一、工程背景

　　珠三角區(qū)域高速公路聯(lián)網(wǎng)收費系統(tǒng)光傳輸系統(tǒng)采用SDH數(shù)字傳輸設(shè)備,網(wǎng)絡(luò)結(jié)構(gòu)為鏈型網(wǎng)絡(luò)結(jié)構(gòu)。傳輸信號采用基本模塊STM-4信號(速率622Mbit/s)。不同路段之間，管理制度和技術(shù)力量方面存在著較大的差別。大部分路段管理制度較為松散，工作人員的網(wǎng)絡(luò)安全意識比較薄弱，存在著較大的安全隱患。珠三角區(qū)域高速公路聯(lián)網(wǎng)收費系統(tǒng)網(wǎng)絡(luò)拓?fù)涫疽鈭D見附圖1。

　　二.總體結(jié)構(gòu)

　　根據(jù)珠三角高速公路收費系統(tǒng)網(wǎng)絡(luò)系統(tǒng)的實際情況依據(jù)我們的安全系統(tǒng)設(shè)計原則，采用高性能的網(wǎng)絡(luò)安全系列產(chǎn)品搭建安全防范體系，通過安全技術(shù)和管理手段，使安全產(chǎn)品充分發(fā)揮其安全保護(hù)的作用。

　　首先，從安全區(qū)域上，我們將網(wǎng)絡(luò)劃分為：高速公路收費系統(tǒng)區(qū)域營運中心、路段管理中心以及下屬的各個收費站和車道，并采用防火墻將上述各個區(qū)域進(jìn)行隔離，以對各個區(qū)域之間的相互訪問進(jìn)行訪問控制，構(gòu)成第一道安全防護(hù)體系。

　　第二，為了對保護(hù)公司本部的重要服務(wù)器(如管理服務(wù)器、業(yè)務(wù)服務(wù)器、收費系統(tǒng)服務(wù)器)，特將這些重要的服務(wù)器放在同一網(wǎng)段，用防火墻進(jìn)行訪問控制，該網(wǎng)段稱為核心防護(hù)區(qū)。可以使用原有網(wǎng)關(guān)處的防火墻的多網(wǎng)絡(luò)接口功能，只多增加一個網(wǎng)絡(luò)接口。

　　第三，在路段的網(wǎng)絡(luò)出口處部署網(wǎng)絡(luò)入侵檢測系統(tǒng)IDS，自動地對收費系統(tǒng)的網(wǎng)絡(luò)運行進(jìn)行監(jiān)控，對可疑的事件給予檢測和響應(yīng)，在主機和網(wǎng)絡(luò)遭受破壞之前阻止非法的入侵行為。由于IDS是被動監(jiān)聽的特點，所以不產(chǎn)生流量不會影響網(wǎng)絡(luò)的帶寬。網(wǎng)絡(luò)入侵檢測系統(tǒng)可以和防火墻形成聯(lián)動，當(dāng)發(fā)現(xiàn)入侵行為，可自動通知防護(hù)墻動態(tài)改變規(guī)則，構(gòu)造深層防御體系。

　　第四，通過防毒墻部署，利用全方位的企業(yè)防毒產(chǎn)品，實施“層層設(shè)防，集中控管，以防為主、防治結(jié)合”的策略，使網(wǎng)絡(luò)沒有能成為病毒入侵的薄弱環(huán)節(jié)。針對網(wǎng)絡(luò)中所有可能的病毒攻擊配置對應(yīng)的防毒軟件，構(gòu)建全方位、多層次的整體的防病毒體系。

　　三、方案優(yōu)點

　　1、高可靠性

　　本方案選用的產(chǎn)品，都是具有MTBF大于10000小時。

　　2、高擴展性

　　本方案選用的防火墻、IDS、防毒墻都技術(shù)網(wǎng)絡(luò)設(shè)備的聯(lián)動協(xié)議，支持與其它品牌設(shè)備的聯(lián)動，有利于保護(hù)業(yè)主的投資。所選用的防火墻支持VPN，方便日后業(yè)主網(wǎng)絡(luò)的擴展需要。

　　3、高防御性

　　本方案防火墻、IDS、防毒墻構(gòu)成一套立體的防護(hù)體系，防火墻隔離各安全區(qū)域;IDS實時檢測網(wǎng)絡(luò)數(shù)據(jù)流;防毒墻不但可以切斷病毒在網(wǎng)絡(luò)上傳播的通路，也可以防殺網(wǎng)絡(luò)上受控主機的病毒，這是一般網(wǎng)關(guān)級防毒墻所不具備的功能。

　　4、高性能

　　本方案中IDS和防毒墻都是用旁路方式接入網(wǎng)絡(luò)，不對網(wǎng)絡(luò)性能產(chǎn)生任何影響。設(shè)備本身通過高性能的內(nèi)核監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)包。