作 者:HillStone
应用要点:安全区域隔离,SSLVPN远程接入,内部攻击,流量优化
1、现状分析
电信内部DCN网络用于电信内部业务的承载。大多分为四大部分:QA,BOSS,计费和其它业务,不同业务的隔离,关键业务的带宽保障,对不同的业务和各级用户需要进行安全区域的隔离,对攻击的防护同样也是DCN网络所面临的重要问题,这些攻击可以来自外部也可以从内部受病毒感染的主机对网络的攻击,最为典型的例子就是ARP攻击。
2、建议方案
网络拓扑的示意图及描述
建议的部署方案
3、解决的问题及Hillstone优势
HillstoneSA系列以其高性能和丰富的安全特性能很好的解决DCN网络中面临的各种安全问题。
灵活的部署方式
SA系列支持路由模式、透明模式以及混合模式的网络布置,对于DCN网络,我们建议以透明模式部署,同时Hillstone的透明模式中支持多个虚拟交换机,在每个虚拟交换机中都能够进行安全策略和流量的控制。
安全域的区分隔离
对各个业务区域实施安全域的划分,在安全域之间强制安全策略,进行业务网内的安全控制。
带宽管理
由于各个业务共用网络,利用StoneOS的带宽管理实现关键业务的带宽保障,对于OA网,我们还对P2P/IM的应用进行阻断或流量控制,以确保网络中关键业务的带宽要求。StoneOS能实现基于IP,基于应用,同一IP内部不同应用的带宽管理和优先级保证。
ARP攻击防御
SA本身就有很强大的ARP攻击防护功能:
•IP-MAC,MAC-port绑定
•MAC-IP数目限定
•透明模式下带上级3层网关发送正确的ARP
•透明模式下IP-Spoofing的防护
同时通过与SecureDefender的结合能够从源头上控制ARP攻击
攻击防护和非法流量的清洗
StoneOS能够对各种DDoS攻击进行防护和清洗,包括:ICMPflood,UDPflood,SYNflood,CC,碎片攻击等,SA各个系列的高性能也使其能够应对突发流量所造成的攻击。
HA
StoneOS支持主/备方式的HA,最大程度的保障网络稳定性,HA的切换时间能够低于1s。