当前位置: 首页 精选范文 网络专线安全范文

网络专线安全精选(五篇)

发布时间:2023-09-28 09:24:14

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的5篇网络专线安全,期待它们能激发您的灵感。

网络专线安全

篇1

关键词:专线网络 信息 安全保障系统 构建

专线网络往往用来传输企、事业单位之间比较重要或机密性较高的数据信息,专线网络相对于开放式的信道虽然能够很好的提高用户信息传输时的安全性,但由于其自身不可避免的缺陷和来自于网络各方面威胁的不确定性,使得专线网络的信息安全保障Ⅲ问题被日益重视。

1、专线网络的普遍需求归纳

随着各行业的信息化、网络化发展,企业、事业单位信息量和信息传输需求的不断增加,传输速度快、安全性高的专线网络被越来越多的用户所需要,并普遍应用于社会的各个方面,其中甚至包括政府部门,这就要求专线网络首先要做到的就是安全性,要求信息在传输过程中的完整性,并不被窃取;能持续提供稳定的、不间断的、大容量的传输服务,接入点的分布范围广能在全国范围内便捷、快速的接入,并能随着业务需求量的不断增加同步的进行扩展。

2、专线网络信息安全保障系统建立的必要性

专线网络的安全涉及到用户信息能否被有效地利用,数据信息的丢失危害性小的可能造成诸如企业或学校等单位的管理混乱,危害性大时甚至可能威胁到国家安全、一个企业的生存与否,所以构建一个有安全保障系统的专线网络是非常有必要的,国家相关文件也指出“要注意专线网络安全保障系统中最薄弱的地方,尽量充分地认识到各种潜在的威胁,根据信息的重要性、性等级,建立相应等级的安全措施和管理。”

专线网络的信息安全保障系统的建设是一个整体,需要在充分进行了风险评估的基础上,综合地进行考量和建设,不但要在软、硬件安全措施方面进行设置,还要相应的提高管理人员的危机意识,充分认识到信息安全的重要性,和一旦信息丢失所造成的严重后果,才能使得在安全设施方面的投入被充分的利用,并发挥应有的作用。

3、专线网络信息安全面临的问题

随着专线网络的安全问题被日益重视,各种安全保障技术也在不断地提高,如防火墙技术、软件加密和硬件设备加密等等,尽管些技术在一定程度上解决了专线网络的一部分安全问题,但是专线网络的安全保障方面仍存在着一定的问题:虽然现在大多数的专线网络都采用了入侵检测和病毒扫描技术,但是由于目前入侵检测技术的发展程度尚不成熟,无法及时高效的对入侵者采取防范措施,所以没有被广泛的应用;在病毒扫描方面,存在着病毒数据库更新不够及时,扫描手段落后,对潜在的网络病毒和木马威胁的预知几乎为零等问题。在有些企业内部的网络中安装有安全芯片,但是目前的安全芯片无法做到高度的智能化,对人为操作的要求相对较高,很难做到高度统一。

4、专线网络信息安全系统构建的原则

4.1专线网络信息安全系统构建的设计理念

由于各专线网络的安全级别要求不同,所以每个专线网络可以根据自己的安全等级翻需要,并根据自身企业或单位的资金等具体情况,来进行安全保障系统方面的建设。所选择安全保障系统要有较好的智能性,便于使用中的操作和日常维护;另外,要在进行防御时改被动为主动,采用取“动静结合”的安全手段。安全保障系统还要具有良好的性价比,最好为一次性的投资,减少日后的附加费用,并有良好的扩展性。

4.2专线网络信息安全系统构建的设计原则

专线网络采用的安全保障技术在设计时要遵循以下原则:首先要适合操作人员的能力,不要采用过于复杂的措施,人员操作水平达不到安全措施的要求时,就相当于削弱了安全保障性能;安全技术的设计也要根据系统的具体性能来选择,过于繁复的运算,会大大降低系统的运行和响应速度;在风险评估的基础上针对单位的具体情况,设计适合的专线网络安全保障系统,设计的安全级别愈高,相应的投资数额就会愈多,要在考虑系统安全性的同时考虑用户的投资承受能力。一个可靠的信息安全保障系统要有良好的整体性,综合运用专业的措施和人为管理制度,如严谨的操作流程、日常维护制度等等。

