运营商整体解决方案.docVIP

运营商整体解决方案 1 运营商网络现状简述 一个典型的运营商的网络拓扑结构人致由3部分组成: 网络连接部分 网络安全部分 网络应用部分 DHCP月艮务 DNS 认证计费 短信网关 在运营商网络屮存在很多网络设计上的缺陷， 1. 1网络安全防护存在的缺陷 传统数据中心的安全措施 Irternet 何㈣曲 ? 网络安全设备的单点失效性： 单一的网络安全设备存在单点失效性，例如：图中的防火墙和防病毒设备一旦出现问题, 将造成整个网络的瘫痪: 网络安全设备性能的瓶颈： 网络安全设备由于要对进出网络的数据包进行安全性检杳，与网络路由器和网络交换机 相比，性能通常会降低很多，例如防病毒设备的网络吞吐量通常只有3-1 OMbpso因此网络 屮的安全设备通常都是制约网络传输速度的瓶颈点。 安全体系架构存在漏洞： 防火墙可以基于网络中的TCP、UDP端口对网络流量进行访问控制，并且可以对基于 状态的协议进行协议状态检查，因此防火墙通常是在网络第四层上对用八的网络进行保护。 但是防火墙无法对基于网络七层中的网络攻击进行防护例如： ?蠕虫入侵 ?病毒入侵。 ?厉门攻击。 IDS可以对网络屮的数据包进行深入的分析，可以检查到资料包屮第7层的信息，它具 备随时对可疑流量进行检查和识别的能力。但是IDS最人的问题是IDS并不能阻止攻击的 入侵，仅仅能发出告警，而此时网络攻击己经进入到网络内部。 目前我们血临着手段备异形式多样的混合式攻击威胁，这些攻击屮应用级层的攻击占了 绝大多数，为了抑制这些攻击，Gartner建议“在作出安全方面的决策时除了考虑简单的静 态协议过滤外，还要考虑对应用内容（网络七层中的攻击特征）进行深入的数据包检查，并 阻挡该攻击”。 1. 2网络应用存在的缺陷 网络应用的可靠性较差： 应用服务器由于服务器硕件的稳定性、流最压力超载、网络攻击等情况经常会出现意外 宕机的情况，从而无法保证网络应用的7x24小吋的持续性服务。 网络应用的性能瓶颈： 在网络应用系统中，通常会采用多台服务器同时提供服务的方式。但是由于网络屮的流 量并不均衡,因此经常会出现某台服务器由于访问量过大而宕机,造成网络应用性能的不稳 定，从而影响到瘵个网络应川系统的性能。 ? 网络应用的安全性较差： 从上图屮可以看出现有网络屮的安全性防护机制的特点是： ?现有的安全性防护机制通常是针对來自外网的攻击； ?缺乏针对来a内网的攻击防扩|机制； ?现有的安全性防护机制通常是针对整体网络层面的攻击防护，即针对网络ip层、 TCP/UDP层的网络4层以下的攻击防护； ? 缺乏针对具体的、特定的运营商网络应用的特点而专门制定的符合运营商网络应用 的基于网络7层防护的安全性防护机制； 2 Radware解决方案 2.1 Radware解决方案介绍 RADWARE解决方案蓝图 应用安全 应用首端 hternet 该解决方案从功能上分为2个部分: ?安全解决方案部分 ?应用的解决方案部分 2.1.1 Radware安全解决方案部分简介 我们建议的安全解决方案部分,包括3款产殆,DefensePro, SecureFlow, CID,每台设备简要功能描述如下： ? DefensePro实现实时的攻击防御 我们建议在网络接入处，部署DefensePro,可以识别并实吋抵御1500多种 蠕虫、病毒、DOS攻击和异常的流量模式，保护内部用户和服务器的安全。 同时，通过把端口两两静态绑定，虚拟成多台逻辑设备，分别部署在核心交 换机和运营商广域网之间保护入侵和攻击不致互相扩散。 使用一台逻辑设备部署在核心交换机和AppDirector之间，保护服务器群免 受内部办公用户的非法攻击。 使用多台逻辑设备部署在内部办公用户的不同网段（或者楼层）之间，保证 非法入侵和攻击不致扩散到其它办公网段或者楼层。 SecureFlow实现防火墙的负载均衡和IDS的负载均衡 如上图所示，我们建议在多台防火墙和核心交换机之间，部署SecureFlow, 配合LinkProof实现多台防火墙（最多100台）的负载均衡，防火墙可以是不同 厂家，不同型号，不同性能，大大提供防火墙的扩展性和可用性。 同吋可以实现多台IDS （最多100台）的负载均衡，IDS可以是不同厂家， 不同型号，不同性能，大大提供TDS的扩展性和可用性。 CID实现cache服务器、防病毒网关，URL过滤网关的负载均衡 CID位于SecureFlow和核心交换机之间，与组织内原有的Cache,防病毒网 关，URL过滤网管等内容检测安全设备协同提高服务质量。 一方而把如上设备由inline方式改名为CID的旁路方式，减少了网络的单 点故障。 另一方面，CID实现对多台设备的负载均衡，保证了该类网络设备的高可用 性，高扩展性和高性能。 WAF实现应用防火墙