方案概述
各种蠕虫、木马的泛滥,不仅直接威胁着IDC客户的业务安全同时也直接影响着××电信自身的服务信誉,动辄数G流量的DDoS攻击也对××电信的IDC整体网络造成影响。针对IDC当前的主要问题,天融信公司将通过为××电信提供一整套的IDC安全守护解决方案,为IDC客户的网络、服务器托管区域等提供全面的安全保护。通过部署天融信的IDP网络安全设备等安全产品为IDC客户实现:
★对DoS、DDoS攻击的阻断;
★对蠕虫攻击的阻断;
★对垃圾邮件、邮件病毒的防护;
★对系统漏洞的攻击阻断;
★对后门程序、木马渗透的阻断;
★防范企业用户对网络资源的滥用(如P2P下载、IM即时通讯、网游等);
本方案的出发点是充分利用××电信的客户、网络资源,以及天融信丰富的IT集成经验、安全管理经验以及先进的安全技术手段等为IDC客户搭建起安全的防护平台。通过天融信的IDC安全守护平台帮助用户从接入端解决复杂的安全问题,最大化地避免安全威胁事件的发生,同时针对客户的不同应用、系统等为客户提供全面的安全预警、7*24小时的事件实施监控、安全威胁的发现、实时报表、现场响应、安全评估加固等一揽子的安全保障服务,提供安全建议、安全评估等一揽子的安全保障解决方案。
本方案采用××电信与天融信公司共同运营合作的模式,利用××电信的网络、客户资源平台与天融信雄厚的技术积累、专业的安全人员相结合,充分发挥各自的长处,为IDC客户提供全面、安全的网络接入服务。
方案的功能
天融信的IDC安全守护解决方案是以天融信的安全防护产品为核心,以天融信的IDC安全服务为保障为客户提供的全方位的安全保障与防护解决方案。
产品的部署方案
IDC安全净化中心部署方案
整个IDC网络可以分为Internet接入层、核心层、分布层、客户接入层。其中,分布层通常是IDC提供增值业务的部署层,分布层同时也是用户的接入汇聚层。针对IDC复杂的网络环境以及最终客户的实际安全需求,天融信的IDC安全守护服务解决方案建议在IDC中建立独立的安全净化中心网络,净化中心网络采用旁路的方式连接到IDC的核心层与分布层中,利用路由优先的方式将客户的网络流量牵引到净化中心中,在IDC安全净化中心网络中根据带宽、功能等的不同,部署的TopIDP设备可以从几个G到几十个G的大小,以适应不同IDC及客户的需求。
由于天融信的IDC安全净化中心为最终客户实现网络的安全过滤,净化掉流量中的攻击行为如DDoS流量、蠕虫病毒、漏洞攻击、垃圾邮件等。之后,将洁净的流量重新导入到客户的网络中。帮助最终客户实现“最后一公里”的洁净网络接入。
IDC安全净化中心部署图
天融信的IDC安全净化中心将帮助最终客户实现对蠕虫、木马、漏洞攻击、DDoS攻击、垃圾邮件、邮件病毒等的有效防范,保证了最终客户的网络接入安全。
配合天融信的安全运营服务将帮助客户实时监控网路的安全状态、分析安全隐患、提供安全防范建议以及现场的技术支持服务,从而帮助客户做到立体化的全面地网络安全。
抗DDoS攻击的部署方案
随着网络的迅速发展,针对网络的攻击行为日益严重。分布式拒绝服务(DDoS)攻击不仅仅阻止合法用户对某个特定的计算机或者网络资源的正常访问,动辄数个G的网络流量也直接威胁着IDC自身骨干网络的性能与安全,当前DDoS攻击正在以惊人的速度增加。因为这些攻击而导致的服务中断,据统计,已经使得那些利用互联网开展业务的企业损失了数十亿美元。如何有效地防范DDoS攻击已成为运营商当前无法回避的主要问题。
针对DDoS攻击行为,天融信公司的解决方案同样采用旁路组网的模式实现,其可以与安全净化中心部署在一起,也可根据需要独立组网完成。
同样采用路由优先的原则,与安全净化中心的区别在于,仅当发现DDoS攻击行为时,采用路由优先的原则将客户的网络流量导入到DDoS清洗区域中为客户进行流量的清洗:
★当网络中没有DDoS攻击行为存在时,对客户网络的访问流量将直接到达客户端;
★一旦网络中发现对客户的DDoS攻击行为,通过路由优先的方式将对客户网络的访问流量直接导入到DDoS净化中心,对攻击流量进行净化清洗;
★将清洗后的干净流量重新注入到客户端,从而保证了客户端网络的正常访问;当攻击停止后,撤销净化中心的路由,恢复客户的原有路由;
