Hillstone电信安全解决方案

    新疆电信是中国电信股份有限公司的全资子公司，现有16个地市级电信分公司和83个县级分公司，主要经营新疆地区传统的IP语音业务和电信增值业务。近年来，随着Internet的高速发展，互联网接入服务逐渐成为新疆电信的重要业务。

    但是，随着互联网接入服务的不断拓展，新疆电信网络安全的问题日趋严重，特别是针对域名服务器（DNS）的攻击一直困绕着用户，这是DNS担负着所有用户上网的域名解析功能，一旦受到攻击，会引发大面积用户上网异常，目前新疆电信域名服务器（DNS），主要面临以下两种攻击：

    一、针对DNS的拒绝服务攻击

    DNS主要功能是完成域名查询请求，目前虽然有缓存技术缓解CPU压力，但仍然有大量的查询需要耗费CPU资源，如果一旦遭受针对DNS的拒绝服务攻击，出现大量的查询请求，就会出现DNS资源耗尽、提供服务出现异常的情况。

    二、针对DNS的端口攻击

    DNS作为服务的一种，需要对外提供服务，打开一些端口，这些端口很容易受到攻击。

    但是DNS一直以来缺乏安全设备来对其进行保护，这是因为DNS具备查询时间短，并发连接会话数高，特别是新建会话连接数高的特点，尤其在高峰时间可达每秒10万次以上的会话数，传统的网络安全设备无法满足这样的需求。

    针对一直困绕新疆电信用户在DNS安全隐患，Hillstone提出了专业的解决方案，如图1所示：

    图1.新疆电信Hillstone安全解决方案拓扑图

    首先在DNS前面部署一台SA-5050高性能安全网关，分别对DNS的两条线路进行保护，接着将SA-5050配置成二层透明模式，无需改变现在的网络环境。针对拒绝服务攻击，开启SA-5050 防护功能，有效抵御拒绝服务攻击；针对端口攻击，通过ALG功能过滤掉非法请求服务。

    由于Hillstone安全网关部署在DNS服务器前，位置十分关键，因此对安全网关的性能要求非常高。Hillstone SA-5050采用多达16核的64位网络多核并行处理器，自主开发的专用安全芯片(ASIC)和内部高达48Gbps的交换总线，使的Hillstone SA-5050在性能上有了质的飞跃——TCP每秒新建连接20万，具备强大的安全处理能力，并且能够避免传统的ASIC和NP安全系统会话创建能力和流量控制能力弱的弊病，为新疆电信DNS服务器提供强大的安全保障。

    Hillstone SA-5050在新疆电信上线以后运行良好，给予DNS服务器很好的保护，新疆电信区级网络维护中心主任工程师苏安其先生对stone SA-5050评价如下：“…总体上山石的设备还是很不错的，能够支持非常大的每秒新建连接数，这个我们有非常深刻的印象，同时设备从上线到现在运行非常稳定，很好的保护了我们的DNS服务器…”