電信骨干網(wǎng)DDoS攻擊防護解決方案

近年來，電信數(shù)據(jù)業(yè)務迎來飛速發(fā)展，作為經濟大省，某省近年來電信數(shù)據(jù)業(yè)務發(fā)展迅速，寬帶數(shù)據(jù)業(yè)務用戶快速增長。然而，伴隨著用戶數(shù)量的增長，電信網(wǎng)絡安全問題也頻繁發(fā)生，其中DDoS攻擊情況尤為嚴重。
    該省電信運營商對2006年7月到12月的網(wǎng)絡安全事件統(tǒng)計后發(fā)現(xiàn)，幾個經常受到網(wǎng)絡攻擊的地市，每月平均受到的網(wǎng)絡攻擊多達10次以上，2006年9月，某地市IDC受到嚴重DDoS攻擊，攻擊流量達到22G，造成城域網(wǎng)、IDC全阻15分鐘，對業(yè)務造成嚴重的影響。嘗試了多種解決辦法，仍然無法從根本上解決問題。
    在這種情況下，該省電信迫切需要引入專業(yè)安全合作伙伴，建立一整套抵御DDoS流量攻擊的系統(tǒng)。為此，省電信研究院對眾多安全廠家的異常流量過濾設備進行了評測對比，聯(lián)想網(wǎng)御的異常流量過濾設備在眾多廠家比拼中脫穎而出，性能和功能卓越。同時，聯(lián)想網(wǎng)御異常流量管理系統(tǒng)在多個省市電信行業(yè)的成功應用也獲得信息化主管領導的認可，經過多次深入的技術交流，該省電信最終確定了聯(lián)想網(wǎng)御作為抵御DDoS流量攻擊系統(tǒng)建設的合作伙伴。
    結合該省電信的安全需求和現(xiàn)網(wǎng)建設情況，充分考慮寬帶互聯(lián)網(wǎng)絡高帶寬、大流量、要求可靠性高的網(wǎng)絡特點，聯(lián)想網(wǎng)御的技術專家為電信運營商量身定制了異常流量清洗方案：結合電信IDC客戶遭受的DDoS攻擊情況和僵尸網(wǎng)絡發(fā)動攻擊的特點，技術專家分析認為攻擊流量主要來自國外和國內其他運營商網(wǎng)絡，另有少部分來自省網(wǎng)內部。因此，系統(tǒng)建設先期在省干出口位置集中式部署，重點防范經由省干入口向地市城域網(wǎng)的攻擊?？紤]到省干出口鏈路帶寬大，網(wǎng)絡位置十分關鍵。聯(lián)想網(wǎng)御又為用戶設計、采取了目標保護策略——根據(jù)需要可以靈活地定義要保護的目標IP地址或者目標IP網(wǎng)段，進行重點檢測分析和過濾攻擊流量，實現(xiàn)了較強的針對性，同時有效節(jié)省了建設投資，同時，根據(jù)該省電信用戶的網(wǎng)絡使用特點，設計采用了8臺設備集群旁路部署方式（如圖所示），大流量攻擊處理能力達到16G，輕松滿足了15G大流量攻擊處理能力的設計要求，避免了改變正常網(wǎng)絡流量的網(wǎng)絡路徑，同時保證了網(wǎng)絡的高可靠性。
    聯(lián)想網(wǎng)御異常流量管理系統(tǒng)應用方案
    聯(lián)想網(wǎng)御在用戶網(wǎng)絡中同時部署流量檢測分析設備和異常流量過濾系統(tǒng)，組成一套完整的異常流量管理系統(tǒng)。由流量檢測分析設備（Leadsec-Detector）進行采樣分析，對流經骨干網(wǎng)的數(shù)據(jù)流進行分析、統(tǒng)計、報警，確定受攻擊的目標IP范圍；由異常流量過濾系統(tǒng)(Leadsec-Guard)來牽引到達目標IP的網(wǎng)絡流量，過濾攻擊流量后將正常流量回注到網(wǎng)絡中，通過兩者的無縫配合，完成了網(wǎng)絡攻擊的分析、識別，以及自動清理。
    LeadSec-Guard還可支持虛擬化，將單臺設備或者集群組虛擬為多個邏輯異常流量過濾系統(tǒng)。因此，系統(tǒng)管理員可以為每個邏輯系統(tǒng)分配相應的管理員進行策略配置、安全審計等獨立操作。這將有力地支撐寬帶網(wǎng)絡運營商拓展安全增值服務，推動安全運營。同時，系統(tǒng)中還配置了Leadsec-Manager管理系統(tǒng)，在實現(xiàn)集中設備配置和管理的同時，提供豐富的報表功能，全面幫助管理員深入掌控網(wǎng)絡安全運行情況。
    項目完成后，該省干出口鏈路中異常流量所占用帶寬降至總擁有帶寬的5％以下，網(wǎng)絡安全事件發(fā)生概率大大降低，輕了異常流量對該省電信省干網(wǎng)絡平臺造成的壓力，提升了帶寬利用率，為IDC、網(wǎng)吧等寬帶業(yè)務大客戶提供了一條安全、暢通的互聯(lián)網(wǎng)鏈路，提升了品牌價值，為該省電信創(chuàng)造了競爭優(yōu)勢?？荚嚧缶庉嬚?BR>