RadWare浙江移动DOS防护入侵解决方案

浙江移动高性能DOS防护/入侵防范解决方案中国移动浙江公司业务支撑网安全系统一期和二期工程共使用了13台DP3020设备客户项目背景和需求分析众所周知，防火墙可以按照事先设定的策略来阻断定义下的各类已知病毒攻击；IDS则可以实现通过对异常流量的事实监控分析来报警预告。然而随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，在一定程度上已经无法有效应对一些突变异常的安全威胁。而且，恶意蠕虫可能会引发大量DOS/DDOS攻击，造成网络瘫痪，因此需要进一步采用具备更高性能，可实现自动阻断攻击数据流量的IPS入侵防御监测系统以获得可靠的安全保障。中国移动浙江公司自2003年开始筹建业务支撑网安全系统一期工程，并于2006年初步完成该项工程的建设。以此维护起业务支撑BOSS、经营分析、客服、OA、MIS等相关系统运行的可靠性、安全性和准确性，极大地保障了整个中国移动浙江公司业务支撑系统的正常运行。针对安全系统建设具有其自身延续性、不断完善性等特点，中国移动浙江公司业务支撑网安全系统一期工程分两个阶段实施。第一阶段建设范围包括三个省中心DCN节点——学院路机房、朝晖机房、环北枢纽楼机房，各地市接入，以及省中心与地市连接部分，涉及的系统有：BOSS、OA、MIS、经营分析和客服系统；第二阶段以环北枢纽楼、萧山枢纽楼节点机房为建设主要对象，优化并加强全省业务支撑系统安全防范。经过中国移动浙江公司业务支撑网络安全系统一期工程的建设，目前省中心DCN网络与CMnet/IDC/渠道代销等系统接口间部署有IDS入侵监测防御设备。基本保护了来自多方面网络的攻击流量以及异常流量，保证后台BOSS、OA、MIS、经营分析等关键系统的稳定运行和性能。为此根据中国移动业务支撑系统安全技术规范要求，急需在BOSS系统核心数据库、应用服务器网段部署入侵检测防御设备。另外，鉴于萧山枢纽楼至今基本未部署任何安全防护设备，本期工程也考虑在其增加入侵防御设备。由此统计需要新增八台入侵监测防御部署设备分布于环北枢纽楼、学院路机房、萧山枢纽楼、新增机房核心层骨干网络设备与其连接防火墙之间，每个中心各两台，累计需8台。Radware方案根据中国移动业务支撑系统安全技术规范的要求，中国移动浙江公司业务支撑网络安全系统一期和二期工程建设包括如下：一期工程在省中心DCN网络与CMnet/IDC/渠道代销等系统接口间部署有IDS入侵监测防御设备。基本保护了来自多方面网络的攻击流量以及异常流量，保证后台BOSS、OA、MIS、经营分析等关键系统的稳定运行和性能。二期工程在BOSS系统核心数据库、应用服务器网段部署入侵检测防御设备，在各核心节点骨干网络设备与其连接防火墙之间部署入侵检测防御设备；一期工程和二期工程共部署了13台RadwareDP3020设备；部署网络拓扑部署RadwareDefensePro前的网络结构如下环北枢纽楼学院路机房RPRBOSS服务器BOSS服务器OA服务器上塘二期机房4xFE4xFE萧山机房BOSS服务器客服服务器新增IPS入侵防御设备DP攻击防范功能简介针对浙江省移动的关键应用系统，DefensePro解决方案包括三个主要模块，它们协同工作来抵御威胁运营商关键应用的各种类型的网络攻击。Radware解决方案包括三个主要模块，它们协同工作来抵御威胁运营商关键应用的各种类型的网络攻击。·DoSShield模块通过扫描流量中的攻击特征来查出和防范已知攻击工具产生的Flood攻击。它能够精确地阻止某些广为流传的工具产生的TCP、UDP和ICMPFlood攻击，例如Juno。·Radware'sB-DoS能够非常有效的抑制以下已知和未知的攻击：SYNFloodTCPFloods(Ack,Psh+Ack,Fin+Ack,Rstfloods)UDPFloodsDNSfloods(基于UDP53端口)UDPFlood和ICMP反向散射(unreachable信息)ICMPFloodsIGMPFloodsZero-Day高速自我繁殖蠕虫(SQLSlammer,Blaster,Welchia,等)·为了确保DoSShield和BehavioralDoS模块不会遗漏任何攻击并危害运营商的CleanLink，Radware还提供另一道防护屏障。通过对比Top-N威胁，DefensePro阻止攻击数据包来建立最后一道屏障。Top-N威胁罗列一系列会对网络造成严重破坏的应用层攻击，通常包括在Internet上近期出现和爆发的滥用带宽资源的攻击，NetSky,、Bagle、Mytob、Blackmal、Sober等蠕虫以及它们的变种都在其中。