5、专线网络信息安全系统的具体构建

5.1构建完善的病毒防御系统

随着网络病毒的发展和变化,其多样化的传播方式、隐蔽化的感染方式,使得专线网络一旦被病毒感染,很难被清除干净。首先存在着人为因素,大多数的终端用户对预防、清除病毒没有重视,一旦某终端或局部网络感染病毒,在缺乏管理的状态下将会迅速传播到整个专线网络。一个较大的专线网络中存在着众多的终端用户,很难做到统一升级病毒数据库,并在同一时间内同时进行杀毒。而且现在的网络病毒利用高科技的手段进行系统嵌入,一旦嵌入清除的可能性就很小。

针对上述问题,建议在专线网络内部建立一个两级的既能集中管理又能进行分级管理的网络病毒防御、监控体系。二级系统内的服务器等网络设备、所有终端都可以实现自我管理,并将二级系统内的病毒信息集中汇总后,报往上一级的管理系统。在专线网络内部建立病毒防御管理区,分别针对内网、专网和外网(即互联网)病毒防御服务器。

5.2构建系统漏洞扫描系统

专线网络用户往往会应用各种软件,这其中包括安全保障方面的软件或产品,这些产品在设计时和应用时都存在着漏洞,这些漏洞就会被病毒和木马程序所利用,直接对专线网络进行攻击。应根据专线网络的实际情况,尽量的通过漏洞扫描系统发现漏洞,并及时补救。目前即使是效果最好的入侵检测系统,往往也存在着不能及时更新、经常检测到一些没有意义的所谓隐患,在数据流量较大时,还存在误报和漏报,在黑客利用大量的伪造的数据包俺盖其真正的目的攻击意图时,就可能造成系统的瘫痪。构建结合预防和主动还击措施的漏洞检测系统,在系统漏洞被黑客利用前,先利用已掌握的黑客软件,攻击自己的专线网络,以检测漏洞检测系统对漏洞的检测能力及对漏洞的定位是否准确;在受到攻击时,采取主动还击的方式,对攻击来源进行攻击,使其不再具备攻击的能力。

5.3构建入侵检测系统

专线网络因其所传输的信息的机密性和重要性,所以必须建立起一套确实可选择入侵检测系统,实时监控可能发生的入侵行为,当有入侵行为时,能进行阻断或弱化,并能生成详细推检测报告。由于黑客技术的不断提高,在进行攻击时往往把真正的攻周行为隐藏起来,先生成大量的虚假报警,造成入侵检测系统的误报,并不能对攻击行为进行精准的描述。鉴于以上入侵检测系统存在的问题,建议构建报警信息数据融合系统,由低层报警、中层报警、高层报警、入侵报告五个部分组成,如图1:

5.4构建身份认证系统

篇2

[关键词] 计算机网络 系统安全 网络权限 加密

一、影响计算机网络安全的主要因素

1.网络系统在稳定性和可扩充性方面存在

由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。

2.网络硬件的配置不协调

一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是工作站选配不当导致网络不稳定。

3.缺乏安全策略

许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。

4.访问控制配置的复杂性

容易导致配置错误,从而给他人以可乘之机。

5.管理制度不健全

网络管理、维护没有严格的规章制度。

二、确保计算机网络安全的防范措施

1.网络系统结构设计合理与否是网络安全运行的关键

全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务。应在认真的基础上下大气力抓好网络运行质量的设计方案。在总体设计时要注意以下几个问题:由于局域网采用的是以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅被两个节点的网卡所接收,同时也被处在同一以太网上的任何一个节点的网卡所截取。

因此,只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。为解除这个网络系统固有的安全隐患,可采取以下措施:网络分段技术的应用将从源头上杜绝网络的安全隐患问题。因为局域网采用以交换机为中心、以路由器为边界的网络传输格局,再加上基于中心交换机的访问控制功能和三层交换功能,所以采取物理分段与逻辑分段两种,来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止非法侦听,保证信息的安全畅通。

以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。

2.强化计算机管理是网络系统安全的保证

(1)加强设施管理,确保计算机网络系统实体安全

建立健全安全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生;注重在保护计算机系统、网络服务器、打印机等外部设备和能信链路上狠下功夫,并不定期的对运行环境条件(温度、湿度、清洁度、三防措施、供电接头、传输设备)进行检查、测试和维护;着力改善抑制和防止电磁泄漏的能力,确保计算机系统有一个良好的电磁兼容的工作环境。

