360天堤助力杭州运营商IDC机房边界安全防护-360企业安全.PDF

[键入文字] [键入文字] [键入文字] 360 天堤新一代大数据智慧防火墙客户案例 --杭州运营商 IDC 机房边界安全防护 本文档解释权归 360 网神公司所有 360 天堤新一代大数据智慧防火墙 目录 1. 用户环境 2 2. 用户需求 3 3. 运行功能 3 4. 运行情况 8 5. 产品支持 13 360 天堤新一代大数据智慧防火墙 360 天堤防火墙杭州运营商IDC 机房预运行详情 1. 用户环境  s6xg1 口通过 4 个 vlan 接入 4 条千兆（4G ） 电信方向的资源。  s6xg2 口接入一条万 兆（4G ）联通方向资源。  s8xg2 口通过两个 vlan 接入两条百兆（联通 /电信各 100 兆）资源。  s7xg1 口接入一条万 兆（10G ）接口连接浙江 省移动用户。  移动用户数据从 s7xg1 进入防火墙后需要对数据进行识别：  游戏请求通过 s8ge2 出公网，并根据联通/电信不同方向进行选路。  非游戏请求通过 ISP 路由进行选路，电信方向从 s6xg1 口出电信公网，并 由4 条电信出口进行负载。余下的请求从 s6xg2 口出联通公网。 360 天堤新一代大数据智慧防火墙 2. 用户需求 大流量承载及稳定运行。高峰期流量可达30G ，并发连接数在有攻击 的情况下可达1200万。 基于应用的智能选路。需对游戏应用进行识别，并将游戏应用的流量根 据联通/电信丌同方向进行选路。 ISP路由负载均衡。非游戏应用的流量需根据联通/电信丌同方向进行选 路，并做到负载均衡，互为备份。 基于应用的QoS。需对P2P应用的上行流量进行限制。 抗Land攻击。用户网络中存在大量Land攻击，需对Land攻击进行防护。 3. 运行功能 1 ）Vlan 子接口，通过vlan 子接口承载多条虚拟链路 2 ）策略路由，通过策略路由做的工作有： 360 天堤新一代大数据智慧防火墙 a) 游戏应用按照丌同的运营商选择相应的出口 b) 为ISP 路由中“电信 3”线路提供备援线路 c) 为上游电信和联通的拨测系统提供路由 d) 针对异常流量（land 攻击）做黑洞路由 3 ）ISP 路由，通过 ISP 路由做的工作有： a) 电信四条线路的 1 ：1 ：1 ：1 负载均衡 b) 自定义电信和联通ISP 信息导入 360 天堤新一代大数据智慧防火墙 4 ）对象，地址对象及地址组对象组合引用 5 ）应用识别 a) 配合策略路由做应用引流 b) 配合 QoS 做带宽管理 360 天堤新一代大数据智慧防火墙 6 ）NAT ，通过源NAT 为丌同出口的流量转换相应的公网地址，且使用动态端口复用 7 ）攻击防护，针对每个安全域做双向异常流量的检测