网络安全 频道

方正宽带携手山石网科打造海量审计平台

  【IT168 案例】近几年,随着政府相关法规的出台,以及企业单位内部安全管控需求的不断提升,网络运营商开始高度关注网络安全审计产品的部署。然而,以大流量、多业务等为典型特征的复杂网络环境给传统安全审计系统带来了巨大挑战。方正宽带作为首批获得宽带驻地网试验许可证的运营商,为了更可靠、更有效地记录安全网关的运营日志,其在多方考察与试用之后部署了的Hillstone提供的解决方案,为运营商解决高带宽、多业务的海量数据审计难题打开了新思路。

  “海纳百川” 安全审计遭遇性能瓶颈

  依托于北大方正集团的方正宽带,充分利用自身的技术、管理经验和服务优势,与国内多家ISP、数据中心实现了互联互通,并与多家知名网站合作提供了内网资源服务,从而构建了旨在改变中国人知识结构和文化生活的“方正宽带数字社区”。社区可以提供多元化的宽带接入产品和个性化的内容服务,能大大改善网络服务质量,提升用户在视频、下载等高带宽应用时的使用体验。

  随着用户数量与业务种类的不断增长,方正宽带针对高安全风险、大流量、多业务等复杂网络环境,开始制定更加缜密的安全审计机制,但这为方正宽带的技术和管理部门带来了前所未有的挑战:在外部法规遵从方面,为了保障用户网络健康有序的运行,公安、网监、通信管理局等有关部门都要求运营商提供更加专业的安全网络日志审计平台;在内部安全管控方面,随着宽带网络应用的日益丰富,个人网上购物、企业网上办公等业务不断推陈出新,运营商需要部署性能好、稳定性强的审计设备快速定位网络攻击,从而快速解决突发安全问题。

  方正宽带公司技术部门人员介绍:“目前,运营商级别的平台都要求安全审计平台要能够100%记录用户上网日志,并且要有极高的识别率。这就要求审计设备能够记录来自安全网关的NAT、URL和IM日志,并在8~10G大流量下保证日志数据不会丢失。同时,与其它行业相比,运营商由于带宽大、用户接入数量多,其日志数据可谓‘海量’。传统的审计设备在如此大流量的数据面前,吞吐量明显不足。这就要求运营商部署能够支撑在10G大流量的日志快速入库和快速查询能力的设备。另外,传统产品特征库更新缓慢,面对层出不穷的互联网新应用(如微博、微信),那些在其它行业中能够很好的完成单一业务审计的安全产品,往往无法满足带有个性化增值服务的运营商需求。”

  “大海捞针” 日志20秒定位成为奇迹

  方正宽带迫切需要具有以下功能的产品:能突破传统设备中安全日志存储量和存储时间的局限,能克服安全审计功能不完善的缺点,能完善日志保存的时间和查询速度;同时,在技术方面,方正宽带除了要求产品必须满足网络运维的保障需求,还要求产品对网络地址转换后的日志、URL日志和IM日志进行详细记录,并进行长期的保存;另外,为了应对业务发展需求,方正宽带还要求产品可以随着业务的扩增而进行插拔式的便捷扩容。

  通过对市场上安全审计产品的性能测试,方正宽带最终选用了产品性能和稳定性俱佳、性价比高的Hillstone 安全审计平台(HAS),用来实现地址转换日志、URL和IM日志记录功能。部署前期,方正宽带携手山石网科的工程师,与合作伙伴一起做了充足的网络环境分析和需求分析。并最终确定了将HSA部署在负责核心业务网接入的全国骨干节点上,负责为社区用户和企业用户提供高可靠和高安全性的访问环境。

方正宽带携手山石网科打造海量审计平台
▲方正宽带将Hillstone HSA部署在全国骨干节点上,为用户提供高可靠和高安全性的访问环境

  从部署图中可以看出,采用冗余设计的HSA通过设备直连方式与Hillstone SG-6000-X6150设备相连,负责每台X6150设备的日志收集。同时,在安全网关上开启网络地址转换功能、抗DDoS攻击功能,并调试网络日志系统,将NAT、URL和IM日志发送到指定的HSA设备上,起到长期保存日志的作用。

  方正宽带技术工程师表示:“此次网络升级改造项目中部署的HSA产品具备高稳定性、高可靠性、高可用性以及快速存储和查询能力等优势。在性能方面,产品在高峰期8Gbit/s的流量下,始终保持着良好的稳定性,并保证了日志的高速存储。实践证明,山石网科HSA的日志接收功能可以实现每秒10万条日志数据入库,一旦遇到安全事件,我们可以利用这套系统,确保30天以内的海量日志数据可以在20秒以内实现定位。”

  不断进取 推动运营商将新技术落地

  从2008年开始,方正宽带就要求相关研发部和技术部掌握审计产品性能发展,寻找合适的产品。然而,受限于技术发展,那时的主流产品主要应对的是企业网、校园网等小容量网络的部署需求。

  时至今日,方正宽带携手山石网科成功地改造了安全审计平台,满足了政府监管部门、运营商、宽带用户三方的网络安全需求,积累的经验可供业界借鉴。未来,方正宽带还需要能将入侵防护、流量控制、安全审计等安全功能集成到一台设备的产品,并与产业链企业共同推动新安全技术的落地,更好的为公众、企业和政府提供优良的宽带网络接入和信息服务。

0
相关文章