随着全球政治经济一体化趋势日益明显,政府管理服务职能的电子化、自动化、无纸化趋势日益明显,其中,电子政务的发展尤为迅速。在世界各国积极倡导的“信息高速公路”的五个应用领域中,“电子政务”被列为第一位,可以说,政府信息化是社会信息化的先导,电子政务是信息化社会发展的必然。
在我国,信息化建设也成为产业结构升级和工业化、现代化的关键环节,为了实现用信息技术改造和提升传统产业的任务,政府部门的信息化管理水平必须有更大的飞跃,电子政务的发展成为现代化进程中不可或缺的一环。近年来,在中央政府的大力倡导和推动下,我国电子政务已逐渐进入全面实施阶段。
某市信息中心作为该市电子政务网的中心节点,连接着众多的市级政府部门以及下属各县市区节点。该中心的外网边界主要用于内部用户的互联网访问、提供对外WEB服务、市内各局委办机构或市辖各县市区与下属各乡镇相关机构的互联,包括市级互联网边界以及各市局委办/县市区到各乡镇的接入边界。由于外网边界直接面临社会各界用户,使用环境复杂,面临的安全风险极大,尤其是近年来日益严重的分布式拒绝服务攻击(DDoS),更对网络的稳定运行造成了严重的隐患。从2000年以来,几乎每隔两年就有影响严重的大规模DDoS攻击事件发生,目前,“僵尸网络”越来越多地被用作敲诈工具,由大量“肉鸡”组成的“僵尸网络”,很容易就能达到很高的攻击流量,不仅使被攻击的服务器拒绝提供服务,并且大量占用网络带宽资源,使网络拥塞,造成网络丢包、时延增大,严重时还会导致网络不可用。因此,如何使该信息中心的外网边界免受DDOS攻击的危害,是一个亟需解决的重要问题。
联想网御根据多年对网络攻击和防护的深刻理解,凭借对网络处理器(NP)应用技术的研究积累,倾力打造了异常流量管理系统Leadsec-Guard。联想网御异常流量管理系统包括异常流量分析(Leadsec-Detector)和异常流量过滤(Leadsec-Guard)两个模块。Leadsec-Detector可对不同网络节点的流量进行实时关联分析,在定位异常流量发源地后通知Leadsec-Guard,Leadsec-Guard对异常流量完成牵引和过滤,系统通过Leadsec-Detector和Leadsec -Guard的协同工作,完成全网的流量分析、异常流量牵引、DDOS攻击过滤、P2P识别与控制、异常流量带宽限制等处理,帮助用户实时了解网络运行状况,及时发现网络中出现的问题并自动对异常行为做出响应,从而快速消除异常流量造成的危害。
Leadsec-Guard采用国际上领先的网络处理器,同时驱动32个硬件微引擎并行工作,通过自主创新的并行处理算法,可抵御300万pps的SYN flood攻击,大流量攻击下的新建连接成功率和原连接保持率显著高于同类产品,是目前唯一一款单机可防御2.5G大流量DDOS攻击的设备。通过联想网御独创的智能防护算法,Leadsec-Guard还能对攻击行为进行分析和自学习,动态形成攻击特征库,有效区分攻击流量和正常流量,可防护SYN flood、UDP flood、ICMP flood等二十多种攻击,保证正常流量不受影响;通过微码自主开发的协议栈,对网络应用进行深度检测,实现了对P2P协议的识别、阻断和限制。Leadsec-Detector基于标准的Netflow技术,采集并分析Netflow流量信息,一旦检测到异常数据流,就会发出警告信息。Leadsec-Detector采用分布式采集、分散式处理和集中管理机制,通过基线检测和异常行为检测算法,可实时进行全网关联的流量分析。
该信息中心的网络共有3个互联网出口,分别是网通出口、电信出口和中科院网络出口,每个网络出口的带宽为1Gbps。为了防御来自互联网的DDOS攻击,该中心在3个出口处均旁路部署了1台联想网御Leadsec-Guard和1台Leadsec-Detector设备。通过对出口路由器进行配置,路由器可通过Netflow协议将流量采样数据发送给Leadsec-Detector,Leadsec-Detector在发现攻击流量后告知Leadsec-Guard,Leadsec-Guard将攻击流量牵引到Leadsec-Guard上并进行攻击流量过滤,从而完全消除了DDOS攻击。
通过部署联想网御异常流量管理系统,该市信息中心Web服务器、邮件服务器、数据库服务器等等重要服务器均受到了良好保护,当受到来自外部互联网的恶意攻击时,服务器仍然能正常工作,对外响应速度也不受影响。同时,该信息中心的三个网络出口均保持了通畅,在受到大规模DDOS攻击时,攻击流量将被自动过滤掉,而正常的通信访问则能够继续进行,没有因DDOS攻击而出现通信受阻的情况,从而充分保障了电子政务网络中各种业务的顺利进行。
某市信息中心联想网御异常流量管理系统应用方案
责任编辑:董建伟
