山石助顺义区政府从容应对网络攻击

客户名称: 北京顺义区政府
所属行业: 政府、企业
主要应用: ARP防护、带宽管理
选用型号: Hillstone SR-550

    顺义区发展面临着诸多历史性机遇：北京“两轴、两带、多中心”城市发展新战略的实施，首都机场扩建、顺义奥运场馆建设、北京汽车生产基地建设、潮白河综合整治等一批重点工程的全面启动，为全区经济社会实现跨越式发展注入了新的强大动力，揭开了顺义发展的崭新一页。

    顺义区政府作为区域管理机构，面临着巨大的机遇与挑战。目前，顺义区政府有行政科、后勤科、综合科、信息科、机要科、秘书科、文书科督查室等十余个职能部门，随着信息化普及，已逐步实现无纸化办公，因此对网络的重视程度也与日俱增。

    挑战和问题

    虽然顺义区政府的出口带宽有25M，但仍经常出现上网页面打开慢、邮件发送慢、数据传送丢包等问题。经过分析，原因是用户数较多加上近期网络中ARP病毒发做频繁，虽然客户端已经通过软件进行了ARP的攻击防护，但还是偶尔出现上网掉线等情况，中毒客户端同样对核心网络设备及出口防火墙都造成很大压力。

    除此之外，P2P对带宽的占用率较高也导致了上网速度慢等情况。如何有效管控网络，解决网速慢和保证内部网络稳定，就成了顺义区政府网络中心首先要解决的问题。

    解决方案

    针对顺义区政府网络的特点和目前存在的问题，Hillstone山石网科推荐采用SR系列安全路由器解决方案，并为区政府提供了集成24个千兆交换端口，具备三层交换、防火墙、带宽管理和内网管理等功能于一体的SR-550设备。

    Hillstone山石网科工程师将SR-550放置在了区政府网络的核心层，SR-550具备48Gbps背板带宽和2G数据吞吐能力，能充分满足内部网络数据快速转发的需求。Hillstone山石网科的StoneOS安全内核提供专业防火墙功能，不仅可对不同安全级别的科室做隔离策略，更能够有效识别和阻挡来自互联网的各种攻击行为。

    对于网络内部存在的ARP病毒攻击和P2P流量泛滥等问题，Hillstone山石网科提供了一系列解决方案：

    ● 设备和客户端进行双向绑定

    ● 定时发送ARP广播，通告网关真实MAC地址

    ● Secure Defender安全客户端：在访问任意Web页时被自动定向到Secure Defender客户端的安装界面，自动安装后，该客户端与网关设备间建立私有信任关系，通过认证的PKI进行双向认证，由此可屏蔽传统的不可信的ARP广播，达到彻底解决ARP病毒的目的。

    而对于带宽管理，Hillstone山石网科提供了一系列管理手段：

    ● 将内网每个IP地址的上下行带宽进行限制

    ● 封闭P2P软件，禁止P2P上下行流量传输

    ● 为防止内部客户端中毒后大范围传播，将每个IP的会话数限制在300个顺义区政府在网络中部署Hillstone山石网科 SR-550设备后，有效解决了ARP病毒带来的困扰，同时通过SR-550设备的带宽管理功能，对网络的控制力提高了一个层次，P2P软件得到了限制，客户端上网速度稳定，没有再出现过掉线情况。