近年来, 电信数据业务迎来飞速发展, 作为经济大省, 某省近年来电信数据业务发展迅速, 宽带数据业务用户快速增长。 然而, 伴随着用户数量的增长, 电信网络安全问题也频繁发生, 其中DDoS攻击情况尤为严重。
该省电信运营商对2006年7月到12月的网络安全事件统计后发现, 几个经常受到网络攻击的地市, 每月平均受到的网络攻击多达10次以上, 2006年9月, 某地市IDC受到严重DDoS攻击, 攻击流量达到22G, 造成城域网、IDC全阻15分钟, 对业务造成严重的影响。 尝试了多种解决办法, 仍然无法从根本上解决问题。
在这种情况下, 该省电信迫切需要引入专业安全合作伙伴, 建立一整套抵御DDoS流量攻击的系统。 为此, 省电信研究院对众多安全厂家的异常流量过滤设备进行了评测对比, 联想网御的异常流量过滤设备在众多厂家比拼中脱颖而出, 性能和功能卓越。 同时, 联想网御异常流量管理系统在多个省市电信行业的成功应用也获得信息化主管领导的认可, 经过多次深入的技术交流, 该省电信最终确定了联想网御作为抵御DDoS流量攻击系统建设的合作伙伴。
结合该省电信的安全需求和现网建设情况, 充分考虑宽带互联网络高带宽、大流量、要求可靠性高的网络特点, 联想网御的技术专家为电信运营商量身定制了异常流量清洗方案:结合电信IDC客户遭受的DDoS攻击情况和僵尸网络发动攻击的特点, 技术专家分析认为攻击流量主要来自国外和国内其他运营商网络, 另有少部分来自省网内部。 因此, 系统建设先期在省干出口位置集中式部署, 重点防范经由省干入口向地市城域网的攻击。 考虑到省干出口链路带宽大, 网络位置十分关键。 联想网御又为用户设计、采取了目标保护策略——根据需要可以灵活地定义要保护的目标IP地址或者目标IP网段, 进行重点检测分析和过滤攻击流量, 实现了较强的针对性, 同时有效节省了建设投资, 同时, 根据该省电信用户的网络使用特点, 设计采用了8台设备集群旁路部署方式(如图所示), 大流量攻击处理能力达到16G, 轻松满足了15G大流量攻击处理能力的设计要求, 避免了改变正常网络流量的网络路径, 同时保证了网络的高可靠性。
某省电信运营商骨干网联想网御异常流量管理系统应用方案
联想网御在用户网络中同时部署流量检测分析设备和异常流量过滤系统, 组成一套完整的异常流量管理系统。 由流量检测分析设备(Leadsec-Detector)进行采样分析, 对流经骨干网的数据流进行分析、统计、报警, 确定受攻击的目标IP范围;由异常流量过滤系统(Leadsec-Guard)来牵引到达目标IP的网络流量, 过滤攻击流量后将正常流量回注到网络中, 通过两者的无缝配合, 完成了网络攻击的分析、识别, 以及自动清理。
LeadSec-Guard还可支持虚拟化, 将单台设备或者集群组虚拟为多个逻辑异常流量过滤系统。 因此, 系统管理员可以为每个逻辑系统分配相应的管理员进行策略配置、安全审计等独立操作。 这将有力地支撑宽带网络运营商拓展安全增值服务, 推动安全运营。 同时, 系统中还配置了Leadsec-Manager管理系统, 在实现集中设备配置和管理的同时, 提供丰富的报表功能, 全面帮助管理员深入掌控网络安全运行情况。
项目完成后, 该省干出口链路中异常流量所占用带宽降至总拥有带宽的5%以下, 网络安全事件发生概率大大降低, 轻了异常流量对该省电信省干网络平台造成的压力, 提升了带宽利用率, 为IDC、网吧等宽带业务大客户提供了一条安全、畅通的互联网链路, 提升了品牌价值, 为该省电信创造了竞争优势。
……