網絡安全規劃與設計范文
前言:我們精心挑選了數篇優質網絡安全規劃與設計文章,供您閱讀參考。期待這些文章能為您帶來啟發,助您在寫作的道路上更上一層樓。
第1篇
關鍵詞:城域網;網絡安全
前言
隨著現今城域網的普遍使用,城域網方面出現的問題也越來越多,為了保證網絡能夠安全正常的使用,需要各部門對網絡安全問題加以重視。根據網絡功能的差別,可將城域網分為核心層、匯聚層和接入層這三個層次。根據業務不同,可將城域網分為接入業務、寬帶上網業務及VPN業務這三種業務方式。而本文就是針對各層次出現的不同問題,進行分析討論,并提出相關建議。
1城域網的概念分析
根據網絡功能的不同,可將城域網分為核心層、匯聚層及接入層這三個層面,同時因為各層的功能不一樣,所以各層網絡安全問題均不一樣。核心層存在的目的就是對網絡數據進行快速轉換,促使核心設備正常操作;匯聚層的主要工作就是保護整個網絡的安全運行,并利用合理有效的方案管理網絡,是整個城域網中的重中之重;而接入層則是通過對接入業務、寬帶上網業務和VPN業務進行接入,以降低網絡使用者對網絡造成的危害。利用有效的監控手段調整網絡安全,以達到網絡優化的目的。
2.1核心層的網絡安全
城域網中的核心層,是決定網絡數據能否正常快速交換的重要層次,且這一層次與多個匯聚層相連接,通過該層次與多個匯聚層進行連接,以達到網絡數據間的高效轉換,所以為了確保網路的正常運行,對該層次進行網絡保護是比不可少的部分,增加該層的保護功能。核心層的網絡安全主要考慮的問題是防止病毒入侵設備,而降低設備的操作性能,因此則需要對路由器這一網絡互連、數據轉發及網絡的管理器進行正確操作,以確保網絡使用更安全。因此則需要做到以下兩點措施。第一點是在路由器之間的協議添加認證功能。就目前而言,動態路由器是核心層與匯聚層連接之間采取最多的連接設備,現常用的動態路由器主要分為OSPF、IS-IS、BGP這三種。而動態路由器的缺點是路由器動態設置會隨著網絡的拓展而改變,會對路由表進行自動更新,如果相同設置的路由器設備加入網絡,該路由器會自動更改為網絡上的路由設置,這樣的行為可能導致網絡信息的外漏,嚴重的時候,會阻礙網絡上的路由表正常運行,導致網絡崩潰。為了有效解決相關問題的出現,則需要在路由器設置中添加身份認證,只有通過身份上的認證,同區域的路由器才能互相分享路由表上的信息,以此保護網絡安全。第二點則是遵循最小化服務的原則,關閉網路設備上不需要的服務。對此則需要做到以下幾點:(1)保證遠程訪問管理的安全,在路由器信息進行加密保護,防止外界惡意訪問的攻擊;(2)端口限制訪問,通過使用ACL端口進行訪問限制,在設備接口上添加數據訪問限制,增加網絡信息過濾系統,減少網絡病毒帶來的路由器資源耗損,防止網絡病毒入侵,促使網絡系統崩潰;(3)增強對網絡系統的檢查控制,目前采用最多的是SNMPV3協議進行網絡信息加密保護,在利用ACL控制SNMP訪問,只允許訪問設備信息,禁止復制設備信息,以有效檢查控制網絡運行情況;(4)禁止使用路由器不需要的服務,路由器主要分為軟件和硬件的轉發方式,轉件轉發的路由器是通過CPU軟件技術進行網絡數據轉發的,也就是利用核心技術進行的數據轉發,而硬件轉發的路由器時通過網絡上的硬件處理器進行數據轉發的,所以使用正確的路由器服務,減少不需要的服務,促進路由器高速運行。
2.2匯聚層的網絡安全
