Hillstone广电网络安全解决专项方案.doc
《Hillstone广电网络安全解决专项方案.doc》由会员分享,可在线阅读,更多相关《Hillstone广电网络安全解决专项方案.doc(22页珍藏版)》请在咨信网上搜索。
1、Hillstone山石网科广电网多链路出口安全处理方案应用Hillstone山石网科助力广电网多链路负载均衡&安全管了处理方案山石网科通信技术(北京) 4月序言Hillstone山石网科Networks Inc.“山石网科”创建于,是网络安全领域代表企业之一,企业总部在中国北京,并在美国硅谷设有研发中心。Hillstone山石网科山石网科积累了多年网络安全产品研发和市场运作经验,专注于信息安全,是专业新一代安全网络设备提供商。现在,Hillstone山石网科山石网科拥有职员150余人,其中博士、硕士占30%以上。企业创始人均是国际安全业界教授,包含Netscreen早期创始团体组员。企业关键团
2、体由来自NetScreen、Cisco、Juniper、Fortinet和H3C等中外著名企业精英组成,含有优异技术经验和丰富企业管理经验。企业设有系统架构部、系统运行部、软件系统部、市场部、渠道销售部、售前售后技术部等部门,而且已经经过投资、控股和合作等形式,在亚太区形成了良性发展产业和营销体系。自成立以来,Hillstone山石网科山石网科就以“贴近市场,贴近用户,快速把握并满足用户需求”为己任,用产品和方案来帮助用户取得网络安全,从而实现本身企业价值。Hillstone山石网科山石网科凭借其独特服务精神和强大技术实力,以国际一流技术打造适合中国本土化应用需求高性能产品,并提供高性价比新一
3、代网络安全整体处理方案,服务于中国高速发展网络市场。作为产业链中至关关键一环,Hillstone山石网科山石网科勇于创新,企业SA系列安全网关和SR系列安全路由器产品,已经为网络安全领域树立了新安全网络产品质量水平标杆,在中国各大中小型企业及各高校中拥有了广大用户群体,并赢得了用户高度肯定。在网络时代今天,Hillstone山石网科山石网科愿和全部用户、合作伙伴一起,在探索和实践中国网络安全稳健友好发展新长征中,携手共赢! 一、广电网出口网络现实状况描述1项目背景广电网,通常是各地有线电视网络企业(台)负责建设运行。其职能类似于ISP,可向政府,企业,网吧或一般用户提供宽带接入。但广电自己没有
4、独立Internet接入出口。所以,广电会向电信,网通等ISP租用带宽,以后再经过光纤或HFC网向用户提供宽带接入服务,其职能类似于2级ISP。通常情况下,为了确保互联网访问服务质量,缓解中国存在南北两家ISP带来互联互通问题,广电采取同时租用多家ISP链路措施以保障INTERNET链路出口稳定性和访问质量。经过分析,广电网络中通常存在以下问题: 1)需要高性价比多链路负载均衡处理方案为了确保出口链路对互联网访问质量,广电会同时租用多家ISP链路以保障INTERNET链路出口稳定性和访问质量。通常情况下,广电最少租用电信和网通2大ISP链路,部分地域会深入接入联通,铁通和教育网链路。多链路接入
5、,扩充了带宽,但也给广电带来了新挑战多种出口链路流量负载分配问题。选择F5等负载均衡厂商产品来处理出口网络均衡问题是一个方法,但该类设备价格昂贵,处理性能不理想,且安全性较低。所以,广电迫切需要一性价比更高多链路负载均衡处理方案。2)日益增加业务访问量给防火墙带来巨大压力广电网从建立之初就考虑到了安全问题,采取防火墙设备做为广电网网络出口安全防护已经比较普遍。但广电网现有防火墙布署时间较早,通常全部是采取传统X86架构或ASIC架构。其网络性能往往不能继续支撑日益增加业务访问量。伴随跨网应用骤增,广电网网络环境基于X86或ASIC传统架构防火墙会造成网络传输延迟增大,部分防火墙设备已成为整个网
6、络传输瓶颈之一,严重影响整个广电网出口正常业务需求。为了满足网络连续发展需要,需要选择一款高性能、高吞吐、易于扩展性能和功效防火墙或安全网关。3)DDOS/DOS攻击抢占业务带宽伴随攻击技术不停提升,作为2级ISP,广电网内外均承受着巨大攻击压力,在广电提供线路中,充斥了多种DOS/DDOS攻击,在外网最常见有:l SYN-floodl UDP-floodl ICMP-floodl Winnukel Smurf/Fragglel 畸形报文l 报文分片攻击l IP异常选项攻击l 地址欺骗l 地址扫描l 端口扫描在广电内网,一样存在多种DDOS攻击。比如:l Arp欺骗攻击l Mac欺骗攻击l 流
