项目背景
 
      电信社区运维系统、社会代办点系统（以下简称业务社会代办系统）是各省级电信公司为了更好的为用户提供优质快捷服务，而建设的一个大型业务系统。该系统是以97系统数据库主机、计费系统数据为核心的电信业务支台，包括97营业系统、计费收费系统、小灵通业务系统、酒店租机管理系统等，包含省中心和各地市节点，各个业务子系统和地市节点都和该系统网络平台存在网络接口和数据接口。
 
安全需求
      部署防火墙系统，利用防火墙“边界隔离+访问控制”的功能，实现对进出电信业务社会代办系统的访问控制，特别是针对内网服务器资源的访问，进行重点监控，从而提高电信业务社会代办系统的网络层面安全。同时防火墙系统与入侵检测系统进行联动，当入侵检测系统发现异常时通知防火墙，防火墙自动生成安全策略，将访问源阻断在防火墙之外。
 
关键参数
      在为该方案选择防火墙产品时，除常规功能考虑外，针对电信行业特点和业务社会代办系统特点，性能和可靠性成为最重要的两个关键参数。
      性能：业务社会代办系统为电信的核心业务系统，每日吞吐的数据量巨大。同时，在特定时间还会出现流量峰值。 加以随着电信企业的快速发展，该系统承载的业务量和应用都呈现出快速增加的趋势。加快业务处理速度、提高效率、增加客户满意度的市场压力要求该系统中的网络设备拥有足够的性能，能够满足目前业务的大量数据交换要求，还要留有足够的性能余量应对业务的迅速发展。
      可靠性：业务社会代办系统作为电信的核心业务系统，同时与各个业务子系统和地市节点都存在网络接口和数据接口。一但出现系统中断，就属于重大事故。因此，在选择网络设备时，务必考虑设备的可靠性，通过各种技术手段保障业务的连续性。
 
解决方案
 
      在省公司97网络和省电信公司企业内部网络之间部署双机集群防火墙系统，实现各个分公司97网络和省电信公司企业内部网络的逻辑隔离，实现了对省公司社会运维系统数据中心的访问控制。该位置通过集群部署两台千兆防火墙有效防范了防火墙的单点故障。各地市公司的防火墙分别部署在社会代办点和分公司内部网络的交界处，并设置DMZ区，从而实现对各地市业务社会代办网点对系统的访问控制和安全隔离；各种社会代办点通过ADSL连接使用VPLS或ATM　PVC等VPN方式连接到分公司防火墙上通过防火墙采用RDP协议访问终端服务器；为了防止终端服务器受到攻击而影响业务系统的正常运行，在本方案中将终端服务器单独的部署在DMZ区，将终端服务器部署在DMZ区有两个明显的优点：第一，终端服务器可以得到防火墙的最大保护；第二，由于终端服务器直接与社会代办点系统直接连接，受到黑客攻击的可能性极大，将终端服务器部署在DMZ区可以有效避免黑客利用终端服务器作为跳板攻击位于企业内部网的其他主机。
 
      同时，终端服务器上安装相应97或计费等程序并限制代办点用户只能运行指定的必须的应用程序；终端服务器通过防火墙只能访问到指定的数据库主机的指定端口，有效的减少了内部网络所面临的风险。而酒店租机代办点则利用windows终端上的IE浏览器通过终端服务器上的代理服务器访问智能网中心的租机业务WEB服务器；避免了直接连接租机服务器所带来的安全隐患。
 
    省公司拓扑如下：

产品选型
      本方案中全部采用联想Super V-7308防火墙。该产品为硬件型千兆线速防火墙，基于NP架构，处理能力高达4G，从64byte至1518byte任何包长下均达到双向千兆100％吞吐率。同时具有多项电信骨干网络设备的特性，如：支持链路冗余、支持N＋1冗余电源、支持双机热备，支持多机负载均衡，支持防火墙集群方式下网络不间断的任务转移。具有超级性能、超级安全、超级可用、超级可控、超级可靠等“超5”特性。
 
 
项目效果
      本方案已经经过实际项目应用的检验：在项目前期试运行中，为了给电信采用最合理接入方式，对多种网络接入方式都进行了试验，充分体现了防火墙的超强网络适应能力。在可靠性试验中，两台联想防火墙构成的HA集群完美实现了数据的负载均衡，当模拟单点故障时，业务能平滑过渡到另一节点上，充分体现了防火墙的高可靠性。在实际应用后，通过对社会代办网点业务运行的持续跟踪，反馈得知业务运行一切正常，应用程序与97系统的连接速度与试运行前无明显变化，充分体现超五线速防火墙的性能优势。客户对联想Super V-7308防火墙的实际表现作出了高度评价。