FMC(Fixed-Mobile Convergence,固网移动融合)是目前通信业界关注的热点。FMC意味着用户只使用一个终端、一个号码,只需要付一份账单,就可以在固网和移动网之间平滑切换,随时随地享受同等质量的服务。对于用户,FMC意味着简单方便、健康环保;对于运营商,特别是固网运营商,FMC是可以充分发挥固网潜力,分享移动增值业务所带来的丰厚收益的希望所在。
FMC涉及到业务、终端和网络的渐进融合,在统一架构下:
网络接入层,城域传输网,POP服务点,骨干网,服务控制层,端到端QoS层,和BOSS层面临很多安全威胁和挑战,如何解决这些挑战是确保FMC成功融合演进的基础。
一、接入层安全
FMC接入层是一个All In One网关,能够实现所有类别的终端接入,支持多样的接入方式,具备安全认证能力,且它是终端进入网络的第一道安全关口,需要网络内容监控。针对不同的应用场景,接入层的安全主要集中在下面3种方式,MAS接入,CPE接入,uBro接入。
MAS被广泛用于企业接入,帮助企业实现应用集成、终端适配和内容适配,把企业的IT应用系统向移动终端延伸。企业MAS在部署过程种面临的安全威胁主要来自于:
1.MAS的IP地址和接口向Internet开放,有可能面临各种各样的攻击,而作为通用服务网关,缺乏抵御这些攻击的能力。
2.各类企业的安全意识不尽相同,许多企业通过明文传输信息,导致信息的泄密;
3.接入认证方式过于简单,一旦大规模部署MAS,不同的企业将访问到同一各MAS。
华为赛门铁克深入理解目前存在的MAS安全威胁,为了应对这些威胁,华为赛门铁克首先在MAS前部署VPN安全网关。VPN安全网关一方面避免MAS直接暴露在Internet上受到各种攻击,另外,能够在Internet上为企业和VPN安全网关之间建立安全的数据传输通道。在部署VPN安全网关的基础上,结合Radius系统,对企业用户进行认证,只能认证的用户才能接入到MAS。
在接入层,存在大量用户,各类接口和多样的应用,各类安全问题,例如流量攻击、病毒传播和非法访问等时常发生,而安全技术越来越复杂,无法找到合适的产品来解决问题,安全管理也日益复杂,专业人员匮乏,不会用也导致问题不能得到解决。因此在CPE部署行之有效的安全方案,是华为赛门铁克长期的关注点,结果深入研究,华为赛门铁克认为,CPE应该能够在一个设备中实现网络安全、VPN,路由器,终端安全、安全访问和NAT等功能,且易维护,能统一管理和操作。部署这样的CPE,能够解决网络种的各类安全威胁,可以统一管理,提供专业的log分析,
通过部署华为赛门铁克研发的USG(通用安全网关)系列产品是CPE的解决之道。 USG系列安全网关是华为赛门铁克公司新一代网关型安全防护设备,采用基于多核的硬件平台,为用户提供了集高转发率、高加密性能、高端口密度于一体的产品级安全防护解决方案。USG集成DDos攻击防范能力,可防御多种类型的DDos攻击。采用硬件加密芯片,提供高速的VPN加密性能。支持多种地址转换功能、为用户提供最大限度的灵活组网,集成多种路由特性,可参与动态路由,提供Qos控制,为用户提供丰富的功能选择,同时结合智能的黑白名单过滤、多样的统计分析、方便的WEB管理等优势于一身,能够完美应对当前CPE的安全挑战。
面对家庭和SME覆盖带来的巨大市场需求,全球各大运营商都在积极寻求应对挑战的“良方”。华为公司率先推出了uBro(you Broadband)解决方案:将一个毫微微型“基站”(UAP产品)引入室内,给UE用户提供UMTS服务;UAP再通过ADSL modem经IP网络连接到核心网侧的UAP网关AG;AG通过标准的Iu接口,连接到现有的UMTS核心网,从而构成一个家庭和SME覆盖网络。