匯聚層是保護網絡安全運行的重要層次,通過合理有效的方式管理網絡,可以作為城域網中的管理層。為保證匯聚層能安全正常的操作,從接入網設備和各種類型用戶這兩方面進行分析,需要做到以下幾點。第一點是接入網設備的安全,利用ACL控制接入網設備的訪問,增加對匯聚層端口的檢查控制,以達到對連接匯聚層的接入網設備的控制,確保接入網設備的安全。第二點是寬帶小區設備的安全,為確保寬帶小區網絡設備的正常安全運行,需要采取以下幾點措施:(1)調整BAS的部署方案,將BAS邊緣化,對VLAN設置下的用戶數量加以控制,降低網絡危害的出現,優化網絡系統,從寬帶接入服務器中體現出QINQ技術的特征,減少匯聚層中虛擬局域網的傳播,因此BAS需要采用雙上行的方式保護網絡安全;(2)利用BAS+AAA驗證服務器檢驗網絡用戶的身份,防止賬號被盜情況的出現,幫助網絡用戶準確定位;(3)綁定PPPOE撥號用戶對VLAN、端口及用戶賬號的設置,以防非原有用戶對原有網絡用的賬號和密碼進行盜取使用,同時也可以對上網用戶位置進行準確定位;(4)為了防止用戶賬號出現非法共享和漫游資費的情況,需要寬帶接入服務器和個人用戶賬號在radius設備中進行圈定;(5)依據BAS的內存和實際情況決定保留流量數據的多少,并控制使用BAS設備的用戶數量,以保證網絡安全正常的運行。第三點是從寬帶專線用戶方面,采取相關安全措施,對此可以做到以下幾點:(1)控制用戶端口連接的數量,以防止外界危害的入侵;(2)圈定使用用戶的基本信息,確定網絡用戶的位置,阻止非法網頁的入侵;(3)設置ACL設備的控制列表信息,通過對外界網頁進行多層次的過濾,減少對網絡設備的危害,并阻止危害網頁消息的出現,確保網絡更安全。
2.3接入層的網絡安全
通過對接入業務、寬帶上網業務和VPN業務進行接入,以降低網絡使用者對網絡造成的危害。其主要連接方式是XDSL、LAN和WLAN這三種,從用戶的網絡安全進行分析,得出以下兩點措施。一方面是阻止側用戶端口的接入,利用物理隔離和邏輯隔離這兩種方式進行網絡隔離。其物理隔離主要使用的是單主板安全隔離計算機和隔離卡技術這兩種隔離方式,以確保內部網絡不直接或間接與公共網絡進行連接,以此達到真正隔離的目的;而邏輯隔離則是采用虛擬局域網、訪問控制、虛擬專用網、端口綁定等手段進行個人網絡和公共網絡間的有效隔離。通過以上兩種隔離手段,有效保護個人網絡賬號信息的安全,以防外界用戶對原用戶的干擾。另一方面則是對用戶寬帶的流量加以控制,利用完整的軟件應用能力和充足的流量管理經驗,以達到完善用戶網絡的目的,促使接入層網絡更安全。
3網絡安全規劃設計實行策略
根據城域網中各層次的特點,從不同方面分析城域網運行過程中出現的問題,采取不同的優化措施,制定合理有效的優化策略,嚴格管理控制網絡數據和信息傳送,促進城域網安全穩定的發展,并利用有效的控制手段優化網絡信息,以確保網絡正常安全的運行。除此之外,還需要網絡用戶對個人路由器信息進行認真設置,使用更高級的賬號登錄密碼,防止網絡病毒的入侵,導致自身網絡系統癱瘓,使用正確的路由器服務,有利于網絡安全平穩的運行。
4總結
綜上所述,根據城域網各層次出現的網絡安全均不同和網絡所承接業務的不同,我們應采取合適解決問題的安全技術方案,改善城域網在各階段的不足之處。在網絡安全技術實行過程中,需要全面考慮到網絡各方面的應用,制定合理有效的安全技術方案,利用合理的安全防護技術,改善城域網網絡規劃設計中出現的不足之處,只有確保城域網的整體安全,才能達到全面完善網絡系統,從而促進城域網健康穩定的發展的目的。
參考文獻:
[1]龔儉,陸晟,王倩.計算機網絡安全導論(第1版)[M].東南大學出版社,2000.
[2]李逢天.網絡運營中的網絡安全問題及解決思路[J].電信技術,2002.
[3]楊建紅.計算機網絡安全與對策[J].長沙鐵道學院學報(社會科學版),2005.
[4]劉建偉.企業網絡安全問題探討[J].甘肅科技,2006.
