新疆电信是中国电信股份有限公司的全资子公司,现有16个地市级电信分公司和83个县级分公司,主要经营新疆地区传统的IP语音业务和电信增值业务。近年来,随着Internet的高速发展,互联网接入服务逐渐成为新疆电信的重要业务。
但是,随着互联网接入服务的不断拓展,新疆电信网络安全的问题日趋严重,特别是针对域名服务器(DNS)的攻击一直困绕着用户,这是DNS担负着所有用户上网的域名解析功能,一旦受到攻击,会引发大面积用户上网异常,目前新疆电信域名服务器(DNS),主要面临以下两种攻击:
一、 针对DNS的拒绝服务攻击
DNS主要功能是完成域名查询请求,目前虽然有缓存技术缓解CPU压力,但仍然有大量的查询需要耗费CPU资源,如果一旦遭受针对DNS的拒绝服务攻击,出现大量的查询请求,就会出现DNS资源耗尽、提供服务出现异常的情况。
二、 针对DNS的端口攻击
DNS作为服务的一种,需要对外提供服务,打开一些端口,这些端口很容易受到攻击。
但是DNS一直以来缺乏安全设备来对其进行保护,这是因为DNS具备查询时间短,并发连接会话数高,特别是新建会话连接数高的特点,尤其在高峰时间可达每秒10万次以上的会话数,传统的网络安全设备无法满足这样的需求。
针对一直困绕新疆电信用户在DNS安全隐患,Hillstone提出了专业的解决方案,如图1所示:
图1.新疆电信Hillstone安全解决方案拓扑图
首先在DNS前面部署一台SA-5050高性能安全网关,分别对DNS的两条线路进行保护,接着将SA-5050配置成二层透明模式,无需改变现在的网络环境。针对拒绝服务攻击,开启SA-5050 防护功能,有效抵御拒绝服务攻击;针对端口攻击,通过ALG功能过滤掉非法请求服务。
由于Hillstone安全网关部署在DNS服务器前,位置十分关键,因此对安全网关的性能要求非常高。Hillstone SA-5050采用多达16核的64位网络多核并行处理器,自主开发的专用安全芯片(ASIC)和内部高达48Gbps的交换总线,使的Hillstone SA-5050在性能上有了质的飞跃–TCP每秒新建连接20万,具备强大的安全处理能力,并且能够避免传统的ASIC和NP安全系统会话创建能力和流量控制能力弱的弊病,为新疆电信DNS服务器提供强大的安全保障。
Hillstone SA-5050在新疆电信上线以后运行良好,给予DNS服务器很好的保护,新疆电信区级网络维护中心主任工程师苏安其先生对Hillstone SA-5050评价如下:"…总体上山石的设备还是很不错的,能够支持非常大的每秒新建连接数,这个我们有非常深刻的印象,同时设备从上线到现在运行非常稳定,很好的保护了我们的DNS服务器…"
—————————————
关于Hillstone Networks
Hillstone Networks "山石网科通信技术(北京)有限公司"创建于2006年,是网络安全领域的代表企业,公司总部位于中国北京,并在美国硅谷设立研发中心。山石网科积累了多年网络安全产品研发和市场运作经验,专注于信息安全,是专业的新一代网络安全解决方案提供商。
目前,山石网科拥有员工120余人,公司的核心团队由来自Netscreen、Cisco、Juniper、Fortinet和H3C等中外著名企业的精英组成,具备先进的技术经验和丰富的企业管理经验。公司总注册资金475万美金,组织架构完善,并且已经通过投资、控股和合作等形式,在亚太区形成了良性发展的产业和营销体系。
自成立以来,山石网科就以"贴近市场,以安全服务为导向,快速把握并满足客户需求"为己任,用优秀的方案和专业的服务帮助客户提升网络安全整体防护,从而实现企业自身价值的最大化。山石网科凭借其独特的服务精神和强大的技术实力,以国际一流的技术打造适合中国本土化应用需求的高性能产品,并提供高性价比的新一代网络安全整体解决方案,服务于中国高速发展的网络市场。作为产业链中至关重要的一环,山石网科勇于创新,公司的SR系列安全路由器和SA系列安全网关产品,已经为网络安全领域树立了新的网络安全产品质量水平标杆,在国内各大中小型企业及各高校中拥有了广大的客户群体,并赢得了用户的高度肯定。更多信息,请浏览: www.hillstonenet.com