诺基亚企业安全解决方案系列报道之二

谈起2005年8月的那场“狙击波病毒”风波，江苏电信的网络安全负责人仍然心有余悸，“用‘生死悬一线’来形容当时的网络状况丝毫不为过。我记得很清楚，8月16日，狙击波病毒开始在中国南方地区大批电脑里发作，传播非常迅速。微软当天就公布了安全漏洞，同时提供补丁下载，中国电信随即向全网下了紧急预警，江苏电信立即按照总部提供的解决办法与查杀工具进行操作，幸亏处理及时，才没有受狙击波病毒的影响。”

“网络病毒防不胜防啊，”这位负责人不胜感慨，“一个性能卓越的防火墙对运营商来说，实在太重要了。”

在网络安全产品的客户群中，电信行业无疑是较为特殊的一类需求群体。做为网络安全产品的重要消费用户，电信行业如运营商、服务提供商等等，他们的网络中心每天除了要提供基本的Internet接入服务、Internet基础服务（DNS，E-Mail）外，还需要为在业务系统处于重要地位的增值服务、内容服务、IP-Phone服务网络、主机托管服务和以数据中心为主的数据服务等提供支撑，每天处理数据的流量极为庞大，对网络安全的要求也更为苛刻。

在这种情况下，运营商往往最为看重安全产品的安全性、性能稳定性，对多领域网络基础设施品质的保证最为敏感。

针对这一特点，诺基亚推出Nokia IP2255安全平台，它是一种高性能、高可靠性和易于管理的安全设备，运行Check Point VPN-1软件。这款IP2255是专为运营商、服务提供商、电子商务站点和企业数据中心设计的，可以满足这些客户对性能和端口密度的严格要求。

诺基亚IP2255

每秒87,000次防火墙连接

诺基亚技术负责人告诉记者，Nokia IP2255起初的设计目的是满足日益增长的网络流量需求。为了保证最高性能和网络正常运行时间，Nokia IP2255 使用Nokia IPSO（如VRRP）以及嵌入式硬件冗余功能（包括在一个高度可靠的无磁盘系统里的热插拨接口卡、负载共享双电源供应和冷却扇），提供冗余功能。

此外，Nokia IP2255是一种基于闪存的安全设备，提供超过8 Gbps的性能，并提供20个千兆以太网接口或36个10/100以太网接口，运行Check Point VPN-1 Pro Power应用程序。Nokia IP2255运行Check Point VPN-1 Power软件。利用2个网络处理器的超强功能和诺基亚超路径（ADP）软件加速技术，它可以提供：1

•     8.9 Gbps的防火墙吞吐率

•     每秒87,000次防火墙连接

•     2.3 Gbps的AES256加密VPN吞吐率

一致的透明可靠性

与所有诺基亚防火墙/VPN设备相同，Nokia IP2255也是行业一流的可靠安全设备，运行Check Point VPN-1防火墙应用程序，并且经过优化，能够提供：

•     一致的透明可靠性

•     易管理性

•     简单的购买与实施

诺基亚防火墙/VPN设备是专为保护公司应用和数据构建的，可在全球要求最严格的网络环境中运行，其体系结构专门根据Check Point VPN-1的要求构建。Nokia IPSO™操作系统可在本地满足一些关键联网需求，例如动态和多播路由、IPv6、VLAN、链路聚合，从而透明地集成到复杂网络中。

Nokia IP2255是基于2闪存的，带有冗余的热插拔电源和风扇，从而达到最佳可靠性。它还具备VRRP和IP集群功能，以实现高可用性。

易管理性

为了提高管理员的工作效率，诺基亚防火墙/VPN设备简化了复杂安全功能。倍受用户欢迎的Check Point智能管理框架可以简化复杂的策略定义和部署。Nokia Network Voyager和Cluster Voyager提供完全本地和远程的Web用户界面设备管理，而Nokia Horizon Manager和Nokia Appliance Manager则能为多台设备提供简单、全面、集中的管理。

