CheckPoint安全前瞻：从某运营商网络安全改造说起

互联网技术的发展对运营商来说是挑战更是机遇，4G网、IMS、云计算、NFV等新技术的引进使得运营商的全业务能力如虎添翼。与此同时，新技术所带来的安全威胁问题也日益突出。

运营商所遭遇的安全威胁，不论是内部产生的、还是外部产生的，由于它与外界信息不断进行交互，正所谓“能力越大、责任越大”，它的安全保障不容马虎！

某运营商网络安全改造的困扰

某大型运营商企业是集广播电视网络运营商和节目集成商为一体的国有企业，不仅可承载传统的广播电视相关的模拟电视、数字电视等各种业务，同时还经营VPN接入、网络视频会议、个人宽带、视频监控等各种IP数据业务。其拥有全市用户200余万，集团用户若干，是全国知名的广播电视网络运营商之一。

该企业的安全负责人却正在为公司的最新安全改造项目而头疼，由于近年来IP业务突飞猛进的发展，早先的网络架构设计存在的问题使得矛盾日益突出，已经无法满足其下一步运营。在此次网络安全系统改造中，安全部门亟需解决几个问题：

1.此次网络安全改造不能再重蹈之前的覆辙，设备的功能和性能选型需要考虑一定的前瞻性，要能满足公司未来至少5年的发展。

2.由于不同业务区域共享总出口，且其出口分布在两个不同的机房，并同时需要具备高带宽、高实时性的特点，要求设备支持异地容灾，同时可靠性且切换时延的要求高于普通数据业务。

3.虽然公司的安全系统建设起步较早，但是由于以往采取各个部门独立采购的决策模式，导致公司的现网中自上而下已有十多套不同品牌的防火墙，SSL VPN、上网行为管理，防病毒网关等设备，部分设备采购年限较长，已经脱保，存在安全风险。同时这些不同品牌设备的运维管理也给公司的安全管理带来了巨大的挑战。新的安全系统需要对现有分布在企业内各个不同部门自有安全系统进行整合，但不能以牺牲性能和可靠性为代价。

4.新的安全系统作为系统的核心，需要针对7个不同的内部的应用系统提供不同的安全策略防护和安全功能，同时具备高可靠性和高冗余性。

此次改造的过程不能影响业务的正常运行，不但要变更小和成本低，还要考虑多个业务系统的平滑迁移，而这一切需要在一个月内的完成设计论证和测试。

Check Point无缝对接运营商需求

正在进行安全改造的这家运营商企业最终选择了Check Point作为其安全规划的合作伙伴，是因为面对自身的需求，Check Point都给出了无缝的对接和响应。

据介绍，作为企业网络的核心，运营商IT承担着MIS、财务、OA、IDC、B2B等7个子系统的安全控制和接入，重要性非常高，要求电信级安全可靠产品：

Check Point的61000安全系统的全冗余设计所带来的业务连续性和可用性，可满足电信和数据中心的最严苛的冗余性要求。Check Point 61000的所有组件均支持在线热插拔，为获得最高可靠性，Cluster XL可在一个机框内的多个安全网关模块之间工作。Check Point Sync XL提供安全网关模块之间系统和安全信息的高效同步，从而保证高系统性能。当两台61000在高可用性模式下工作，可以完全消除由于系统宕机，升级，更换组件所导致的停机时间。

其次，由于是用在总部企业网络核心，连接7个业务区域，是网络安全隔离的核心；考虑到不同业务系统的安全需求，要针对不同业务系统来开启不同的安全功能和安全策略，这些安全功能和策略需要完全隔离，不能互相影响：

Check Point VSX虚拟化安全刀片功能为根据不同业务区提供针对性的虚拟安全网关，如OA区提供IPS/防病毒/应用管控/防僵尸网络/DLP数据防泄漏等功能;DMZ区提供IPS/防垃圾邮件等功能;MIS区提供IPS/SSL VPN等安全功能;财务区提供IPS/防病毒/沙盒等安全功能。

Check Point VSX的另一创新在于能做到对资源完全隔离和精细化控制。VSX不但能够将数百个安全系统集成在一个单一的硬件平台，做到对每个安全系统的进程，文件，日志完全隔离。VSX可以对任意一个虚拟安全系统进行单独的操作和变更，任何一个虚拟系统发生故障都不会影响到其他系统。VSX可以为每个虚拟安全网关设置独立的CPU和内存资源，可以有效的控制每一个子系统的新建和并发性能。

另外，网络安全改造策略数支持能力要强，这个项目估计要有600多条组策略，可以拆解成80000多单条策略，而之前有国内厂商FW高端设备测试，添加策略编译后直接系统溢出。考虑以后还会有大量的策略添加，需要确保能支持大量策略的支持：

Check Point支持完全的组状态策略，而且没有策略限制，在统一的管理策略编译后才下载到安全网关上，不会因为策略编译造成安全网关系统影响网络应用。而且支持GUI图形界面，可以对象间拖曳拷贝，支持管理界面通过策略收缩条进行策略类型整合，对于今后大量策略的添加管理可以节省管理时间。

据悉，由于之前发生过DNS被恶意攻击的安全事件，因此对于设备的性能有较高的要求，同时兼顾企业未来5年发展的信息安全需求，因此设备必须同时具备高性能和良好的可扩展性：

Check Point 61000是行业内最快的安全系统，为大型数据中心提供可升级的性能。它基于多刀片硬件ATCA可扩展平台，高达400Gbps的单机吞吐能力，超过2亿的并发连接数和每秒3百万的新建会话的能力为大型数据中心带来无可比拟的性能。61000系统同时也具备非常灵活的可扩展性，通过所用硬件安全网关模块数量的灵活性，可在一个机框内提供40 - 400Gbps的吞吐量。

同时，不可忽略的是，由于目前企业都要求人员精简，而一个管理员可能管理大量的安全系统应用，再考虑到日常维护人员策略变更的审批流程，甚至今后的各个分支的安全管理，如何更好的利用现有资源，进行更加简单便捷的管理模式：

Check Point提供了优秀的集中管理解决方案。

首先，Check Point抛弃了传统的被动防御模式，从“不出事”到主动监管网络安全事件状态。

其次，Check Point的管理是集中式管理，策略统一配置和智能校验。

第三，针对目前很多大型企业都有指定的集成商人员进行日常维护，为了更好的解决，集成商维护人员日和企业管理人员对于每天策略变更的的审批流程合理化，Check Point提供世界先进的SmartWorkFlow工作流程智能化管理模块。

第四，针对企业未来可能对分支的多级管理体系，Check Point提供多级管理技术体系，可以建立多级管理机制，在安全部门统一指导监控管理下，各部门管理员进行对本区域范围进行日常管理。

后记

Check Point 在紧急调动测试设备，并在模拟环境测试后，一个月内进行了测试上线，并在不中断业务的前提下完成了业务系统的平滑迁移，此后的一周内，客户直接订购了2台正式设备并完成切换；一年多来，设备一直运行正常，客户的运行在上面的包括MIS、视频会议等7个系统也均稳定运行。

对于Check Point 的高性能安全网关，运营商客户非常满意，在签定后续服务基础上，正着手准备把其他业务部门的安全网关逐步整合到Check Point 61000平台上，并将Check Point 的61000高性能安全网关放在了网络的最核心位置。在此，要说的是，有相当数量的安全厂家在很多行业领域内发展和应用很好，但由于运营商行业的独特特性，很多却难以获得运营商的青睐，而通过这次网络安全改造，Check Point赢得了了客户对其品牌和产品的信任。