需求背景

某省电信有限公司是中国电信股份有限公司的全资子公司，具有独立的法人资格，公司下辖 9个州地市分公司，38个县电信局，职工三千人。公司负责运营该省内的国内固定电信网络与设施（含本地无线环路）业务；基于固定电信网络的话音、数据、图像及多媒体通信与信息服务等，是该省通信行业的排头兵。

该电信在2007年开展了整个IT系统的安全改造项目，其中办公系统互联网边界统一出口安全网关改造和互连服务区的入侵防御是其中的重要组成部分。用户计划升级其内部办公网与互联网之间的安全网关，希望该网关具备病毒过滤、外联控制功能，以确保内部用户得到更好的安全保护，同时通过安全网关的外联控制功能封堵P2P类型的网络滥用。由于全省电信的办公网用户均通过该出口进行互联网访问，因此在要求安全网关产品在具备更全面安全功能的同时，对性能也提出了较高要求。

同时，作为承载重要的业务应用及数据的互联服务区，面临着利用SQL注入漏洞进行攻击和黑客工具的攻击，由于这些攻击具有更新速度快、变种数量多的特点，传统的安全手段无法实现对这类深层攻击行为的防御，亟需能够精确阻断的设备来抵御这些威胁。为了防御来自互联网的针对业务应用的入侵和攻击，该电信公司计划在互联网服务区部署入侵防御产品，以应对越来越多的SQL注入、跨站脚本等深层攻击，保证正常的对外业务运行。

解决方案

如图，在省电信统一互联网出口处部署两台天清汉马一体化安全网关，两台设备同时开启防火墙、防病毒、外联控制功能。同时根据电信行业对高可用性的要求，两台设备之间形成相互备份的关系，通过心跳线，自动实时同步连接状态及配置信息。

在互联服务域的服务器前，分别部署了两台天清入侵防御系统，通过有效的入侵防御策略精确检测和阻断来自互联网上的SQL注入、跨站脚本等深层攻击，从而重点针对Web业务等应用实施深层保护。

案例点评

本案例是该电信公司2007年网络安全改造项目的一部分。对于大型运营商而言，其IT系统的安全建设经历了多个不同的阶段，对网络边界的防护需求也从单纯的采用防火墙进行访问控制逐步升级到同时考虑访问控制、防病毒、入侵防御等多个安全功能。

通过统一分析引擎技术和统一事件库技术，天清汉马一体化安全网关在开启全部功能时，整机的转发性能下降幅度最小，同时，通过天清IPS对服务器的重点防御，保证了正常开放业务的运行。通过天清汉马一体化安全网关和天清入侵防御系统的配合，形成了边界立体防御，核心精确阻断的效果。用户认为：“在开启多项安全防护功能的情况下，天清汉马一体化安全网关还能达到较高的性能，实现了性能及功能的完美平衡。通过天清入侵防御系统的保护，我们的对外业务也能够做到高枕无忧”。