(2)强化访问控制,力促计算机网络系统运行正常

访问控制是网络安全防范和保护的主要措施,它的任务是保证网络资源不被非法用户使用和非常访问,是网络安全最重要的核心策略之一。

①建立入网访问功能模块

入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为3个过程:用户名的识别与验证;用户口令的识别与验证;用户帐号的检查。在3个过程中如果其中一个不能成立,系统就视为非法用户,则不能访问该。网络用户的用户名与口令进行验证是防止非法访问的第一道防线。网络用户注册时首先输入用户名与口令,远程服务器将验证所输入的用户名是否合法,如果验证合法,才能进一步验证口令。否则,用户将被拒之门外。

②建立网络的权限控制模块

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。可以根据访问权限将用户分为3种类型:特殊用户(系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。

③建立属性安全服务模块

属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络属性可以控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件的查看、执行、隐含、共享及系统属性等,还可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。

④建立网络服务器安全设置模块

网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法防问设备等。安装非法防问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障,也是控制进、出两个方向通信的门槛。的防火墙有3种类型:一是双重宿主主机体系结构的防火墙;二是被屏蔽主机体系结构的防火墙;三是被屏蔽主机体系结构的防火墙。流行的软件有:金山毒霸、KV3000+、瑞星、KILL等。

⑤建立档案信息加密制度

保密性是机系统安全的一个重要方面,主要是利用密码信息对加密数据进行处理,防止数据非法泄漏。利用计算机进行数据处理可大大提高工作效率,但在保密信息的收集、处理、使用、传输同时,也增加了泄密的可能性。因此对要传输的信息和存储在各种介质上的数据按密级进行加密是行之有效的保护措施之一。

⑥建立网络智能型日志系统

日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中,日志将记录自某用户登录时起,到其退出系统时止,这所执行的所有操作,包括登录失败操作,对数据库的操作及系统功能的使用。日志所记录的有执行某操作的用户保执行操作的机器IP地址、操作类型、操作对象及操作执行时间等,以备日后审计核查之用。

⑦建立完善的备份及恢复机制

为了防止存储设备的异常损坏,可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。

⑧建立安全管理机构

安全管理机构的健全与否,直接关系到一个计算机系统的安全。其管理机构由安全、审计、系统、软硬件、通信、保安等有关人员组成。

参考文献:

[1]陈爱民.计算机的安全与保密.科学出版社,2004.

[2]殷伟.计算机安全与病毒防治.安徽技术出版社,2005.

[3]王李伟.计算机网络的安全意识.西安电子科技大学出版社,2006.

篇3

数据传输、语音沟通无碍

据中国移动贵州分公司工作人员介绍:“集团专线”是指中国移动通信基于自身强大的CMNET数据网,利用自己的接入网和传输网络资源,采用固线方式(XDSL、光纤宽带网、LMDS、3.5G微波传输、2.4G无线局域网等)为集团用户提供专线接入,从而实现集团客户专享各种高质量高安全性的数据传输服务。通过中国移动强大的CMNET数据网络,采用专线的方式为集团客户提供多种带宽的国际互联网接入业务,并可提供静态IP地址,既可实现集团内部员工高速上网,又方便集团客户利用INTERNET直接开展网上业务,进行电子商务活动。

目前,中国移动贵州分公司推出的专线服务内容包括“语音通信需求”、“数据通信需求”、“互联网需求”三大部分,为企业提供传送语音、数据、视频等业务的专门服务,适用于速率高、信息量大、实时性强的数据传输应用,并且保证信息安全、速度快捷,从而满足企业运转过程中的各项需要,特别是有效解决了跨区域企业在业务对接、客户维系等各方面的工作问题。专线业务不仅可与企业信息机,GPRS企业接入等多种产品组合成整体解决方案,也是未来移动信息化应用的载体。

优质网络成就出色工作

中国移动贵州分公司的集团专线全程管道光纤接入,采用业界成熟的SDH网络,并引入领先的智能化IP―VPN光交换网络、大容量DWDM城域网,确保网络质量安全稳定。另外,专线有丰富的带宽支持,可根据用户的实际需求,提供各类带宽的信息化业务,如2M、10M、100M、155M、最大可以达到2.5G带宽的信息化业务。高质量的网络、先进的技术支撑、多样的个性化选择,使得中国移动贵州分公司集团专线在金融、电力、贸易、商业、政府、科技、教育等众多领域都有广泛的应用, 广受企业欢迎。

