电信骨干网DDoS攻击防护解决方案-通信解决方案.doc
电信骨干网 DDoS 攻击防护解决方案 -通信解决方案 近年来,电信数据业务迎来飞速发展,作为经济大省,某省近年来电信数据业务发展迅速,宽带数据业务用户快速增长。然而,伴随着用户数量的增长,电信网络安全问题也频繁发生,其中 DDoS 攻击情况尤为严重。 该省电信运营商对 2006 年 7 月到 12 月的网络安全事件统计后发现,几个经常受到网络攻击的地市,每月平均受到的网络攻击多达 10次以上, 2006年 9月,某地市 IDC 受到严重 DDoS 攻击,攻击流量达到 22G,造成城域网、 IDC 全阻 15分钟,对业务造成严重的影响。尝试了多种解决办法,仍然无法从根本上解决问题。 在这种情况下,该省电信迫切需要引入专业安全合作伙伴,建立一整套抵御DDoS 流量攻击的系统。为此,省电信研究院对众多安全厂家的异常流量过滤设备进行了评测对比,联想网御的异常流量过滤设备在众多厂家比拼中脱 颖而出,性能和功能卓越。同时,联想网御异常流量管理系统在多个省市电信行业的成功应用也获得信息化主管领导的认可,经过多次深入的技术交流,该省电信最终确定了联想网御作为抵御 DDoS 流量攻击系统建设的合作伙伴。 结合该省电信的安全需求和现网建设情况,充分考虑宽带互联网络高带宽、大流量、要求可靠性高的网络特点,联想网御的技术专家为电信运营商量身定制了异常流量清洗方案:结合电信 IDC 客户遭受的 DDoS 攻击情况和僵尸网络发动攻击的特点,技术专家分析认为攻击流量主要来自国外和国内其他运营商网络,另有少部分来自省网内 部。因此,系统建设先期在省干出口位置集中式部署,重点防范经由省干入口向地市城域网的攻击。考虑到省干出口链路带宽大,网络位置十分关键。联想网御又为用户设计、采取了目标保护策略 —— 根据需要可以灵活地定义要保护的目标 IP 地址或者目标 IP 网段,进行重点检测分析和过滤攻击流量,实现了较强的针对性,同时有效节省了建设投资,同时,根据该省电信用户的网络使用特点,设计采用了 8 台设备集群旁路部署方式(如图所示),大流量攻击处理能力达到 16G,轻松满足了 15G 大流量攻击处理能力的设计要求,避免了改变正常网络流量的网络路径,同时 保证了网络的高可靠性。 某省电信运营商骨干网联想网御异常流量管理系统应用方案 联想网御在用户网络中同时部署流量检测分析设备和异常流量过滤系统,组成一套