接数达到60,000个以上，远远满足用户的需求。

　　l 支持VPN功能。

　　l 可以针对协议、端口号、时间、流量等条件实现安全的访问控制。

　　l 可以根据如下信息进行过滤：

　　a) －源IP地址

　　b) －目的IP地址

　　c) －协议类型(IP、ICMP、TCP、UDP)

　　d) －源TCP/UDP端口

　　e) －目的TCP／UDP端口

　　f) －ICMP报文类型域和代码域

　　g) －碎片包

　　h) －其它标志位，如SYN、ACK位

　　l 自动扫描主机打开的端口。

　　l 防火墙支持高可用性和负载均衡。

　　l 防火墙初始状态应关闭所有端口，根据客户需要一个个打开。具备反端口扫描功能。

　　l 可以断开任一网络接口的连接。

　　l 网络地址转换NAT技术、MAC地址绑定技术。

　　l NetST防火墙支持在内部网使用保留的IP地址，通过动态的地址转换功能实现对外部网的访问。NetST防火墙具有动态和静态地址NAT两种转换方式，满足用户的不同需求。

　　l 有智能的过滤、拦截功能。

　　l 防火墙具有恶意入侵检测与报警。通过NetST防火墙的报警系统和入侵检测系统的协同工作，实现对入侵攻击及早防御。同时会启动自动防范系统进行防范。

　　l 防火墙具有强大的审计功能和统计报表功能。

　　l 防火墙具有集中管理的功能。

　　l 防火墙具有备份功能。

　　l NetST防火墙提供非常方便的升级方式。

　　l 支持DHCP功能。

　　D.防火墙防范的种类的攻击：

　　l 检测多种DOS攻击

　　l 检测保护子网中是否存在后门和木马程序

　　l 测多种针对FTP服务的攻击

　　l 检测多种DDOS攻击

　　l 检测多种针对Finger服务的攻击

　　l 检测基于NetBi0S的攻击

　　l 检测缓冲区溢出类型攻击

　　l 检测基于RPC的攻击

　　l 检测基于SMTP的攻击

　　l 检测基于Telnet的攻击

　　l 检测CGI攻击

　　l 检测针对WEB Server的FrontPage扩展进行的攻击

　　l 检测针对WEB Server的ColdFusion扩展进行的攻击

　　l 检测针对MicroSoft IIS server进行的攻击

　　l 检测利用ICMP进行的扫描和攻击。

　　l 检测利用Traceroute对网络的探测

　　l 检测ActiveX，JaveApplet的传输

　　l 检测对其他可能的网络服务进行的攻击。

　　E. 入侵检测系统配置

　　针对以上需求情况：我们在彩票中心网络中都设置一台NetDT入侵检测系统。

　　设置安全检测和攻击预警系统的目的是：运用成熟的攻击、反攻击技术，分析已知的系统安全漏洞和薄弱环节。安全检测可以在不安全因素被诱发之前，消除系统可能的安全隐患。攻击预警系统可以实时发现网络攻击，阻挠不安全用户进入系统。

　　F.入侵检测系统的建设目标

　　根据彩票投注对安全的需求，我们认为对该系统入侵检测系统的建设目标应该是：

　　l 对外，需要能够及时发现针对彩票中心网的服务器以及内部网络的各种攻击能够及时被发现和阻断。

　　l 对内，要保证针对彩票中心网的重要服务器的各种攻击企图要能够及时被发现和阻断。

　　入侵检测系统有基于主机和基于网络的两种模式的技术和产品。

　　基于网络的入侵检测系统,通过在计算机网络中的某些点,被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中获取有用的信息，再与已知攻击特征相匹配,或与正常网络行为原型相比较,来识别攻击事件。

　　基于主机的产品只能针对某一个服务器的访问行为进行检测，一般是通过检查系统的访问日志进行判别，识别率较高，但实时性较差。此外，基于主机的产品与服务器的操作系统关系密切，一般只支持主流的操作系统（如Windows NT，Solaris等）。

　　为此，我们建议采用基于网络的入侵检测系统。如图2、3所示，我们建议入侵检测系统的配置是：

　　在内部网，配置入侵检测系统的监控中心，对彩票中心网的所有入侵检测系统的探测头进行集中、统一的管理和监控；

　　我们选用的清华得实NetDT入侵检测产品功能如下：

　　网络入侵检测NetDT系统是北京清华得实科技股份有限公司网络安全系统产品之一。该系统采用分布式入侵侦测系统构架，国际先进的反IDS欺骗技术、底层协议分析技术、智能规则技术、实时显示技术和网络数据监控技术，全面监视各个子网络的通信情况，及时捕获入侵行为，并针对网络上的可疑入侵行为，做出策略反应，及时告警和日志记录等，最大限度地保障系统安全，是一套拥有完全自主版权、实用性强的安全产品，适用于政府、银行、证券、电子商务、数据中心等单位和部门。

　　清华得实NetDT入侵检测系统功能如下：

　　l 分布式系统架构：侦听器可安装在网络的各物理网段上，一台服务器管理多个侦听器，从而达到分布安装，全网监控，集中管理。

　　l 高效的检测能力：系统提供100Mbps最大监控网络流量。

　　l 自动的防御能力：中断当前攻击行为，维护系统和数据安全。

　　l 强大的侦听能力：记录攻击行为的属性、特征和来源。

　　l 有效的分析能力：对入侵行为进行统计、分类和等级划分，提供客观的分析和防御基础。

　　l 灵活准确的报警方式，使管理员及时了解网络状况。

　　l 说尽的日志说录，灵活的日志查询手段。

　　l 多样化的报表形式，可生成多种样式的报表。

　　l 优越的数据处理能力，可应对庞大的数据流。

　　l 系统广泛的可适用性：适合于大、中、小各种规模、不同应用的网络的内部滥用行业和外部入侵行为的共同检测与防御。

　　l 图形化管理能办：可视的管理、监视、控制和分析操作界面，方便使用。