Hillstone广电网络安全解决方案

Hillstone广电网络安全解决方案

Inc、“山石网科”创建于xx年，是网络安全领域的代表企业之一，公司总部位于中国北京，并在美国硅谷设有研发中心。Hillstone山石网科山石网科积累了多年网络安全产品研发和市场运作经验，专注于信息安全，是专业的新一代安全网络设备提供商。目前，Hillstone山石网科山石网科拥有员工150余人，其中博士、硕士占30%以上。公司创始人均是国际安全业界的专家，包括Netscreen 早期创始团队成员。公司的核心团队由来自NetScreen、Cisco、Juniper、Fortinet和H3C等中外著名企业的精英组成，具备先进的技术经验和丰富的企业管理经验。公司设有系统架构部、系统运营部、软件系统部、市场部、渠道销售部、售前售后技术部等部门，并且已经通过投资、控股和合作等形式，在亚太区形成了良性发展的产业和营销体系。自成立以来，Hillstone山石网科山石网科就以“贴近市场，贴近客户，快速把握并满足客户需求”为己任，用产品和方案来帮助客户获得网络安全，从而实现自身的企业价值。Hillstone山石网科山石网科凭借其独特的服务精神和强大的技术实力，以国际一流的技术打造适合中国本土化应用需求的高性能产品，并提供高性价比的新一代网络安全整体解决方案，服务于中国高速发展的网络市场。作为产业链中至关重要的一环，Hillstone 山石网科山石网科勇于创新，公司的SA系列安全网关和SR系列安全路由器产品，已经为网络安全领域树立了新的安全网络产品质量水平标杆，在国内各大中小型企业及各高校中拥有了广大的客户群体，并赢得了用户的高度肯定。在网络时代的今天，Hillstone山石网科山石网科愿与所有客户、合作伙伴一起，在探索与实践中国网络安全稳健和谐发展的新长征中，携手共赢！

一、广电网出口网络现状描述1项目背景广电网，通常是各地有线电视网络公司（台）负责建设运营的。其职能类似于ISP，可向政府，企业，网吧或普通用户提供宽带接入。但广电自己没有独立的Internet接入出口。所以，广电会向电信，网通等ISP租用带宽，而后再通过光纤或HFC网向用户提供宽带接入服务，其职能类似于2级ISP。通常情况下，为了保证互联网访问的服务质量，缓解中国存在的南北两家ISP带来的互联互通问题，广电采用同时租用多家ISP链路的办法以保障INTERNET链路出口的稳定性和访问质量。通过分析，广电网络中通常存在如下问题：1）需要高性价比的多链路负载均衡解决方案为了保证出口链

路对互联网访问的质量，广电会同时租用多家ISP的链路以保障INTERNET链路出口的稳定性和访问质量。通常情况下，广电至少租用电信和网通2大ISP的链路，部分地区会进一步接入联通，铁通和教育网的链路。多链路的接入，扩充了带宽，但也给广电带来了新的挑战－各种出口链路的流量负载分配的问题。选择F5等负载均衡厂商产品来解决出口网络的均衡问题是一种方法，但该类设备的价格昂贵，处理性能不理想，且安全性较低。所以，广电迫切需要一性价比更高的多链路负载均衡的解决方案。2）日益增长的业务访问量给防火墙带来巨大压力广电网从建立之初就考虑到了安全问题，采用防火墙设备做为广电网网络出口安全防护已经比较普遍。但广电网现有的防火墙部署时间较早，一般都是采用传统的X86架构或ASIC架构。其网络性能往往不能继续支撑日益增长的业务访问量。随着跨网应用的骤增，广电网网络环境基于X86或者ASIC的传统架构的防火墙会导致网络传输延迟增大，部分的防火墙设备已成为整个网络传输的瓶颈之一，严重影响整个广电网出口的正常业务需求。为了满足网络持续发展的需要，需要选择一款高性能、高吞吐、易于扩展性能和功能的防火墙或者安全网关。3）DDOS/DOS攻击抢占业务带宽随着攻击技术不断提高，作为2级ISP，的广电网内外均承受着巨大的攻击压力，在广电的提供的线路中，充斥了各种DOS/DDOS的攻击,在外网最常见的有：l SYN-floodl UDP-floodl ICMP-floodl Winnukel Smurf/Fragglel 畸形报文l 报文分片攻击l IP异常选项攻击l 地址欺骗l 地址扫描l 端口扫描在广电内网，同样存在各种DDOS攻击。例如：l Arp欺骗攻击l Mac欺骗攻击l 流量攫取l 地址欺骗l 地址扫描l 端口扫描传统的防火墙并不具备内、外网防攻击手段及能力，在面临大范围病毒爆发或攻击发作的时候其可靠性和可用性都会大幅下降，其，严重时将导致设备宕机，甚至业务中断。4）新型应用带来的带宽管理问题随着网络技术的飞速发展，局域网、广域网及互联网之间的界限逐渐消除，各种新型的网络应用不断涌现。。如何有效利用现有带宽资源为信息科技部门带来了更多挑战，要做到保障在网络上应用畅通无阻的同时，使得实时性要求很高的应用具备更高的优先级。目前广电网网络主要存在网络使用效率低的问题，主要表现在：l 广电网的用户“上网”的体验效果不好网络出口带宽年年升级，但仍然不能满足用户日益增长的需求，很多广电网用户都长期面临带宽的烦恼：“上网速度慢”。用户的上网体验效果差造成用户带宽