为了实现uBro通过Intenret实现UTMS移动用户访问的安全接入。其方案由AP、IPSec网关、AG和AHR组成。AP(AcessPoint)是移动网络用户的接入设备,它为用户提供无线接入服务。IPSec GW提供IPSEC隧道建立和加密。同时它也提供防火墙功能,阻断来自Internet的攻击。AG(Access Gateway)提供SGSN,RNC代理,AP管理等功能。它实现IP协议和ATM协议之间的转换,通过IU-CS接口,把语音包传递到CS域,它为无线网络提供Gi和Gn接口的PS服务流。AHR(AP Home Register)为AP提供网络配置数据,它被用于部署AP服务和保存AP的用户信息。
典型的uBro数据安全处理如下:
AP连接到宽带网关,通过PPPoE拨入到Internet,然后和IPSec网关建立安全的IPSec隧道,然后传递Mobile Data,进行移动通信服务。
二、城域传输网安全
城域传送网的安全集中在3个方面:IP传送网,异常流量策略和深度服务检测。
IP网络作为网络技术演进的共识,却依然面临流量攻击、缺乏服务识别,无法确保重点客户的安全等问题。为了确保IP传输网的安全能力,解决所面对的问题,首先需要设计一个安全的网络架构:NGN,IPTV,3G CS与3G PS系统,用户服务都应该是安全的;在不同的安全域开展不同的业务应用,例如不同的物理网络或逻辑网络隔离业务应用;在安全域中提供安全管理和控制。
其次在接入层提供安全保护。尽可能早的阻断各类智能终端的危险访问;屏蔽来自Internet的安全风险;提供合理的服务模式去访问IP传送网中的应用系统。
例如在设计SoftSwitch的时候,softswitch本身的处理能力有限,易受攻击,因此在其前端部署防火墙:
防火墙阻挡对SoftSwitch的流量攻击,防止DdoS攻击;
防火墙能够过滤所有和语音无关的消息;
防火墙能够避免SoftSwitch受到信令攻击,过滤相关的攻击消息。
同时采用Prox技术,确保接入安全。Eudemon产品能够提供语音代理功能,它分析和处理没个session,为session提供代理,起到安全屏障的作用。
异常流量策略主要解决:防御DDoS,确保IP电话的SLA,防御和控制异常流量,提供安全的增值服务。异常流量策略通常用在MAN或省骨干的出口,IDC,POP服务点,重要客户的出口等。
当防御DDoS,进行流量清洗的实现如下:
DDoS流量清洗由3个组件构成:检测及分析中心,控制及清洗中和安全管理中心。DDoS流量清洗方案可实现DPI探测和NetFlow探测模式,能够实现应用层的攻击防护,支持P2P,VoIP控制,以及用户行为分析等。
深度服务检测是为了应对当前网络中非法营运VoIP,P2P消耗带宽,用户共享上网,垃圾邮件与URL过滤和异常流量攻击的问题。
深度服务检测由安全分流平台,SIG(服务检测网关)和管理中心构成。基于DPI技术,实现6大主题功能:共享接入监控,用户行为分析,WEB推送,P2P监控,VoIP监控和DDoS防御等。利用这些功能,华为赛门铁克深度业务检测方案还能够帮助运营商用户进行业务设计。
三、POP点安全
POP点安全来自基于内容的识别和计费,华为赛门铁克的POP点安全解决方式有两种:ME60+SIG的方式,GGSN内建DPI卡的方式。
四、骨干网安全
骨干网的安全同城域传输网的安全一样,有异常流量策略解决方案,有深度服务监控解决方案。和城域传输网不同,骨干网需要解决PS域的安全问题。
PS域的GTP协议采用明文传输,缺乏认证和完整性检查;PS连接互联网、企业用户、漫游合作伙伴和GRX网络,具备开放性;手机越来越智能,操作系统复杂,可自由安装软件,病毒和蠕虫肆意传播变成可能;同时PS承载的业务多种多样,用户数量也巨大,负载也极其高。这样的现状让PS域不得不面对很多安全威胁。
