概述
本方案通过在移动互联网接入侧部署Hillstone下一代防火墙,通过网络地址转换(NAT)功能帮助移动运营商解决地址资源不足的问题。同时,进行网络攻击防护和用户上网日志审计,保障移动数据业务稳定运营和满足监管要求,具体可实现:
私网用户通过NAT方式高速访问互联网;
● 防护来自Internet的DDoS等网络攻击;
● 记录用户NAT、即时消息(IM)、URL等上网行为日志
1、安全需求
随着移动运营商加强移动互联网建设,实行全业务发展的营销策略,智能手机、平板电脑等配备无线网卡的智能终端呈现普及化,IPTV、网络游戏、网络社交、手机支付、手机IM等各类型的互联网应用呈爆炸性发展态势。网络、终端、应用的高速发展,使得移动互联网的用户数和流量带宽都在持续高速增长,移动运营商亟需解决如下网络安全问题:
地址资源日益紧张,不能满足用户增长的速度;
● 日益猖獗的网络攻击严重影响网络的稳定运营;
● 为满足工信部监管要求,需要具有用户上网日志审计的能力
2、解决方案
在移动互联网接入侧,Hillstone下一代防火墙作为综合承载网元设备,旁挂在CE上,发挥如下作用:
支持海量接入访问:高性能的设备,以及独有的端口复用功能,可满足省级移动运营商的百万级移动互联网用户,通过私网地址复用访问移动运营商的移动业务平台(如 WAP等),以及私网用户通过NAT方式访问互联网带来的性能要求;
● 确保稳定运营:强大的网络攻击防御,可对移动运营商移动业务平台及用户提供相应的安全防护功能, 确保移动互联网的稳定运营;
● 满足监管要求:Hillstone下一代防火墙可对省级移动运营商移动互联网平台的接入访问进行有效记录,包括NAT日志、IM上下线日志和URL日志,满足安全事件溯源的监管要求。配合Hillstone高性能安全审计平台,可实现海量日志的记录,满足保存不少于90天日志的监管要求。
3、方案效果
● 高性能高可靠
Hillstone下一代防火墙设备内部采用全并行冗余多核、主控冗余架构设计保障设备自身的高可靠性最高端设备,吞吐量最大可支持100Gbps吞吐,以及6000万并发,同时能满足百万级别的用户进行NAT地址转换和进行移动业务平台、互联网业务的访问;Hillstone下一代防火墙以双机热备模式旁挂部署在CE上,提供会话级别的状态同步机制,防止业务系统单点故障,保证了网络的高可靠性。
● 运营级的NAT技术
Hillstone下一代防火墙支持Full cone NAT、NAT444特性,提高NAT地址/端口的使用率,实现内外部接入用户的互访。Hillstone NAT技术机制透明性强, 支持多种相应的ALG功能,包括FTP, SIP、PPTP、RTSP、HTTP等主要应用协议及P2P类应用,支持电子商务,网银,即时消息类等应用的穿透(Sticky NAT) , 支持IPSec的 NAT穿越,保障运营商VPN业务的正常运营。
Hillstone下一代防火墙独有的端口复用技术,将单一IPv4地址可NAT的并发容量提升了至少16倍,使运营商有限IPv4地址资源得到更有效的利用。
在运营商IPv4地址资源紧缺及而IPv6还没正式商用的阶段,成熟的运营级NAT技术方案能快速部署保障运营商业务高速拓展的需求
● 基础网络安全防护
Hillstone下一代防火墙同时启用了网络攻击防护功能,可以有效对抗来自互联网的DoS/DDoS攻击行为,并过滤各类畸形报文攻击;同时Hillstone下一代防火墙支持深度应用识别技术,在此基础上对网络及客户提供附加的安全防护功能,能有效识别出非法URL、网络攻击,保障移动运营商网络及业务的正常运营。
● 应对监管要求的高性能日志检索
Hillstonet安全审计平台集中收集日志,内容包含NAT日志、IM上下线日志和URL日志,其入库性能最高可达100,000EPS;Hillstone安全审计平台提供高速日志检索功能,平均检索时间小于20秒,为移动运营商运维人员提供了一个高效的日志审计平台。
● 部署方案扩展性灵活,适应快速增长的接入业务
Hillstone下一代防火墙采用接口与业务板卡分离的技术机制,当业务扩展时只需通过增加相应的业务板卡来实现,满足业务的发展,具备灵活的扩展性,能平滑扩展到100G吞吐量及6000万并发连接的需求,满足百万级用户节点的业务需求。
● 应用QoS、安全防护等附加的增值功能
Hillstone下一代防火墙,还可以提供丰富的应用识别、应用QoS及网络安全防御功能。Hillstone下一代防火墙基于角色的深度应用识别技术,可对不同用户的不同应用在特定时间进行不同的应用QoS控制,同时也能对日常的网络恶意代码及非法内容进行识别、过滤,保障业务网的安全运营。