文档介绍:: .
电信骨干网DDoS攻击防护解决方案
近年来,电信数据业务迎来飞速发展,作为经济大省,某省近年来电信数据业务发展迅速,宽带数据业务 用户快速增长。然而,伴随着用户数量的增长,电信网络安全问题也频繁发生,其中 DDoS攻击情况尤为
严重。
该省电信运营商对2006年7月到12月的网络安全事件统计后发现,几个经常受到网络攻击的地市,每月 平均受到的网络攻击多达 10次以上,2006年9月,某地市IDC受到严重DDoS攻击,攻击流量达到22G, 造成城域网、IDC全阻15分钟,对业务造成严重的影响。尝试了多种解决办法,仍然无法从根本上解决问 题。
在这种情况下,该省电信迫切需要引入专业安全合作伙伴, 建立一整套抵御 DDoS流量攻击的系统。为此,
省电信研究院对众多安全厂家的异常流量过滤设备进行了评测对比,联想网御的异常流量过滤设备在众多 厂家比拼中脱颖而岀,性能和功能卓越。同时,联想网御异常流量管理系统在多个省市电信行业的成功应 用也获得信息化主管领导的认可,经过多次深入的技术交流,该省电信最终确定了联想网御作为抵御 DDoS
流量攻击系统建设的合作伙伴。
结合该省电信的安全需求和现网建设情况,充分考虑宽带互联网络高带宽、大流量、要求可靠性高的网络 特点,联想网御的技术专家为电信运营商量身定制了异常流量清洗方案:结合电信 IDC客户遭受的DDoS
攻击情况和僵尸网络发动攻击的特点,技术专家分析认为攻击流量主要来自国外和国内其他运营商网络, 另有少部分来自省网内部。因此,系统建设先期在省干出口位置集中式部署,重点防范经由省干入口向地 市城域网的攻击。考虑到省干岀口链路带宽大,网络位置十分关键。联想网御又为用户设计、采取了目标 保护策略一一根据需要可以灵活地定义要保护的目标 IP地址或者目标IP网段,进行重点检测分析和过滤
攻击流量,实现了较强的针对性,同时有效节省了建设投资,同时,根据该省电信用户的网络使用特点, 设计采用了 8台设备集群旁路部署方式(如图所示),大流量攻击处理能力达到 16G,轻松满足了 15G大流
量攻击处理能力的设计要求,避免了改变正常网络流量的网络路径,同时保证了网络的高可靠性。
某省电信运营商骨干网联想网御异常流量管理系统应用方案 联想网御在用户网络中同时部署流量检测分析设备和异常流量过滤系统,组成一套完整的异常流量管理系
统。由流量检测分析设备(Leadsec-Detector)进行采样分析,对流经