第2篇
關鍵詞:無線網絡規劃;無線網絡風險;無線安全檢查項目;無線網絡安全指引
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)28-6262-03
1 概述
有別于有線網絡的設備可利用線路找尋設備信息,無論是管理、安全、記錄信息,比起無線網絡皆較為方便,相較之下無線網絡的環境較復雜。無線網絡安全問題最令人擔心的原因在于,無線網絡僅透過無線電波透過空氣傳遞訊號,一旦內部架設發射訊號的儀器,在收訊可及的任一節點,都能傳遞無線訊號,甚至使用接收無線訊號的儀器,只要在訊號范圍內,即便在圍墻外,都能截取訊號信息。
因此管理無線網絡安全維護比有線網絡更具挑戰性,有鑒于政府機關推廣于民眾使用以及企業逐漸在公司內部導入無線網絡架構之需求,本篇論文特別針對無線網絡Wi-Fi之使用情境進行風險評估與探討,以下將分別探討無線網絡傳輸可能產生的風險,以及減少風險產生的可能性,進而提出建議之無線網絡建置規劃檢查項目。
2 無線網絡傳輸風險
現今無線網絡裝置架設便利,簡單設定后即可進行網絡分享,且智能型行動裝置已具備可架設熱點功能以分享網絡,因此皆可能出現不合法之使用者聯機合法基地臺,或合法使用者聯機至未經核可之基地臺情形。倘若企業即將推動內部無線上網服務,或者考慮網絡存取便利性,架設無線網絡基地臺,皆須評估當內部使用者透過行動裝置聯機機關所提供之無線網絡,所使用之聯機傳輸加密機制是否合乎信息安全規范。
倘若黑客企圖偽冒企業內部合法基地臺提供聯機時,勢必會造成行動裝置之企業數據遭竊取等風險。以下將對合法使用者在未知的情況下聯機至偽冒的無線網絡基地臺,以及非法使用者透過加密機制的弱點破解無線網絡基地臺,針對這2個情境加以分析其風險。
2.1 偽冒基地機風險
目前黑客的攻擊常會偽冒正常的無線網絡基地臺(Access Point,以下簡稱AP),而偽冒的AP在行動裝置普及的現今,可能會讓用戶在不知情的情況下進行聯機,當連上線后,攻擊者即可進行中間人攻擊(Man-in-the-Middle,簡稱MitMAttack),取得被害人在網絡上所傳輸的數據。情境之架構詳見圖1,利用偽冒AP攻擊,合法使用者無法辨識聯機上的AP是否合法,而一旦聯機成功后黑客即可肆無忌憚的竊取行動裝置上所有的數據,造成個人數據以及存放于行動裝置上之機敏數據外泄的疑慮存在。企業在部署無線局域網絡時,需考慮該類風險問題。
2.2 弱加密機制傳輸風險
WEP (Wired Equivalent Privacy)為一無線加密協議保護無線局域網絡(Wireless LAN,以下簡稱WLAN)數據安全的加密機制,因WEP的設計是要提供和傳統有線的局域網絡相當的機密性,隨著計算器運算能力提升,許多密碼分析學家已經找出WEP好幾個弱點,但WEP加密方式是目前仍是許多無線基地臺使用的防護方式,由于WEP安全性不佳,易造成被輕易破解。
許多的無線破解工具皆已存在且純熟,因此利用WEP認證加密之無線AP,當破解被其金鑰后,即可透過該AP連接至該無線局域網絡,再利用探測軟件進行無線局域網絡掃描,取得該無線局域網絡內目前有哪些聯機的裝置。
當使用者使用行動裝置連上不安全的網絡,可能因本身行動裝置設定不完全,而將弱點曝露在不安全的網絡上,因此當企業允許使用者透過行動裝置進行聯機時,除了提醒使用者應加強自身終端安全外,更應建置安全的無線網絡架構,以提供使用者使用。
3 無線網絡安全架構
近年許多企業逐漸導入無線局域網絡服務以提供內部使用者及訪客使用。但在提供便利的同時,如何達到無線局域網絡之安全,亦為重要。
3.1 企業無線局域網安全目標
企業之無線網絡架構應符合無線局域網絡安全目標:機密性、完整性與驗證性。
機密性(Confidentiality)
無線網絡安全架構應防范機密不可泄漏給未經授權之人或程序,且無線網絡架構應將對外提供給一般使用者網絡以及內部所使用之內部網絡區隔開。無線網絡架構之加密需采用安全性即高且不易被破解的方式,并可對無線網絡使用進行稽核。