拥塞的根本原因是出口带宽永远低于桌面带宽需求量总和；但这并非意味着只有通过提升带宽才能够提升用户体验效果。大多数上网用户体验效果不好主要原因是因为Web网页打开慢、网上视频、语音质量差、网络游戏延迟大等问题造成的。而这些应用的带宽却被P2P软件产生的流量占用。而网上视频、语音、网络游戏等应用的实时性要求比P2P软件实时性要求高得多。所以，要提升用户上网体验，最好的办法是给实时性要求高的应用保留合理的带宽。这样既能够保障上网用户的体验效果，让网络带宽资源的利用率合理化，最大化。l 无法实时地、直观地了解每个用户网络以及应用在带宽上的分配出口的整体带宽几乎跑满了，但到底是那个用户使用的最多，那个服务使用的最多，管理人员直接地实时地了解和掌握这些信息，就无法诊断网络存在的问题。因此，网络的使用情况对管理人员是未知的，如何使这个未知的网络使用情况变成透明的，也是网络管理者关心的问题。5）病毒防护能力差病毒防护对于每个用户来说都不陌生，并且也基本都在这一领域或多或少的投入了精力，但是最终效果却都不是很理想。目前用户对于病毒的防护都是采用主机防护的方式，防病毒程序及病毒库都运行在主机端，而主机端在作病毒防护的同时，其本机安全却存在极大的安全隐患甚至存在极大的漏洞，这对于整体的病毒防护效果来说无疑是非常尴尬的。病毒的传播及发作都有其特定的周期性和规律性，在同一时期常常是同一类型的病毒大规模发作，而对于一些性能比较差的主机在进行类似病毒查杀的时候往往出现机器响应慢、操作延迟大甚至死机的情况，根本无法进行正常的病毒查杀工作。这个时候如果能够在网络层面对这些同一类型的病毒进行统一查杀的话，效果将是最优的。6）对于应用无法有效管控网络中所有的网络通讯都是基于应用的。而目前Internet上的应用以几何倍数在增长，每天都有大量新应用出现，如何有效管控这些网络应用是广电网用户急需解决的问题。内容过滤：企业的网络资源是用来作业务支撑和业务拓展使用的，而使用这些资源的过程中必须进行内容的控制以避免相关的法律等问题。网页URL和网页内容的关键字过滤能为用户解决相关问题。会话管理：企业内部每个IP地址都会对网络资源创建一定数量的会话连接合理的会话连接是企业所允许的，但过大的会话连接同样是对企业资源的一种滥用，同样需要进行有效管控。7）网络需要更好的冗余备份机制广电网的多出口在整个网络中扮演着至关重要的角色，广电网络内部用户依托于多出口链路才