广电宽带网出口安全解决方案-广州拓创电子科技有限公司

首页

关于拓创

产品中心

行业方案

技术支持

培训认证

客服中心

联系我们

中文版 | English

　您的位置：首页 > 行业方案 > 广电宽带网出口安全解决方案

广电宽带网出口安全解决方案

前言

随着广电双向网改造的完成，家庭用户宽带上网和大客户专线接入等业务也将逐步开展起来。由此，广电也进入到其他运营商的传统业务领域之中，有效扩展了自身业务的经营范围。根据其他运营商的宽带接入业务的开展现状和经验，我们可以看到，宽带业务承载网络的安全是当前各大运营商非常关注的问题。因为随着宽带接入业务的大范围开展，宽带业务承载网络面临诸多安全威胁。2000年以前，当我们谈及安全威胁分析的时候，还主要指防火墙，因为那时候的安全还主要以网络层的访问控制为主。的确，防火墙就像一个防盗门，给了我们基本的安全防护。但是，就像今天最好的防盗门也不能阻止“禽流感”病毒传播一样，防火墙也不能阻挡今天的网络威胁的传播。今天的网络安全现状和2000年以前相比，已经发生了很大的改变，我们已经进入了一个“应用层威胁”泛滥的时代。

宽带业务安全威胁分析

1、中小企业等大客户的专线接入业务是广电重要的业务收入来源。据统计，35％左右的大客户业务支撑近70％的宽带接入业务收入。所以如何满足大客户的需求是运营商十分关注的，因为这直接影响了关键客户的服务满意度。当前，蠕虫病毒、流氓软件、网络钓鱼等应用层威胁是当前企业IT系统面临的一大威胁。蠕虫病毒不同于传统病毒，它具有更强的“智能性”，很多蠕虫病毒不用依赖与文件系统中的病毒文件而存在，而仅通过系统内存空间进行广泛的复制和并通过合法端口进行全网段的分发扩散，能在几分钟内感染全部有漏洞的网络终端。最著名的RedCode、SQLSlammer、冲击波、振荡波等病毒在爆发之初曾在几小时内蔓延全球网络。而当蠕虫与木马软件相结合时，不仅对企业IT系统性能造成威胁，还将盗取个人用户和企业的关键信息，造成巨大经济损失。给大客户提供“干净”的流量，过滤掉数据流中的“杂质”是大客户和广电共同关心的问题。

2、广电关键网络设备遭受网络攻击，导致性能严重下降——随着网络技术的发展，网络攻击方法变得越来越简单，普通用户通过下载一些简单的黑客工具就可以完成以往非常高深的“拒绝服务”攻击（Deny of Service，DoS）和“分布式拒绝服务”攻击（Distributed Deny of Service，DDoS）等恶性行为。DoS/DDoS攻击不仅会对关键网络设备造成严重的性能负担，还大量占用业务带宽，降低广电网络的收益比。

3、以QQ、MSN、eMule、SKype为代表的P2P应用可能在直接危害性上不如上面提到的网络攻击威胁，但是它却在实实在在使企业客户和广电造成损失。从企业来看，企业内部员工由于监管不严，很可能在工作时间使用上述P2P软件，影响了员工的工作效率，降低了工作准确性，另一方面也慢慢蚕食着企业宝贵的出口带宽资源，严重影响着企业正常业务带宽。在广电来看，家庭用户使用各种P2P软件大量消耗了带宽资源，并且运营商还将由此陷入扩容不增收，越扩容越亏本的恶性循环之中。

解决方案

针对各大运营商在宽带接入业务开展过程中遭遇过的上述安全问题，H3C为将要完成双向网改造，开展宽带接入业务的广电运营商提出了采用防火墙＋IPS的方式进行基于OSI模型2－7层的全面安全防御解决方案。

