专题:   百度竞价排名  Windows 7  刀片式服务器  危机  绿色虚拟化  “有啊”上线  杨致远和雅虎    移动嵌入串串烧 
更多精彩专题

Hillstone新疆电信安全解决方案

2008-04-09 03:02:33.0     推荐:0    收藏:0    评论:0     来源:e800解决方案频道
  新疆电信是中国电信股份有限公司的全资子公司,现有16个地市级电信分公司和83个县级分公司,主要经营新疆地区传统的IP语音业务和电信增值业务。近年来,随着Internet的高速发展,互联网接入服务逐渐成为新疆电信的重要业务。

  但是,随着互联网接入服务的不断拓展,新疆电信网络安全的问题日趋严重,特别是针对域名服务器(DNS)的攻击一直困绕着用户,这是DNS担负着所有用户上网的域名解析功能,一旦受到攻击,会引发大面积用户上网异常,目前新疆电信域名服务器(DNS),主要面临以下两种攻击:

  一、针对DNS的拒绝服务攻击

  DNS主要功能是完成域名查询请求,目前虽然有缓存技术缓解CPU压力,但仍然有大量的查询需要耗费CPU资源,如果一旦遭受针对DNS的拒绝服务攻击,出现大量的查询请求,就会出现DNS资源耗尽、提供服务出现异常的情况。

  二、针对DNS的端口攻击

  DNS作为服务的一种,需要对外提供服务,打开一些端口,这些端口很容易受到攻击。

  但是DNS一直以来缺乏安全设备来对其进行保护,这是因为DNS具备查询时间短,并发连接会话数高,特别是新建会话连接数高的特点,尤其在高峰时间可达每秒10万次以上的会话数,传统的网络安全设备无法满足这样的需求。

  针对一直困绕新疆电信用户在DNS安全隐患,Hillstone提出了专业的解决方案,如图1所示:

  
新疆电信Hillstone安全解决方案拓扑图

新疆电信Hillstone安全解决方案拓扑图


  首先在DNS前面部署一台SA-5050高性能安全网关,分别对DNS的两条线路进行保护,接着将SA-5050配置成二层透明模式,无需改变现在的网络环境。针对拒绝服务攻击,开启SA-5050 防护功能,有效抵御拒绝服务攻击;针对端口攻击,通过ALG功能过滤掉非法请求服务。

  由于Hillstone安全网关部署在DNS服务器前,位置十分关键,因此对安全网关的性能要求非常高。Hillstone SA-5050采用多达16核的64位网络多核并行处理器,自主开发的专用安全芯片(ASIC)和内部高达48Gbps的交换总线,使的Hillstone SA-5050在性能上有了质的飞跃——TCP每秒新建连接20万,具备强大的安全处理能力,并且能够避免传统的ASIC和NP安全系统会话创建能力和流量控制能力弱的弊病,为新疆电信DNS服务器提供强大的安全保障。

  Hillstone SA-5050在新疆电信上线以后运行良好,给予DNS服务器很好的保护,新疆电信区级网络维护中心主任工程师苏安其先生对Hillstone SA-5050评价如下:“…总体上山石的设备还是很不错的,能够支持非常大的每秒新建连接数,这个我们有非常深刻的印象,同时设备从上线到现在运行非常稳定,很好的保护了我们的DNS服务器…”

您可以针对本文进行:[评论]  [收藏]  [推荐]   [查看原文链接]  
  • 共有0条评论  点击查看更多评论
  • 网友评论仅供网友表达个人看法,并不表明e800同意其观点或证实其描述
我想发表评论:
用户名密码
  • 匿名发表
    验证码:
  • 专题
    • 资讯热点文章
      • 方案与案例查询
        • 文章排行