| Hillstone宽带运营行业安全解决方案 |
| 应用Hillstone助力宽带运营商网络安全管控 |
| |
|
|
| |
|
| 一、概述 |
随着信息技术发展和互联网的日益普及,家庭上网已成为普遍趋势,无论是用于工作、娱乐,或是远程教学、多媒体通讯,对于有电脑的家庭,互联网络接入已必不可少。目前小区宽带接入方式一般有两种:XDSL的虚拟拨号接入和以太网接入,其中以太网接入方式以其更快的速度、即插即用的便捷及独立的接入方式,更加赢得消费者欢迎,近年来智能小区飞速发展,铺设局域网或利用电力线,通过共享的方式提供互联网接入服务日益普及。
智能小区宽带接入服务的提供商一般为拥有互联网接入资质的企业,其盈利方式为用户缴纳上网费用的总和,减去固定的ISP接入费、网络设备成本和维护成本。因此减少设备投入成本和维护成本,提高网络服务质量,吸引更多用户,则可以为企业赢得更多的利润。 |
|
| 二、需求分析 |
 |
分布接入管理不便:服务提供商为了降低投入成本,在前期组网和发展用户阶段,采用设备多为传统的路由器作为共享宽带的主要设备,下连交换机或HUB,分布到每栋楼或每个居民区。随着用户数的增加,在前期投入的设备无法满足网络需求时,普遍做法是再投入一台路由器来分担接入任务。当网络扩大到一定规模时,若干个路由器若干条线路将不断增加运营维护成本,网络出现故障难以定位。
网络失控造成用户不满:随着互联网应用的日趋多样,在线视频、多线程下载工具使网络流量暴增,有些用户甚至每天24小时开机在下载影片、软件等,给互联网出口造成极大负担,由于出口带宽被占满,也使得其他用户无法正常上网。管理员无法找到和控制那些过多占用带宽的行为,也无法保障用户正常上网,久而久之将影响整个网络的服务质量,导致用户流失。
安全威胁网络:人们往往认为小区宽带没有重要信息而无需安全防护,而当网络内部频繁出现DDoS、ARP欺骗等异常流量,使网络延迟增大甚至频繁断网时,管理员则已束手无策,因为普通的路由器只提供接入能力无法解决安全问题,而专业防火墙的高昂价格和命令行配置则更让其望洋兴叹。用户电脑水平的参差不齐,也使管理难度远大于企业网络。 |
|
| 三、Hillstone宽带运营解决方案 |
为帮助服务提供商解决以上问题,Hillstone推出SR530/550安全路由器 解决方案。它由三个千兆WAN口(支持PPPoE、动态地址、静态地址等方式)和24个千兆LAN口(SR550)组成。
WAN口负载均衡功能:Hillstone SR系列安全路由器内置的三个千兆WAN口,支持多条链路之间的负载均衡、链路备援和策略路由等功能。
负载均衡——通过链路阀值,对多条链路的负载进行分担。当小区接入的链路在两条或以上时,即可通过此功能让两条链路都有效利用,平衡分担流量。
链路备援——为保障网络接入的高可用性,接入商可使用XDSL或其他链路作为备援使用。当ISP提供的主链路遇到意外中断时,备份链路会自动连接,这样既为用户提供了不间断的宽带接入,又大大简化管理维护工作。
策略路由——我国互联网接入服务提供商以电信和网通为主,同提供商内访问速度快,而跨提供商之间则较慢。对于广大网游用户来说,优选提供商可减少网络延迟和游戏卡的现象。
|
 |
统一网关,以一当十的解决方案:Hillstone SR550系列安全路由器采用网络多核处理器和专用64位安全系统,超强处理能力带来高达1500+的带机量(普通路由器仅有100~200台的带机量);3个千兆WAN口和24个千兆交换LAN口为提供商提供充裕的扩展性,而减少网络设备的级联层次可大幅降低维护工作量;软件版本定期更新,只需增购Licenses无需更换硬件就能拥有例如URL关键字过滤、防病毒、入侵防御、内网安全管理等功能,充分保护投资。
轻松管控网络流量:Hillstone SR系列安全路由器可实时监控网络流量、限制IP流量和并发连接数,使管理员对网络状况一目了然。管理员无需具备专业能力,只需通过设备Web管理页面,即可查看到当前占用带宽最多的10个IP地址,在每个地址的右侧均有按钮,可快速对该地址一键阻断五分钟或更长作为惩罚。同时可对某IP地址段的带宽进行限制,比如某小区宽带Internet接入链路为100M,内接1000个用户,为防止某些用户BT下载将整个网络带宽占满,保障所有用户正常上网,这里可设定策略:当网络总带宽占用率超过阀值(例如75%)时,每IP上传<512K,下载<1M的限制策略自动生效,这样可有效抑制占带宽过多的地址,保障服务质量。同样,为抑制异常流量,可限定每IP最多并发连接数在1000以下,参考数据为:正常聊天50以内、浏览网页200以内、P2P下载1000以内,而染毒或发动攻击的主机并发连接则可能到几千甚至上万个。Hillstone独有的分区管理技术,可将设备的24个LAN口划到LAN1/LAN2/LAN3/LAN4四个不同的LAN区中,并应用不同的策略。为了满足不同用户的需要,小区宽带服务提供商可增加VIP用户,给予更高的安全防护和更大的带宽,使用Hillstone SR系列设备,只需在LAN2中设置例如每IP上传<1M,下载<2M的策略,然后将VIP用户挂接到LAN2相应的端口即可。
专业防火墙+多功能路由器:Hillstone SR系列安全路由器采用专业防火墙内核,强大的安全防护能力和图形化简易操作界面,使非专业用户也能轻松配置。ARP学习和自动绑定功能可解决困扰管理员已久的ARP病毒攻击,绑定列表可导入导出,方便备份和修改。Hillstone SR系列对源自内网的攻击同样有极强的防御能力,曾有用户做如下测试,当使用普通路由器代理上网时,一台安装UDP攻击器的客户端将目标指向该设备,其威力足以让网络延迟从<1ms增加到200ms以上,而两台这样的客户端即可让网络中断,所有客户端无法连接互联网,当试用Hillstone SR系列安全路由器后用户欣喜的发现,在简单勾选安全防护后使用多台客户端同时攻击都没有对设备构成威胁,其余客户端能够正常上网,在设备安全日志中对每一个攻击源的IP、攻击手段和攻击时间等均有详细记录,便于管理员查找源头。 |