PDN网络开放,不可控,拥有很多专业的攻击者,主要攻击手段为DDoS、 超额计费和系统入侵,主要攻击对象是GGSN和移动终端。漫游网络中GRX网络不可控,采用GTP协议,易受到超额计费、GTP欺骗、DDoS和截获用户数据攻击,主要攻击对象是移动终端和GGSN。网管网络易于获取较高权限,且采用通用操作系统,带宽充足、设备性能优良,因此易受到系统入侵、数据篡改和木马攻击,主要攻击对象是数据库和网元。终端网络的用户不可控,用户缺少安全意识,且手机多功能化、智能化,因此易受到蠕虫、病毒和DDoS攻击,攻击的对象是移动终端和网元。
针对PS域中4类具有代表性的攻击:DDoS,超额计费,GTP欺骗和蠕虫攻击,可部署华为赛门铁克PS域安全解决方案。
华为赛门铁克PS域整体解决方案,具有超强的兼容性和深度融合能力,高性能、高安全性、高可靠性,采用NP + 多核 + 分布式架构的防火墙产品,支持GTP协议和DPI,具备独有的DDoS防护能力,能够对PS域进行2~7层的全方位立体防护。
华为赛门铁克PS域安全解决方案通过在PS域内部和PDN边界部署高性能防火墙,防御来自PDN网络的攻击。两台防火墙之间进行隧道拆除通知。能够抗击DDoS攻击,如SYN FLOOD、UDP FLOOD、ICMP FLOOD、DNS FLOOD、CC等;能够杜绝超额计费发生;且解决性能瓶颈,最高吞吐可达到80G;提高并发连接能力达3200万,每秒新建最高可达到200万个连接;并实现VPN安全加密。
为了进一步加强DDoS的抵御能力,可在PDN和PS域之间部署华为赛门铁克的流量清洗方案。
华为赛门铁克PS域安全解决方案通过在PS域与漫游网络之间部署高性能防火墙,防御来自漫游网络的攻击。该防火墙可防范各种DDoS攻击,保护PS域网元;过滤异常GTP报文(包括GTP-in-GTP);防止基于GTP隧道状态的攻击;防止超额计费(Overbilling);阻止非法接入;支持GTPv0、GTPv1和GTP’;支持路由和透明模式,实现灵活组网;支持GTP隧道的双机热备。
华为赛门铁克PS域安全解决方案通过划分网管网络的安全域,然后在PS域和网管网络之间部署防火墙,防御来自网管网络攻击。该方案可实现IPSec、SSL、SSH、HTTPS等加密手段,保护数据传输过程安全可靠;实现不同安全域之间的隔离;实现细致的安全策略定制;虚拟防火墙技术为客户节省成本;可以对管理员的违规操作进行追溯(安全日志审计,Elog);同时,可抵御外来DOS/DDoS攻击,保护核心服务器。
华为赛门铁克PS域安全解决方案通过在GGSN与PDN网络之间部署高性能防火墙,防御来自终端网络的攻击。该方案中,移动终端在PS内不直接通信,而是通过防火墙进行通信,避免蠕虫爆发;避免针对网元的攻击;节省带宽资源;抵御来自Internet的各种攻击。
PS域安全解决方案对PS域进行全方位防护,形成2~7层的立体式防护网。华为赛门铁克针对PS域安全解决方案提供从低端到高端的全线安全产品,这使得PS安全解决方案具有超强的兼容性和深度融合。
PS域解决方案已经成为华为重点发展的解决方案,并在将来提供可实现增值服务的安全解决方案,帮助运营商打造PS域安全的价值链。
五、服务控制层安全
服务控制层安全包括IMS安全方案和IPTV安全方案。