完整性(Integrity)
無線網絡安全架構應確認辦公室環境內無其它無線訊號干擾源,并保證員工無法自行架設非法無線網絡存取點設備,以確保在使用無線網絡時傳輸不被中斷或是攔截。對于內部使用者,可建立一個隔離區之無線網絡,僅提供外部網際網絡連路連接,并禁止存取機關內部網絡。
認證性(Authentication)
建議無線網絡安全架構應提供使用者及設備進行身份驗證,讓使用者能確保自己設備安全性,且能區分存取控制權限。無線網絡安全架構應需進行使用者身份控管,以杜絶他人(允許的訪客除外)擅用機關的無線網絡。
因應以上無線局域網絡安全目標,應將網絡區分為內部網絡及一般網絡等級,依其不同等級實施不同的保護措施及其應用,說明如下。
內部網絡:
為網絡內負責傳送一般非機密性之行政資料,其系統能處理中信任度信息,并使用機關內部加密認證以定期更變密碼,且加裝防火墻、入侵偵測等作業。
一般網絡:
主要在提供非企業內部人員或訪客使用之網絡系統,不與內部其它網絡相連,其網絡系統僅能處與基本信任度信息,并加裝防火墻、入侵偵測等機制。
因此建議企業在建構無線網絡架構,須將內部網絡以及提供給一般使用者之一般網絡區隔開,以達到無線網絡安全目標,以下將提供無線辦公方案及無線訪客方案提供給企業導入無線網絡架構時作為參考使用。
3.2內部網絡安全架構
減輕無線網絡風險之基礎評估,應集中在四個方面:人身安全、AP位置、AP設定及安全政策。人身安全方面,須確保非企業內部使用者無法存取辦公室范圍內之無線內部網絡,僅經授權之企業內部使用者可存取。可使用影像認證、卡片識別、使用者賬號密碼或生物識別設備以進行人身安全驗證使用者身份。企業信息管理人員須確保AP安裝在受保護的建筑物內,且使用者須經過適當的身份驗證才允許進入,而只有企業信息管理人員允許存取并管理無線網絡設備。
企業信息管理人員須將未經授權的使用者訪問企業外部無線網絡之可能性降至最低,評估每臺AP有可能造成的網絡安全漏洞,可請網絡工程師進行現場調查,確定辦公室內最適當放置AP的位置以降低之風險。只要企業使用者擁有存取無線內部網絡能力,攻擊者仍有機會竊聽辦公室無線網絡通訊,建議企業將無線網絡架構放置于防火墻外,并使用高加密性VPN以保護流量通訊,此配置可降低無線網絡竊聽風險。
企業應側重于AP配置之相關漏洞。由于大部分AP保留了原廠之預設密碼,企業信息管理人員需使用復雜度高之密碼以確保密碼安全,并定期更換密碼。企業應制定相關無線內部網絡安全政策,包括規定使用最小長度為8個字符且參雜特殊符號之密碼設置、定期更換安全性密碼、進行使用者MAC控管以控制無線網絡使用情況。
為提供安全無線辦公室環境,企業應進行使用者MAC控管,并禁用遠程SNMP協議,只允許使用者使用本身內部主機。由于大部分廠商在加密SSID上使用預設驗證金鑰,未經授權之設備與使用者可嘗試使用預設驗證金鑰以存取無線內部網絡,因此企業應使用內部使用者賬號與密碼之身份驗證以控管無線內部網絡之存取。
企業應增加額外政策,要求存取無線內部網絡之設備系統需進行安全性更新和升級,定期更新系統安全性更新和升級有助于降低攻擊之可能性。此外,政策應規定若企業內部使用者之無線裝置遺失或被盜,企業內部使用者應盡快通知企業信息管理人員,以防止該IP地址存取無線內部網絡。
為達到一個安全的無線內部網絡架構,建議企業采用IPS設備以進行無線環境之防御。IPS設備有助于辨識是否有未經授權之使用者試圖存取企業內部無線內部網絡或企圖進行非法攻擊行為,并加以阻擋企業建筑內未經授權私自架設之非法網絡。所有無線網絡之間的通訊都需經過IPS做保護與進一步分析,為一種整體縱深防御之策略。
考慮前述需求,本篇論文列出建構無線內部網絡應具備之安全策略,并提供一建議無線內部網絡安全架構示意圖以提供企業信息管理人員作為風險評估之參考,詳見表1。
企業在風險評估后確認實現無線辦公室環境運行之好處優于其它威脅風險,始可進行無線內部網絡架構建置。然而,盡管在風險評估上實行徹底,但無線網絡環境之技術不斷變化與更新,安全漏洞亦日新月異,使用者始終為安全鏈中最薄弱的環節,建議企業必須持續對企業內部使用者進行相關無線安全教育,以達到縱深防御之目標。
