3G网络接入实现ATM视频监控联网

        省分行3G接入区。本区域设备包括LNS接入路由器、接入交换机，主要负责与运营商LAC(L2TP访问集中器)设备建立L2TP VPN，并与网点3G路由器建立端到端的IPSec(互联网协议安全性)加密。

        省分行3G接入隔离区。本区域设备包括隔离区交换机、隔离防火墙，主要负责与3G接入区、核心区的安全隔离，并通过隔离交换机接入AAA(认证、授权、记账)服务器、网络管理服务器，以完成对3G接入用户的认证、3G网络设备管理的功能。

        省分行核心区。生产业务核心交换机主要负责生产业务类服务器接入；非生产业务核心交换机用于视频监控类服务器接入。3G接入的离行ATM数据最终将流向核心区，进行业务处理。

二、网络安全防护

        1．离行ATM设备接入安全
        离行ATM机柜自身有安全防盗设计，可以通过视频监控DVR(硬盘录像机)实时调阅视频信息进行安全状态查看，离行ATM设备接入安全可以保证，为进一步提高其接入安全性，网点3G路由器要对接入设备的IP和MAC地址进行绑定，拒绝非法IP或MAC地址接入，访问网络资源。

        2．3G路由器接入侧安全
        3G网点接入认证。要求运营商对SIM／UNM卡的IMSI码(国际移动用户识别码)做认证，拒绝非法卡接入。企业中心侧部署AAA认证服务器，要求对3G VPDN接入用户做用户名、密码认证，同时对SIM／UTM卡的IMSI码做第二次安全认证，并由AAA认证服务器为3G VPDN接入用户下发固定的IP地址，保证3G VPDN接入用户与IP地址的一一对应。

        限制SIM／UIM卡互联网服务。要求运营商对3G接入的SIM／UIM卡限制互联网服务，即便在3G VPDN专线认证失败时，该SIM／UIM卡不能连接Internet，避免业务数据因暴露在互联网络中而出现安全问题。

        多运营商实例。3G路由器同时配备WCMA和CDMA2000模块，通过在LNS路由器上配置多运营商实例，来支持3G路由器上的运营商线路切换，从而解决3G线路备份问题。

        数字证书认证。为防止非法3G路由器接入网络、增强IPsec VPN隧道协商认证的安全性，3G接入路由器与加密网关间启用CA数字证书认证方式进行IPsec VPN的IKE协商认证。

        3．运营商3G无线侧安全
        目前联通、电信两家运营商的3G网络分别为WCDMA、CDMA2000制式，这两种3G制式全部是基于CDMA技术发展而来。CDMA技术起源军事保密技术，在战争期间广泛应用于军事领域。它采用扩频技术和伪随机码技术，具有非常好的抗干扰、安全保密性，可保证3G无线信号不被窃听和破解，保证3G路由器到运营商无线基站的数据传输安全性。

        4．运营商有线侧安全
        由于运营商有线侧是共享城域网接入，为保证企业数据在有线侧的传输安全，LNS路由器要求支持IPsec VPN，同时承担IPSec加密网关功能，ATM网点3G接入路由器与加密网关建立IPSec VPN，对业务数据做端到端加密，保证业务数据在运营商有线侧的传输安全。要求IPSec加密算法使用高强度的合规算法，来保证数据报文在网络上传输时的私有性、完整性、真实性和防重放。

        5．3G接入区数据安全控制
        在3G网络拨号成功后，分别对生产、DVR视频监控数据流单独建立IPSec VPN隧道，实现生产业务数据与DVR视频监控业务的安全隔离。

        隔离防火墙工作在三层路由模式下，对传输的数据流进行安全策略控制，只允许合法数据流通过，开启防火墙抗攻击防范能力，包括常见的DoS／DDoS(拒绝服务／分布式拒绝服务)攻击防范(SYN泛洪、DNS查询泛洪等)、欺骗类攻击防范、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址／端口扫描的防范等。

首页 上一页 1 2 3 下一页 尾页

扫码即可手机
阅读转发此文