IMS安全解决方案遵从ITU-T X.805,实现端到端的IMS安全。IMS安全威胁主要来自:更加智能化的IMS终端具备了更加强大的对通信网络进行攻击的能力,IMS网络的开放性同时也使终端更容易攻击网络设备,随着接入带宽限制的不断突破,其对IMS核心网络的保护作用也在逐部减缩,IMS融合固定、移动网络,使IMS承担着更多的与其他网络互联的需求,所以来自互联网的各类攻击也极大的威胁着IMS网络的安全。华为赛门铁克IMS端到端安全解决方案在设备安全方面,进行系统加固,服务控制和攻击保护,在网络安全方面网络域隔离,拓扑隐藏,安全传输通道,加密和完整性保护,网络接入认证。在业务安全方面保护业务量安全,防信令攻击和业务认证和授权。在用户平面安全方面,有设备安全方案,用户认证方案,业务鉴权方案和用户流安全方案。在控制平面安全解决方案方面有安全传输通道,SIP信令防DOS方案,接入域信令保护。在管理平面安全解决方案有认证权限控制方案,管理通道安全和计费安全。这些方案构成了立体的多维的安全防护网。
IPTV是网络中重要的应用,其运行安全由华为赛门铁克的安全域设计来保障。华为赛门铁克的IPTV安全域模型如下:
IPTV安全域模型共11个考虑点,通过对这11个点的安全分析,制定合理的安全策略,从而确保IPTV的安全。
六、端到端的安全服务与QoS
端到端的安全服务与QoS包括两个方案,其一是IP VPN解决方案。其二是IDC的安全增值服务。IP VPN解决方案提供IPSec的安全营运。华为赛门铁克IDC SAUP (Security Ability Upgrade Program) 安全能力提升计划是为了应对IDC的变化趋势,推出的安全增值服务。
IDC SAUP 核心思想是:“需求分类,按需满足”,IDC SAUP 实现安全需求与安全能力对应,建设和提升安全能力的参考方法,通过安全能力的系统化建设来实现IDC商业价值的持续提升。
IDC SAUP 基于管理层认知、安全部门地位、安全问题处理、建设成本及改进等内容,将安全能力划分为具有层次和递进关系的5 个阶段:
1. 不确定期:不知道为什么会有安全问题;
2. 觉醒期:经常疑问“是不是一定会有安全问题?”;
3. 启蒙期:管理层的承诺,及改进活动,能发现并解决安全问题;
4. 智慧期:安全预防已经成为日常工作的一部分;
5. 确定期:知道为什么会没有安全问题;
在划分安全能力阶段以后,下一步的目标就是将IDC 价值定位与安全能力相对应,然后实现每阶段安全能力的建设和提升。
IDC 价值定位在不断变化,从产品展示到业务发布,再到战略应用平台,每个阶段都呈现特定的安全状态与需求。IDC SAUP 建议从业务价值和安全需求两个纬度出发,基于有效的安全战略将核心价值与安全方法进行有效耦合,满足客户的动态、个性化安全需求,实现IDC 安全能力的持续创新与适应。
IDC SAUP 作为衡量和建设安全能力的参考方法,目的是帮助IDC运营商识别业务现状与对安全能力之间的关系,识别随业务发展可能出现的安全威胁,并基于业界最佳实践对可采取的安全策略和安全方法提出建议,实现分阶段、可预测的安全能力的系统化建设,最终实现IDC 商业价值的持续提升。
七、运营支撑系统安全
营运支撑系统安全分包括移动通信O&M安全解决方案和支撑网安全解决方案。
O&M安全解决方案通过对威胁和攻击的阻隔,实现O&M网络资产的安全目标。
在O&M分层分区安全解决方案中,采用了立体的防护体系。例如在边界部署防火墙,在网络中部署IDS/IPS,对终端实现访问控制,VLAN(IPSec VPN)+MPLS VPN实现数据流安全隔离等。
支撑网安全解决方案即是DCN的安全解决方案。DCN(Data Commucation Network)已发展成为运营商内部运营支撑网和企业信息化综合系统的内部数据公共网络承载平台。DCN由于长期的建设,存在很多共性问题,组网方式随意性强,缺乏统一规划:上一套系统建一个网络,仅考虑单一业务子网的网络通讯需要;网络区域之间边界不清晰,互连互通没有统一控制规范;安全防护手段部署原则不明确,已有设备也没有很好的发挥作用;网络资源比较分散:关键数据分散管理,部分通讯资源无法共享;网络层次不清晰,扩展性差;因此DCN无法有效隔离不同业务领域,跨业务领域的非授权互访难于发现和控制,无法有效控制网络病毒的发作区域和影响,不能及时的发现安全事件和响应,第三方维护人员大量参与生产系统维护时的没有访问控制和授权,管理员密码和权限的难以管理,关键服务器、信息资产的缺乏重点防护。
