首页 >> 通信新闻 >> 滚动新闻 >> 正文
运营商城域网核心网络流量净化方案
2009年4月13日 14:51    通信世界网    评论()    
作 者:绿盟科技

    解决方案概述

    业务挑战

    伴随着几大运营商竞争的加剧,接入用户对SLA(服务等级)的要求也越来越高。电信运营商有责任也必须保证城域网客户网络的可用性、安全性以及带宽的利用率,这样才能在日益激烈的竞争中占得先机。在城域网骨干的抗拒绝服务需求中,对流量净化的要求要高于对攻击完全防护的要求。应该说,在城域网骨干碰到的抗拒绝服务攻击主要以抵御流量型攻击为主,大流量的攻击会拥塞网络带宽,抢占网络设备的处理能力,使得网络带宽的整体利用率降低,从而对多种业务构成威胁。大规模DDoS攻击对城域网核心网络的影响主要表现在如下方面:

    核心网络的通信链路被DDoS攻击流量占用

    DDoS攻击造成链路中网络设备的负载过高

    大客户业务受DDoS影响服务质量急剧下降

    解决之道

    绿盟科技长期专注于如何在城域网环境中抵御DDoS流量,利用业界知名的“黑洞”抗拒绝服务系统,制定了绿盟科技“黑洞”流量净化矩阵的解决方案——NC2M(NSFOCUSCollapsarCleanMatrix)。该方案采用多层的攻击流量检测、防护、过滤机制,及时发现背景流量中各种类型的攻击流量,以基于流量牵引技术的旁路方式,在城域网中迅速对攻击流量进行过滤,保证核心网络的正常运行。1)部署专用高性能抗DDoS设备进行防护,并采用特定的旁路工作方式。由于城域网骨干中的业务流量具有复杂多样的特点,而且流量很大,对链路带宽的依赖性强,因此很容易受到DDoS攻击的影响。要想做到全面的防护,推荐使用绿盟科技基于专用NP硬件架构的抗拒绝服务系统,并采用旁路或旁路集群部署的方式,以做到在应对海量DDoS攻击时,保证城域骨干网的高可靠性。

    2)运营商城域网的全网环境中分层次全面部署,满足不同力度的防护需求。在整个城域网甚至未来从骨干层开始的DDoS攻击防护工作,不能寄希望于在一点能够解决所有的问题,而应建立多层次的梯度防护,不同的防护层次完成不同的任务。在核心网络首先要做到的是对海量DDoS攻击的净化,以保证核心链路的畅通与带宽利用率,而针对IDC、大客户接入等的保护更加重视对于重点客户及应用层的攻击防护。

    3)通过DataCenter对净化设备进行集中管理,针对DDoS事件统一分析。

    图:绿盟科技“黑洞”流量净化矩阵——城域网分层次流量净化

    方案优势

    绿盟科技“黑洞”流量净化矩阵的解决方案——NC2M(NSFOCUSCollapsarCleanMatrix)在针对城域网核心网络的流量净化中具有如下优势:

    集中的异常流量监控和管理机制,全面掌握城域网全网的DDoS动态对城域网中抗DDoS设备的集中监控、管理机制不仅便于网络运维部门对此类设备的便捷管理,能够在攻击发生时进行高效的监控;还能够集中收集整理城域网全网中各个抗DDoS检测、防护设备所获得的攻击处理数据,以便于未来运营分析的需求。

    以攻击检测、应急防护和事后分析的三重服务包形成新的业务增长点电信运营商可以为其不同级别的客户提供不同级别的抗DDoS服务,如提供DDoS异常流量检测、流量净化防护、取证等服务包,并将防护水平按不同客户要求划分等级,形成完整、灵活的增值服务形式。

    完善的运行维护、服务支持与应急响应是绿盟DDoS防护的重要保障一套好的抗拒绝服务解决方案,不仅仅是提供设备,而且需要完整的运行维护、服务支持与应急响应方案。绿盟科技不仅具备完善的产品方案,同时具有强大的技术支持服务能力、快速应急响应能力以及对网络安全深入的研究能力,真正为城域网运营商提供完备易用的抗拒绝服务系统。

编 辑:高娟
关键字搜索:绿盟科技  网络安全  
[ 本站暂时关闭评论 ]
 
  推 荐 新 闻
  技 术 动 态
  通 信 圈