某企业信息中心负责人表示:选择中国移动贵州分公司集团专线,一方面是因为看中它强大的网络资源;另一方面则是因为服务好,能够针对不同企业的实际需求,提供个性化的解决方案。“在实际使用过程中,也感受到了集团专线的确方便快捷,甚至帮我们节省了不少成本。”负责人说。

篇4

[关键词]集团客户;专线接入组网;安全性分析

中图分类号:TN915.6 文献标识码:A 文章编号:1009-914X(2014)01-0312-01

引言

经济的告诉发展推动了当代技术的革新、进步,面对机器更新换代愈来愈快的步伐,集团客户显著提高了专线接入组网的要求,电信运营商也根据集团的这种需求制定出针对不同性质集团的组网接入策略,但就目前来看,虽然制定出一系列相关策略有效解决了客户对专线接入网络的需求,但其日后日益流露出的网络质量问题以及网络维护等问题日趋严重,这一系列问题的出现,一定程度上导致了客户的不满意度的提高,对企业信誉造成一定的冲击和十分不利的影响。本文从集团客户现状入手,有效分析客户市场的巨大潜力,希望以此引起电信经营商的重视,并为其集团客户专线接入组网提供有效性分析,为其出谋划策,完善入网接入方式的不足之处,增强网络集团客户专线接入组网的安全性。

一、 集团客户现状分析

网络在人们的日常生活中具有越来越重要的作用,它成为人们日常活动不可或缺的必备工具,网络对于普通百姓的重要性都如此显而易见,那它对于我国企业集团来说,更是如此。经济的发展、科技的进步,企业的日常办公越来越需要借助多媒体的帮助加以完成,而企业公务的繁忙,以及对作业效率、质量的严格要求足,进一步需要借助稳定的网络环境保驾护航,这一定程度上说,客户提高了网络质量的要求,电信运行商的挑战可谓说是遭遇更加严峻和残酷的挑战。

一般来讲,集团客户主要包括政府工作部门以及企业事业单位两方面,毫无疑问,很容易看出政府工作部门以及企业事业范围在社会上巨大的影响力和一定的社会地位,作为具有广泛影响力的集团客户,他们的健康发展不仅具有远大前景,而且可以有效拉动个人业务的办理,显而易见,客户对于网络公司具有至关重要的作用,客户是他们的主要市场,在激烈的市场竞争中,说拥有更多的客户资源,就占得了市场先机,会更公司的发展具有极大的促进作用,显然这对于网络公司的发展是极为重要的。

二、 专线接入组网设计原则论述

一方面,专线接入网络作为一种特定区域的网络共享模式,网络公司在根据公司特点制定不同的网络接入模式的同时,需要周全考虑各方面的因素,力图以详尽完备的解决方案达到满足客户需求以及本公司利益的双重化标准。以下,笔者简要分析专线接入组网涉及的一系列原则性问题,希望众多网络公司本着对客户负责的心态,规范操作流程,更好的促进我国网络运营公司的发展,更好的为我国企业集团创造良好的上网环境。

另一方面,企业遵循一定的专线接入组网设计原则可以有效为企业提供强有力的后期服务,一旦出现网络不稳定等情况,及时出台应变措施,尽快解决各种网络问题带给企业发展的不利影响。

(一) 合理性原则

网络公司对于入网接入方式的选择需要立足于具体的公司实际情况,可按照公司的重要性予以排序,对于重要程度极高的企业集团要竭力为其提供最稳定的、安全的网络环境,当然这种高标准的服务需要极多的物力、财力的投入,这对于影响力巨大的企业集团而言,自然有承担该种消费的能力,这也为企业集团按时付清网络公司账单解决了后顾之忧。网络公司要根据企业的实际情况出台一系列针对性不同的接入专线方案,力求提供在各公司承受范围之内的最优质的服务。

(二) 专业性原则

所谓专业性既要保证网络公司在各环节中保障各个流程环节的专业技术规范性,多方面综合考虑影响网络安全的因素,诸如网络传输设备、路由设备等方面,以最专业的素质为广大用户提供更加优质的服务。

(三) 可升级性原则

所有的专线接入网技术要及时更新,保持接入网络技术要与高速发展的经济同步,避免高速发展的经济对此网络连接技术的淘汰,这不仅可以有效避免公司极度亏损,又可以顺应经济高速发展日益增高的需求,进而更好的增强网络公司的综合实力,在竞争中赢得主动性。