7、量攫取l 地址欺骗l 地址扫描l 端口扫描传统防火墙并不含有内、外网防攻击手段及能力,在面临大范围病毒爆发或攻击发作时候其可靠性和可用性全部会大幅下降,其,严重时将造成设备宕机,甚至业务中止。4)新型应用带来带宽管理问题伴随网络技术飞速发展,局域网、广域网及互联网之间界限逐步消除,多种新型网络应用不停涌现。怎样有效利用现有带宽资源为信息科技部门带来了更多挑战,要做到保障在网络上应用通畅无阻同时,使得实时性要求很高应用含有更高优先级。现在广电网网络关键存在网络使用效率低问题,关键表现在:l 广电网用户“上网”体验效果不好网络出口带宽年年升级,但仍然不能满足用户日益增加需求,很多广电网用户全部长久
8、面临带宽烦恼:“上网速度慢”。用户上网体验效果差造成用户带宽拥塞根本原因是出口带宽永远低于桌面带宽需求量总和;但这并非意味着只有经过提升带宽才能够提升用户体验效果。大多数上网用户体验效果不好关键原因是因为Web网页打开慢、网上视频、语音质量差、网络游戏延迟大等问题造成。而这些应用带宽却被P2P软件产生流量占用。而网上视频、语音、网络游戏等应用实时性要求比P2P软件实时性要求高得多。所以,要提升用户上网体验,最好措施是给实时性要求高应用保留合理带宽。这么既能够保障上网用户体验效果,让网络带宽资源利用率合理化,最大化。l 无法实时地、直观地了解每个用户网络和应用在带宽上分配出口整体带宽几乎跑满了,
9、但到底是那个用户使用最多,那个服务使用最多,管理人员直接地实时地了解和掌握这些信息,就无法诊疗网络存在问题。所以,网络使用情况对管理人员是未知,怎样使这个未知网络使用情况变成透明,也是网络管理者关心问题。5)病毒防护能力差病毒防护对于每个用户来说全部不陌生,而且也基础全部在这一领域或多或少投入了精力,不过最终效果却全部不是很理想。现在用户对于病毒防护全部是采取主机防护方法,防病毒程序及病毒库全部运行在主机端,而主机端在作病毒防护同时,其本机安全却存在极大安全隐患甚至存在极大漏洞,这对于整体病毒防护效果来说无疑是很尴尬。病毒传输及发作全部有其特定周期性和规律性,在同一时期常常是同一类型病毒大规模
10、发作,而对于部分性能比较差主机在进行类似病毒查杀时候往往出现机器响应慢、操作延迟大甚至死机情况,根本无法进行正常病毒查杀工作。这个时候假如能够在网络层面对这些同一类型病毒进行统一查杀话,效果将是最优。6)对于应用无法有效管控网络中全部网络通讯全部是基于应用。而现在Internet上应用以几何倍数在增加,天天全部有大量新应用出现,怎样有效管控这些网络应用是广电网用户急需处理问题。内容过滤:企业网络资源是用来作业务支撑和业务拓展使用,而使用这些资源过程中必需进行内容控制以避免相关法律等问题。网页URL和网页内容关键字过滤能为用户处理相关问题。会话管理:企业内部每个IP地址全部会对网络资源创建一定数
11、量会话连接合理会话连接是企业所许可,但过大会话连接一样是对企业资源一个滥用,一样需要进行有效管控。7)网络需要愈加好冗余备份机制广电网多出口在整个网络中饰演着至关关键角色,广电网络内部用户依靠于多出口链路才能愈加好地和互联网做到充足连接,为了维护出口持久稳定,广电采取了多链路接入(多出口)处理方案。冗余技术是处理网络单点故障、维护网络连续稳定性最有效处理方案。广电网网络建设需要充足考虑冗余技术应用,尤其是网络关键节点,如网络接入端、网络关键层等等。8)更简单实用VPNVPN (Virtual Private Networks)在互联网应用中极为广泛,她是企业和政府安全扩展远程应用有效处理方案。
12、伴随企业规模扩大及业务发展需要,各分支机构之间、移动办公职员和企业之间和合作伙伴和企业之间VPN加密远程数据传输是广电网处理远程传输数据私密性、安全性和降低费用有效措施。而怎样简单、方便快捷维护某个企业VPN和降低企业VPN维护成本是广电网用户一样需要考虑。IPSec VPN:分支机构之间需要布署站点到站点IPSec VPN,采取网状架构或星形架构;合作伙伴和企业之间需要布署站点到站点IPSec VPN;SSL VPN:考虑到IT维护成本,远程移动办公职员和企业之间布署SSL VPN,能够快速、便捷进行VPN互联访问。冗余VPN:很多用户在总部全部会布署多条Internet链路,首先能够提供愈