简单的购买与实施

诺基亚防火墙/VPN设备最大限度地降低了购买和安装的复杂性。稳定的硬件配置经过预先测试，并且预先集成了Check Point VPN-1和Nokia IPSO。Nokia IPSO强化了安全性，能够支持一些关键功能，如基于角色的管理、AAA、TACACS+客户端、第三方管理员授权，而无需其它很多设备必需的本地管理员帐户。诺基亚防火墙/VPN设备预先安装了Check Point VPN-1，具备一些本地Nokia IPSO的功能，比如软件加速、动态和多播路由、高可用性等，而且无需另外安装、许可或激活。

一个电话 彻底解决

最值得称道的是，与其它所有诺基亚防火墙/VPN设备相同，Nokia IP2255和Check Point VPN-1也能享受诺基亚世界级的“一个电话、彻底解决”支持和服务。此项服务可为Nokia IP2255和Check Point VPN-1提供单点技术支持和援助。

在安全事故频发的今天，始终处于技术应用先锋地位的运营商对企业安全的需求显得格外迫切。诺基亚推出的IP2255，不仅可以出色地为运营商打造一个安全保护罩，保障运营商的数据安全，而且还能满足极大的网络流量需求，在商业化利益竞争激烈的时代，这无疑是助力运营商酝酿一个“掘金”利器，提升市场竞争力。

链接一：案例分析——IP2255打造运营商安全之门

某省运营商GPRS拓扑图

在2006年底，国内某省运营商为了满足日益增加的数据处理需求，解决系统网络在实际应用里的操作瓶颈，决定升级GPRS到移动2.75G网络。在该运营商对竞标的厂商进行详尽又谨慎的考察后，诺基亚的解决方案脱颖而出。

通过采访，记者了解到，IP2255 在诺基亚整体解决方案中主要用于对GPRS骨干网络的安全防护。由于IP2255具有近10G的吞吐量和每秒高达9万的新建连接性能以及高可靠性，完全可以满足运营商GPRS这样流量大，对防火墙性能要求高的应用环境。

2007年4月，诺基亚完成了该运营商的网络升级，通过实际应用，IP2255保障了运营商的网络安全运行，其大容量的吞吐能力也经受住了市场拓展对系统网络的考验，同时提高了运营商在白热化的市场竞争中的实力。

诺基亚工程师告诉记者，由于该运营商用户增长迅速，对网络的升级要求比较高，IP2255不仅性能优越，而且具有扩充性，运营商可以根据实际需求便捷地进行扩充，从成本角度来看，非常经济。

链接二：IP2255技术规范

管理

•     SNMP RFC 1157、SNMPv2c、SNMPv3

•     Telnet RFC 854

•     FTP RFC 959

•     SSHv2 （安全Telnet和FTP）

•     HTTP服务器RFC 2068

•     SSL/TLS RFC 2246

•     命令行工具

•     Nokia Horizon Manager支持

高可用性

•     VRRP RFC 2338

•     Check Point FireWall-1 State Sync

•     获得专利的Nokia IP集群技术

•     冗余的热插拔风扇

•     冗余的热插拔电源

安全

•     安全管理访问

•     基于角色的管理

•     第三方管理员授权

•     读/写和只读访问模式

•     SSH（安全Telnet和FTP）

•     SSL/TLS（安全HTTP）RFC 2246

•     S/Key（一次性口令）RFC 1760

•     接入控制列表

•     流量管理

•     MD5路由

•     验证（RIPv2）RFC 1723

•     集中验证

•     本地IPSec（适用于非防火墙应用）

•     DNS客户端、NTP客户端和服务器

•     RADIUS客户端、TACACS+客户端

支持的标准

•     IPSec（RFCs 2401-2411，2451）

•     GRE（RFCs 1701和1702）通用路由封装

•     满足NEBS III和FIPS 140-2标准（需要工具箱）

•     在电气和电子设备（RoHS）中限制使用某些危险物质的2002/95/EC指令

•     2002/96/EC废旧电气和电子产品（WEEE）指令