另外,企業應定期進行安全性更新和升級會議室公用網絡之系統,定期更新系統安全性更新和升級有助于降低攻擊之可能性。為達到一個安全的會議室公用網絡架構,建議企業采用IPS設備以進行無線環境之防御。
IPS設備有助于辨識是否有未經授權之使用者試圖存取企業內部會議室公用網絡或企圖進行非法攻擊行為,并加以阻擋企業建筑內未經授權私自架設之非法網絡。所有無線網絡之間的通訊都需經過IPS做保護與進一步分析,為一種整體縱深防御策略。
4 結論
由于無線網絡的存取及使用上存在相當程度的風險,更顯無線局域網絡的安全性之重要,本篇論文考慮無線網絡聯機存取之相關風險與安全聯機的準則需求,有鑒于目前行動裝置使用量大增,企業可能面臨使用者要求開放無線網絡之需求,應建立相關無線網絡方案,本研究針對目前常見之無線網絡風險威脅為出發,以及內部網絡與外部網絡使用者,針對不同安全需求強度,規劃無線網絡使用方案,提供作為建置參考依據,進而落實傳輸風險管控,加強企業網絡安全強度。
參考文獻:
[1] Gast M S.Wireless Networks: The Definitive Guide[M].O’Reilly, 2002.
[2] Edney J, Arbaugh W A.Security:Wi-Fi Protected Access and 802.11[M].Addison-Wesley,2004.
[3] R. Guha, Z. Furqan, S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007, Orlando, FL, 2007(10):29-31.
[4] Nam, Seung Yeob.Enhanced ARP: Preventing ARP Poisoning-Based[J].IEEE Commucation Letters,2011,14:187-189.
第3篇
廣播電視網絡面臨的網絡安全形勢日益嚴峻,業務相關技術網絡由相對簡單、封閉逐漸向復雜、無邊界化發展,導致面臨的安全風險和威脅越發突出。行業關鍵信息基礎設施的安全防護能力與其重要地位相比,仍然較為薄弱,難以有效應對高強度的網絡攻擊。云計算、大數據、移動互聯網的發展應用,伴隨著新的安全風險,尚缺乏有效的應對手段。OTT業務屬于廣電網絡的增值業務,為了保證各類OTT業務安全穩定的運行,在進行網絡與安全規劃的時候,既要提高網絡的可靠性,又要保證OTT業務的安全性。
本文探討了通過采用VRRP+HRP等技術,再通過路由規劃,可以實現業務上的圖1 整體網絡拓撲圖“主-主”模式,在滿足OTT業務可靠性的同時,滿足業務的安全性要求。同時,還要考慮廣電網絡的IPv6 升級改造,即符合廣電網絡IPv6 規模部署和推進的整體規劃,還要充分結合業務發展和用戶終端的升級情況等因素,進行綜合決策。整體拓撲圖設計如圖1 所示。可靠性設計規劃可靠性是反映網絡設備本身的穩定性以及網絡保持業務不中斷的能力,主要包括設備級可靠性、網絡級可靠性和業務級可靠性三個層次。其中,業務級可靠性更多的是從業務管理的層面來要求的,要求業務不中斷。整體網絡可靠性在99.999%以上。在進行OTT網絡設計規劃時通常采用星型結構的網絡設計,一般考慮如下原則:將網絡劃分為核心層、匯聚層、接入層;每層功能清晰,架構穩定,易于擴展和維護;將網絡中不同的OTT業務劃分為不同的模塊,模塊內部的調整涉及范圍小,易于進行問題定位;關鍵設備采用雙節點冗余設計、關鍵鏈路采用Trunk方式冗余備份或者負載分擔、關鍵設備的電源、主控板等關鍵部件冗余備份。安全性設計規劃OTT網絡應具備有效的安全控制,按業務和權限進行分區邏輯隔離,對特別重要的業務采取物理隔離。因此,OTT平臺在搭建過程中,需要兩臺數據中心級的安全網關,所有部件均采用全冗余技術,比如主控板、業務板及電源等,同時要支持“主-備”和“主-主”組網模式、端口聚合、VPN冗余、業務板負載均衡、雙主控主備倒換技術的能力,從而能夠提供高級別的安全防護能力和業務擴展能力。