设备的部署方案：在宽带业务承载网的Internet出口部署防火墙和IPS设备进行整网流量的“清洗”。设备部署的方式可以根据需要灵活处理，推荐将防火墙设备部署在前端，IPS部署在其后。这样一来，从因特网进入企业内网的流量将先通过防火墙基于策略的过滤，消除了流量中3－4层的威胁，然后IPS运用重组TCP 流量以检视应用层数据包内容的方式，以辨识合法与恶意的数据流消除5－7层的威胁。大部分的入侵防御系统都是针对已知的攻击进行防御，然而TippingPoint IPS则运用漏洞基础的过滤机制，可以防范所有已知与未知形式的攻击。“流量清洗”可以作为广电运营商面向大客户的宽带专线接入的一种增值业务来开展。这也是目前各大运营商在逐步开展的一种新型增值业务。

该方案为广电运营商带来的收益：

保护核心资产：保护宽带业务承载网中关键网络设备不受DoS/DDoS等网络攻击；

限制非法流量：降低蠕虫、DoS/DDoS和P2P应用等威胁对网络带宽的占用；

提高广电美誉度：解决专线大客户的大部分安全问题，提高客户服务满意度；

该方案为专线大客户带来的收益：

解决服务器应用访问很慢的问题（很可能是遭遇了DoS/DDoS攻击）；

解决服务器网页被篡改的问题；

解决企业网络蠕虫病毒泛滥的问题；

解决针对企业终端的流氓软件、间谍软件和网络钓鱼等应用威胁问题；

保护针对保护服务器的关键业务应用；

方案特点
纵深式安全防御

从网络的体系结构来分析，所有的安全威胁主要集中在OSI模型中的3－7层，也等同于TCP/IP模型中的网络层、传输层和应用层。随着技术的发展，网络威胁是逐步从网络层上升到应用层的。危害最大的都是应用层的威胁，这已经成为网络安全领域内的一个共识。作为一个完善的网络安全方案，当然需要涵盖从网络层到应用层的防护。防火墙基于其传统的包过滤技术，对数据包报头中的五元组信息进行检测，过滤掉其中不符合定制安全策略的数据包，另外，H3C的高端防火墙还能有效拦截和限流主流的P2P流量。防火墙没有对数据包中的报文信息进行检测，而这将由TippingPoint IPS来完成。IPS接收来自防火墙的数据包，将数据包中的内容提取出来进行流重组，通过匹配IPS内部的近10000个过滤器，针对现有的应用层威胁进行检测，完成对一个数据包“从头到脚的体检”。

实时防御新威胁

现有的防火墙是基于策略配置来进行安全防御的，但目前的应用层威胁是不断变化和更新的，被动的安全策略模式无法应对像SQLSlammer、冲击波、振荡波这类应用层威胁了。IPS为了全面解决应用层的威胁，采用了数字疫苗的方式快速及时更新设备内部的威胁过滤器，使IPS设备自始至终都保持最新的“战备状态”。TippintPoint与微软、甲骨文等国际著名IT企业保持战略合作关系，通过相互之间及时的安全信息交流，在第一时间获得Windows、SQLServer和Oracle等众多软件系统的漏洞威胁信息，然后制作数字疫苗下发到全球部署的TP IPS设备上，及时防御新出现的应用层威胁。快速反应能力保障用户网络安全。

先进的硬件架构

H3C的高端防火墙采用了业界先进的基于网络处理器（Network Processor，NP）的硬件体系架构，保障了防火墙设备的检测灵活性；TippingPoint IPS则采用了NP＋FPGA＋ASIC的硬件体系架构，FPGA和ASIC确保了检测过程的高速度，适用于常规性检测项，而NP则确保了检测过程的灵活性，适用于非常规性检测。

顶尖的安全技术支持

H3C是国内业界著名的基于IP的全系列解决方案提供商，有着长期的安全技术积累，而3COM旗下的TippingPoint公司的安全威胁分析团队也处于业界领先的地位。该团队是安全威胁快讯SANS @Risk的主要撰稿人，SANS @Risk每周定期向其全球范围内30万专业订阅者摘要披露最新安全威胁的公告，内容包含最新发现的漏洞、漏洞所带来的影响、表现形式，而且指导用户如何采取防范措施。