DCN安全解决方案采用安全域的方式进规划。安全域设计是华为赛门铁克公司DCN安全设计的基石,基于华为赛门铁克在安全领域的积累和对DCN的深刻理解,同时安全域也是安全技术具体的承载和部署基础平台,各种安全流程和安全组织架构的实际体现。在安全域分域设计上,华为赛门铁克有着成熟的基础理论是实际的分域设计经验,对于移动DCN系统上众多的业务系统的分类有着深刻理解和实际的操作经验,对于域间的安全策略更是有着良好的理解和部署实践。分析DCN应用的水平和垂直特性,应用以各部门为主线,除OA外多数为垂直应用。根据评估分析应用的安全及风险等级,划分的DCN安全域如下:
各安全域之间有清晰的边界,并且对于安全域之间的数据交换要集中控制。
网络域:
支撑安全域的网络设备和网络拓扑,是安全域的承载子域。
防护重点是保障网络性能和进行各子域的安全隔离与边界防护。
计算域:
安全域的核心业务服务器、数据库,是安全域的核心子域。
防护重点是防病毒攻击、防黑客篡改和防误操作导致数据丢失。
服务域:
为安全域提供统一的安全服务,是安全域的公共子域。
包括统一的外部网络接口、安全认证、事件管理、策略管理、补丁管理等服务。
用户域:
需要访问安全计算域的各类客户端和维护终端,是安全域的风险子域。
防护重点是加强认证和审计、限制权限,严格遵守配置标准。
同一安全区域中的网络区域根据安全需求又可划分为:
安全计算域
在局域范围内存储,传输、处理同类数据,进行相同安全等级保护的单一计算机(主机/服务器)或多个计算机组成的计算域。这是服务器中心域,是整个安全域的关键,它的安全风险等级也决定了整个安全域的安全风险等级,会重点保护。)
安全用户域
能访问同类数据的用户端计算机、需要进行相同级别保护的用户域,安全用户域的划分应以用户所能访问的计算域中的数据类和用户计算机所处的物理位置来确定。
安全用户域可以分为一级风险域(一些固定的维护台等)、二级风险域(如办公机器需要访问等)和三级风险域(如Internet上的机器要访问等),并且采用不同等级的技术防护手段进行保护。
安全网络域
是由连接具有相同安全等级的计算域和(或)用户域组成的网络域。安全网络域由支撑安全域的网络设备组成,是保护的重点,需要提升网络的稳定性、健壮性和抗攻击性等方面。
安全服务域
为整个IT架构提供集中的安全服务,包括认证、防病毒、集中管理等,进行集中的安全管理和监控以及响应。
以上7个方面的安全构成了FMC的整体安全体系。综观全球FMC发展情况可以看出,FMC是业界发展趋势,但要真正实现全网络的固定移动融合是一个漫长的过程。这各漫长的过程中,安全解决方案也是不断演进的过程。
华为公司一直致力于FMC技术的研究,提供了以IMS为核心的整网FMC的解决方案,分别在业务、网络上实现融合。在业务面上,采用FMC的智能业务方案,实现单一号码、单一话单和业务发放智能化。在网络层上,以核心承载层IP化为核心,采用集成多种技术的接入设备,提出充分利用运营商固定、无线接入资源的混合组网的解决方案,有助于运营商利用现有的资源,逐步实现网络FMC的演进。同时华为公司积极研究FMC的演进过程,帮助运营商制定在FMC网络的演进方案。
华为赛门铁克是华为All IP和FMC战略的一部分。随着电信网络走向All IP,网络安全必将成为All IP网络的基础,华为赛门铁克的出现,能为运营商客户提供全球领先的网络安全解决方案,使用户的网络更安全、更高效。”