作為安全網關,優異的地址轉換性能和VPN性能也是對OTT業務的強大支撐。比如基于IP的轉換、基于端口的轉換、語音多媒體等業務流量的多通道協議NAT轉換、無數目限制的PAT方式轉換、域內NAT以及雙向NAT等,以滿足各種NAT應用場景。隨著OTT業務更多在公共網絡上的傳輸,擁有最佳的VPN性能能滿足大量業務的加密傳輸要求。比如支持4over6 、6over4 的VPN技術,以保證網絡從IPv4-IPv6 演進過程中VPN傳輸需求。安全網關如何抵抗外部威脅,提高網絡安全,還體現在入侵防御功能上,可以對系統漏洞、未授權自動下載、欺騙類應用軟件、廣告類軟件、異常協議、P2P異常等多種威脅進行防護。安全網關還要求能實時捕獲最新的攻擊、蠕蟲及木馬等威脅,為網絡提供強大的防御能力。為滿足網絡向IPv6 的平滑演進,保證業務的穩定運行,安全網關需要支持隨著IPv4 地址的枯竭,網絡能向IPv6 平滑演進,并確保業務穩定運行。安全網關還要具有NAT44 、NAT64 等多種過渡功能,為未來的網絡演進及業務過渡提供高效、靈活和放心的解決辦法。IPv6 設計規劃根據《廣播電視媒體網站IPv6 改造實施指南(2018)》下達的廣播電視媒體網站IPv6 改造實施的總體目標,確定過渡技術的選擇和各網絡設備對過渡技術的支持情況,規劃原則:在不影響現網業務的基礎上完成用戶發展指標,降低網絡風險;IPv6 改造順序應按照“承載環境先行,業務接入隨后,網管安全支撐按需”的原則進行;IP承載網是提供IPv6 端到端連接的根本,需要先行改造支持IPv6 ;業務網、各類接入網是發展IPv6 用戶的關鍵,應在承載具備條件的基礎上逐步改造,支持IPv4/IPv6 雙棧方式;網管系統、支撐平臺等應根據網絡、業務的升級步驟按需改造,相關接口仍采用IPv4 協議,接口內部相關字段支持IPv6 地址;從IPv4-only向IPv6-only演進還需要遵循兩個原則:首要原則是“不影響現網業務(IPv4/1Pv6)的正常運行”。IPv4 設備上部署IPv6 協議或者雙棧設備關閉IPv4 協議和服務時,用戶應該感知不到基礎網絡升級到IPv4/IPv6 雙棧或者從雙棧到IPv6-only的變化。次要原則是“兼容現有終端設備,不能強制用戶升級或者更換自己的終端設備,如PC、平板電腦和機頂盒等”。
對于OTT業務網絡,可以建設為IPv4 和IPv6 雙棧網絡,或者建設IPv6-only網絡。如果直接規劃或建設成IPv6-only網絡,那么針對目前IPv4 流量占比相對較高的情形,就需要考慮IPv4 網絡和IPv6 網絡互通場景,考慮IPv4 客戶訪問IPv6 服務場景,IPV6 的客戶訪問IPv4 服務場景,通過IPv4 網絡連接兩個IPv6-only網絡場景等。對于現有的OTT業務網絡,不可能對所有不支持IPv6 的設備進行更換,所以對支持IPv6 的設備直接開啟IPv6 功能,同時運行IPv4 和IPv6 協議棧,實現雙棧。OTT業務系統在廣電城域網中實際部署的過程中,為了保證業務系統的穩定性、安全性以及未來IPv6 升級改造中的擴展性,可以通過在OTT業務的互聯網出口處部署兩臺高性能的安全網關。這兩臺安全網關可以通過“主-主”或者“主-備”的模式運行,將不同的OTT業務通過劃分不同的DMZ區進行隔離,然后根據不同OTT業務實際的運行流量,在安全網關上進行系統資源的重新分配,其中包括CPU、內存等。在DMZ區之間、Intranet區、Extranet區等不同的安全區之間,通過安全網關的安全策略進行訪問控制,精確到協議和端口號,嚴格控制合法流量的流入和流出。通過安全網關的NAT功能,實現私網地址向公網地址,公網地址向私網地址的互相訪問。同時,要求安全網關已經實際配置IPv6 功能,給未來的NAT46 、NAT64 等業務留下充足的擴展空間。