13、加快上网速度,其次能够为远程站点提供多条冗余VPN接入,能够在多条VPN链路之间冗余切换,以大大提升VPN接入可靠性。灵活网络实时监控工具:在一个复杂网络环境中,有多少IPSec VPN连接,有多少SSL VPN连接,有多少攻击等等全部是网络管理员很关心问题,也是她们进行合理网络计划和有效网络管理可靠依据。甚至在一些极端环境下,网络管理员还很想定位网络中哪些IP地址占用了大部分带宽,哪些应用占用了挤占了企业关键应用等等。全部这些需求全部建立在灵活网络实时监控基础上,用户需要能够实时监控到网络中一举一动,这对于一个企业网络管理水平是至关关键一环。二、Hillstone山石网科广电网多链路安全方案
14、1网络安全设计基础标准1.1技术优异性和实用性标准网络安全方案中采取技术,需要含有一定前瞻性,符合一定时期内网络安全技术发展趋势,并在以后一定时期内处于领先地位。网络安全系统设计须遵照优异性和成熟性。因为IT行业技术更新换代很快,为了确保网络能够满足以后一段时间内应用发展,在选择网络安全技术和设备时不仅要考虑成熟性,也要考虑技术优异性,同时需要综合考虑接入业务特点等多方面原因。一个新技术在刚出现时往往伴伴随不稳定和不确定原因,需要有一个发展、逐步完善和实践检验过程,常常有部分技术在刚出现时被宣传和评价很高,但在一段时间后发觉存在很多问题,甚至很快退出市场。用户采取了这种技术,往往会因为设备厂商
15、转产停产等问题,无法对网络扩展升级,最终造成前期投资浪费。同时,一个基于新技术产品在刚上市时价格会较高,所以选择使用一个新技术最好时机应该是在这种技术在市场上已经得到较为广泛应用,而且在使用中得到肯定以后。即使这时技术可能已经不是最新技术,但技术已经成熟,设备性能价格比更高。所以选择网络技术和设备时,能够采取优异性和实用性相结合措施,并找出其中平衡点。1.2高可靠性标准因为网络对数据传输实时性要求,对网络传输步骤要求很高。所以要求选择网络安全设备含有相当高可靠性,要达成电信级标准,含有99.999%可用性。建设一个运行稳定可靠现代化网络系统,网络中任何一台安全设备或任何一条安全设备上线路发生故
16、障全部不会造成经过该安全设备互联两个网络无法通讯,所以,网络建设中选择网络设备和安全设备应能够确保在不影响网络正常运行情况下完成对网络故障检测和排除。1.3易于扩展和升级标准网络及数据通信技术发展速度快、新设备不停面世,新业务也将逐步运行在新数据网上,用户对带宽需求必将增加,需要将网络系统扩容,所以在网络设计时应充足考虑未来网络扩容和升级问题。伴随企业发展扩大,网络系统性能需要将不停提升,网络规模也会不停扩展,而隔离网络安全设备也一样需要扩容和升级。所以在设计网络时,要充足考虑到网络安全设备可扩展性,为了保护用户投资,设计应确保最少若干年内网络升级和扩展不需要更换关键网络安全设备,只经过增加部
17、分模块就能够很好地支撑网络性能和规模扩展,满足以后几年业务发展需要。1.4管理和维护方便性网络系统中全部安全设备均应是可管理,支持远程监控和对故障诊疗和恢复。可经过网管软件方便地监控网络运行实时情况,对出现问题立即处理和处理。2网络方案设计2.1广电多链路安全处理方案示意图2.2广电多链路安全方案描述总而言之,结合网络方案设计标准,经过分析广电网整个网络中问题,为了处理广电网络出口存在众多问题,我们提议采取Hillstone山石网科企业产品来实现我们处理方案。Hillstone山石网科SA 安全网关,采取创新多核处理器,和新一代ASIC技术。结合其专为安全设计StoneOS操作系统,从处理能力
18、、扩展能力、安全功效、冗余性和应用便利性等方面综合为用户考虑,提供了强大网络吞吐能力、众多安全功效和完备冗余备份机制,能够充足满足用户对网络安全性、稳定性和高性能需求。1、经过Hillstone山石网科产品提供多链路负载均衡功效Hillstone山石网科SA安全网关支持Outbound流量负载均衡。图所表示,在广电网出口,广电同时接入了多家ISP链路,我们需要一个高性价比Outbound流量负载均衡处理方案。传统负载均衡产品供给商,如F5,其产品采取是X86技术,价格昂贵,性能较差,且扩展能力低。Hillstone山石网科SA系列产品支持多链路Outbound流量负载均衡,并可针对每条链路建立
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Hillstone 广电 网络 安全 解决 专项 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。