Hillstone广电网络安全解决方案.docxVIP

Hillstone 山石网科广电网多链路出口安全解决方案 —— 应用 Hillstone 山石网科助力广电网 多链路负载均衡 安全管理解决方案 山石网科通信技术 ( 北京 ) 有限公司 2010 年 4 月 前言 Hillstone 山石网科 Networks Inc. “山石网科”创建于 2006 年，是网络安全领域的代表企业之一， 公司总部位于中国北京， 并在美国硅谷设有研发中心。 Hillstone 山石网科山石网科积累了多年网络安全产品研发和市场运作经验， 专注于信息安全， 是专业的新一代安全网络设备提供商。 目前， Hillstone 山石网科山石网科拥有员工 150 余人，其中博士、硕士占 30%以上。公司创始人均是国际安全业界的专家，包括 Netscreen 早期创始团队成员。公司的核心团队由来自 NetScreen 、 Cisco 、Juniper 、Fortinet 和 H3C等中外著名企业的精英组成，具备先进的技术经验和丰富的企业管理经验。 公司设有系统架构部、 系统运营部、软件系统部、市场部、渠道销售部、售前售后技术部等部门，并且已经通过投资、控股和合作等形式，在亚太区形成了良性发展的产业和营销体系。 自成立以来， Hillstone 山石网科山石网科就以“贴近市场，贴近客户，快速把握并满足客户需求”为己任，用产品和方案来帮助客户获得网络安全，从而实现自身的企业价值。 Hillstone 山石网科山石网科凭借其独特的服务精神和强大的技术实力， 以国际一流的技术打造适合中国本土化应用需求的高性能产品， 并提供高性价比的新一代网络安全整体解决方案， 服务于中国高速发展的网络市场。 作为产业链中至关重要的一环， Hillstone 山石网科山石网科勇于创新，公司的 SA系列安全网关和 SR系列安全路由器产品， 已经为网络安全领域树立了新的安全网络产品质量水平标杆， 在国内各大中小型企业及各高校中拥有了广大的客户群体，并赢得了用户的高度肯定。 在网络时代的今天， Hillstone 山石网科山石网科愿与所有客户、合作伙伴一起，在探索与实践中国网络安全稳健和谐发展的新长征 中，携手共赢！ 一、广电网出口网络现状描述 项目背景 广电网，通常是各地有线电视网络公司（台）负责建设运营的。其职能类似于 ISP，可向政府，企业，网吧或普通用户提供宽带接入。但广电自己没有独立的 Internet 接入出口。所以，广电会向电信，网通等 ISP 租用带宽，而后再通过光纤或 HFC网向用户提供宽带接入服务，其职能类似于 2 级 ISP。通常情况下，为了保证互联网访问的服务质量，缓解中国存在的南北两家 ISP 带来的互联互通问题， 广电采用同时租用多家 ISP 链路的办法以保障 INTERNET链路出口的稳定性和访问质量。 通过分析，广电网络中通常存在如下问题： 1）需要高性价比的多链路负载均衡解决方案 为了保证出口链路对互联网访问的质量，广电会同时租用多家 ISP 的链路以保障 INTERNET链路出口的稳定性和访问质量。通常情况下，广电至少租用电信和网通 2 大 ISP 的链路，部分地区会进一步接入联通，铁通和教育网的链路。 多链路的接入，扩充了带宽，但也给广电带来了新的挑战－各种出口链路的流量负载分配的问题。选择 F5 等负载均衡厂商产品来解决出口网络的均衡问题是一种方法， 但该类设备的价格昂贵， 处理性能不理想，且安全性较低。所以，广电迫切需要一性价比更高的多链路负载均衡的解决方案。 2）日益增长的业务访问量给防火墙带来巨大压力 广电网从建立之初就考虑到了安全问题，采用防火墙设备做为广电网网络出口安全防护已经比较普遍。 但广电网现有的防火墙部署时间较早，一般都是采用传统的 X86架构或 ASIC 架构。其网络性能往往不能继续支撑日益增长的业务访问量。 随着跨网应用的骤增， 广电网网络环境基于 X86 或者 ASIC 的传统架构的防火墙会导致网络传输延迟增大，部分的防火墙设备已成为整个网络传输的瓶颈之一， 严重影响整个广电网出口的正常业务需求。为了满足网络持续发展的需 要，需要选择一款高性能、 高吞吐、易于扩展性能和功能的防火墙或者安全网关。 3） DDOS/DOS攻击抢占业务带宽 随着攻击技术不断提高，作为 2 级 ISP，的广电网内外均承受着 巨大的攻击压力，在广电的提供的线路中，充斥了各种 DOS/DDOS的攻击 , 在外网最常见的有： SYN-flood UDP-flood ICMP-flood Winnuke Smurf/Fraggle 畸形报文 报文分片攻击 IP 异常选项攻击 地址欺骗 地址扫描 端口扫描 在广电内网，同样存在各种 DDOS攻击。例如： Arp 欺骗攻击 Mac欺骗攻击 流量攫取 地址欺骗 地址