Hillstone助力电信安全


长期以来,电信企业一直关系着国计民生,这注定了其对信息安全的高要求。高安全、高可靠、高性能,是电信安全领域的核心问题。

关注电信

新疆电信是中国电信股份有限公司的全资子公司,现有16个地市级电信分公司和83个县级分公司,主要经营新疆地区传统的IP语音业务和电信增值业务。近年来,随着Internet的高速发展,互联网接入服务逐渐成为新疆电信的重要业务。

但是,随着互联网接入服务的不断拓展,新疆电信网络安全的问题日趋严重,特别是针对域名服务器(DNS)的攻击一直困绕着用户。这时DNS担负着所有用户上网的域名解析功能,一旦受到攻击,会引发大面积用户上网异常。目前新疆电信域名服务器(DNS)主要面临以下两种攻击。

第一,针对DNS的拒绝服务攻击。

DNS主要功能是完成域名查询请求,目前虽然有缓存技术缓解了CPU压力,但仍然有大量的查询需要耗费CPU资源,如果一旦遭受针对DNS的拒绝服务攻击,出现大量的查询请求,就会出现DNS资源耗尽、提供服务出现异常的情况。

第二,针对DNS的端口攻击。

DNS作为服务的一种,需要对外提供服务,打开一些端口,这些端口很容易受到攻击。

但是DNS一直以来缺乏安全设备来对其进行保护,这是因为DNS具备查询时间短,并发连接会话数高,特别是新建会话连接数高的特点,尤其在高峰时间可达每秒10万次以上的会话数,传统的网络安全设备无法满足这样的需求。

应对之道

针对一直困绕新疆电信用户在DNS安全隐患,Hillstone提出了专业的解决方案。首先在DNS前面部署一台SA-5050高性能安全网关,分别对DNS的两条线路进行保护。接着将SA-5050配置成二层透明模式,无须改变现在的网络环境。针对拒绝服务攻击,开启SA-5050防护功能,有效抵御拒绝服务攻击;针对端口攻击,通过ALG功能过滤掉非法请求服务。

由于Hillstone安全网关部署在DNS服务器前,位置十分关键,因此对安全网关的性能要求非常高。Hillstone SA-5050采用多达16核的64位网络多核并行处理器,自主开发的专用安全芯片(ASIC)和内部高达48Gbps的交换总线,使得Hillstone SA-5050在性能上有了质的飞跃——TCP每秒新建连接20万个,具备强大的安全处理能力,并且能够避免传统的ASIC和NP安全系统会话创建能力和流量控制能力弱的弊病,为新疆电信DNS服务器提供强大的安全保障。

针对DNS拒绝服务攻击,Hillstone SA-5050通过配置源/目的IP地址发出SYN/ICMP包个数的警戒值,采取SYN Proxy/SYN Cookie策略,分析判断数据包的源地址和目标地址是否相同等方法识别拒绝服务攻击。针对端口攻击,Hillstone SA-5050通过判断指定时间内发往同一目标不同端口的TCP SYN包数识别扫描攻击,并采取相应的防护策略。

Hillstone SA-5050在新疆电信上线以后运行良好,给予DNS服务器很好的保护。新疆电信区级网络维护中心主任工程师苏安其表示:“总体上Hillstone SA-5050还是很不错的,能够支持非常大的每秒新建连接数,这个我们有非常深刻的印象。同时设备从上线到现在运行非常稳定,很好地保护了我们的DNS服务器。”