三、 集团客户对接入组网的要求

集团客户的要求对于网络公司的内部改革具有重要作用,只有有效明晰客户的基本需求,并针对其要求进行合理分析判断,在客户需求的基础上,有针对性的加以完善和改进,无论对于客户是网络公司的发展都具有极大的作用。

(一) 稳定性

为保障企业公司的正常运转,无可避免的需要借助网络的应用,而稳定的网络则对企业的日常经济活动具有极其重要的影响,因此,网络的稳定性是集团客户对网络公司的基本要求。

(二) 可靠度

可靠度指的是公司对于企业网络出现的不可预知的意外可以及时予以回应,并以最快的速度加以对该问题的解决,这不仅可以有效提升企业集团对网络公司的信任度,更能增强其好感,进而促进企业集团同网络公司的双向合作,实现共赢。

结语

伴随着经济的发展,科技的进步,集团客户专线接入组网的要求也进一步提高,企业为应对这空前的挑战,首先必须在心理上加以重视,然后针对企业发展的实际情况,有效合理的制定出相应的解决策略,力求合作双方的深入沟通交流,彼此得利。

参考文献

[1] 梁迎春,吴海涛,陈英俊.大客户专线接入组网方案的设计与分析[J].肇庆学院学报2010 年9 月第31 卷第5 期

篇5

关键词:GPRS;VPN;原理;组成

GPRS(General Packet Radio Service)通用无线分组业务,是一种基于GSM系统的无线分组交换技术,提供端到端的、广域的无线IP连接。通俗地讲,GPRS是一项高速数据处理的技术,以"分组数据包"的形式传送资料至用户的手机或网络终端上。

VPN(Virtual Private Network)虚拟专用网络,是指通过一个公用网络(通常是Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。传统的VPN接入方式是在台式计算机上设置专用的IP地址,通过专用的账号接入Internet的方式来实现。

一、GPRS VPN专线网络组成

GPRS核心网主要包括SGSN和GGSN等设备,SGSN为用户提供服务,与MSC/VLR/EIR配合完成移动性、逻辑链路、无线资源等的管理功能;GGSN是网关或路由器,它提供GPRS和公共分组数据网以X.25或X.75协议互联,也支持GPRS和其它GPRS的互联;GGSN和SGSN一起配合完成GPRS的路由功能。另外还包括计费CG服务器,DNS解析设备,OMC网管设备,核心组网交换机/服务器和出口防火墙等。现网GPRS核心网组网拓扑简图如下:

目前,移动公司建设的GPRS VPN专线系统主要包含用户核心、VPN专线接入、GPRS核心网、无线接入和用户终端等几部分。用户核心是VPN用户的业务核心服务器设备,用于处理和存储用户的各种业务内容、信息的数据;VPN专线接入是系统的核心部分,负责将用户侧设备接入GPRS核心网,实现用户的GPRS VPN专线的接入;GPRS核心网和无线接入是无线通信网络的核心部分和接入部分,负责核心数据交换处理和用户终端接入;用户终端是指移动用户的手机或笔记本电脑等设备。组网拓扑简图如下:

GPRS VPN专线的实现方式是先由GPRS核心网分配给用户接入点名称APN,然后通过DNS解析APN对应的用户接入端GGSN,GGSN会根据APN建立到用户核心侧的VPN隧道。用户数据首先在GPRS网内通过GTP(GPRS隧道协议)传输,最后在用户接入端GGSN和用户核心侧之间通过GRE隧道协议或L2TP隧道协议进行传输。

二、GPRS VPN专线系统接入设备及组网要求

GPRS VPN专线系统接入设备主要包括用户侧接入路由器/交换机、VPN接入路由器/交换机、VPN接入防火墙等设备。

用户侧接入设备是为用户提供至VPN专线系统的输出接口,一般采用三层网络交换机或路由器。由于现网至用户侧的专线主要为E1和FE的形式,该设备必须支持E1口和FE电口;另外该设备还需支持L2TP、GRE等VPN功能,支持各类标准网络协议,MPLS L3 VPN/VPLS等多种技术。

VPN接入设备是为用户侧接入设备提供VPN专线系统的输入接口,并将多个用户的接入端口进行汇聚,一般采三层网络交换机或路由器。现网至用户侧的专线主要为E1和FE的形式,该设备必须支持E1口和FE电口,另该设备还需支持GE电/光口,作为汇聚后的输出端口。另外该设备还需支持L2TP、GRE等VPN功能,全面支持各类网络协议、MPLS L2/L3 VPN/VPLS等多种技术,支持大容量VPN隧道及并发会话数量等多种功能。

VPN接入防火墙是将VPN接入设备汇聚后的输出端口接入GPRS核心网的设备,采用主流防火墙设备。其必须支持FE/GE电/光口的接入形式,支持多种网络协议,支持多种IP VPN接入方式,支持多种加密算法等。

用户接入设备至VPN接入设置间传输网络配置根据用户的实际业务需求进行安排,对于网页浏览类型等业务,采用E1电路可满足用户需求;而对于需要进行网络下载、网络监控、网络视频等实时性要求较高的业务,采用FE/GE电路才能满足用户需求。

VPN接入路由器/交换机和VPN接入防火墙设备均按照主、备用设置,两台设备通过GE电/光口互联,处于相互热备份状态,可随时相互倒换。用户侧接入设备至VPN接入设备间的电路也按照主、备用设置。

三、GPRS VPN专线系统安全组成

GPRS VPN专线系统安全保障包括以下几个方面:

设备组网

VPN接入路由器/交换机和VPN接入防火墙设备均按照主、备用设置,两台设备通过GE电/光口互联,处于相互热备份状态,可随时相互倒换,以保证核心系统的安全运行。

网络接入层的安全性保障

在GPRS核心网中,APN是用来实现用户IP报文路由至相应GGSN及外部网络的必不可少的标识。SGSN根据APN,向特定DNS服务器查询该APN对应的GGSN IP地址,以确定用户应接入的GGSN;GGSN再根据相应APN,将用户的业务流送到不同的业务域,而不同的业务域则对应了不同的业务承载组网方式、用户标识获取方式、计费模式等。

GPRS VPN专线接入在网络层采用“APN+用户名+密码”的三重鉴权模式。由移动公司在GPRS核心网侧为VPN专线用户建立指定的APN,该APN需要RADIUS(远端授权者拨入用户系统)的认证,只允许指定的SIM卡才可以通过该系统接入网络。对此,移动公司需要在核心网HLR侧为手机号和APN做绑定,只有用户指定的手机号才能通过GPRS VPN专线系统访问用户的APN,其他用户的手机号无法通过RADIUS的认证,不能接入用户的APN和用户内网。另外当用户接入内网后,用户侧还可以通过用户名、密码等身份确认的方式,才可最终接入内网业务系统。

随着3G网络的推广,无线传输速率提升了数倍,VPN专线用户也会逐渐需要开通网络视频、高质量语音等大流量的业务。移动公司至用户侧的专线会逐步升级为FE/GE通道,随着VPN专线网络的逐渐扩大,可采用建设MPLS VPN的接入方式。

另外,对于用户指定要求较高安全性的特殊业务类型,可考虑单独为具

体业务配置专用的IPSec VPN,如可以为银行、政府的专用信息等配置专用的专线资源,而对于安全性要求较低、流量较大的业务,可采用MPLS VPN接入方式,这样既可提升资源利于率,也达到了用户的安全要求。

四、GPRS 核心网系统的补充说明

现网中,GPRS核心网经过多年的建设和扩容,设备往往分布在多个设备机房中,SGSN与GGSN的业务接入按照地区进行划分。

GPRS VPN专线系统由于规模不大,一般只设置在单个机房内,就近接入GPRS核心网,与就近机房的GGSN和SGSN直接相连,与非就近机房的GGSN和SGSN设备则通过CMNET网络进行转接后相连。由于CMNET网络为开放式公用网络,安全性不高,并且数据传送需要经过防火墙、CMNET路由器等更多的设备进行转发,造成一定的时延。对此,建议将不同GPRS核心网机房的GGSN与SGSN通过传输专线进行连接,以提高GPRS核心网和VPN专线系统的安全性,并且可以减少路由转发,为用户提供更流畅的服务。

另随着VPN专线用户的逐渐增多,可考虑在GPRS核心网中为VPN专线用户设置专用的GGSN,针对VPN专线用户进行路由、接入PDN,计费等数据进行优化和配置,可提升VPN专线系统的服务质量,并减少对GPRS核心网系统的GGSN占用,还可以为VPN用户设置定制服务,多方面满足用户需求,可作为集团类用户的新业务开发点。■

参考文献

[1] 朱江、李方伟、余艳英.基于GPRS网的VPN [J].电信快报, 2003 .8