隨著全球政治經濟一體化趨勢日益明顯,政府管理服務職能的電子化、自動化、無紙化趨勢日益明顯,其中,電子政務的發展尤為迅速。在世界各國積極倡導的「信息高速公路」的五個應用領域中,「電子政務」被列為第一位,可以說,政府信息化是社會信息化的先導,電子政務是信息化社會發展的必然。
在我國,信息化建設也成為產業結構升級和工業化、現代化的關鍵環節,為了實現用信息技術改造和提升傳統產業的任務,政府部門的信息化管理水平必須有更大的飛躍,電子政務的發展成為現代化進程中不可或缺的一環。近年來,在中央政府的大力倡導和推動下,我國電子政務已逐漸進入全面實施階段。
某市信息中心作為該市電子政務網的中心節點,連接著眾多的市級政府部門以及下屬各縣市區節點。該中心的外網邊界主要用於內部用戶的互聯網訪問、提供對外WEB服務、市內各局委辦機構或市轄各縣市區與下屬各鄉鎮相關機構的互聯,包括市級互聯網邊界以及各市局委辦/縣市區到各鄉鎮的接入邊界。由於外網邊界直接面臨社會各界用戶,使用環境複雜,面臨的安全風險極大,尤其是近年來日益嚴重的分佈式拒絕服務攻擊(DDoS),更對網絡的穩定運行造成了嚴重的隱患。從2000年以來,幾乎每隔兩年就有影響嚴重的大規模DDoS攻擊事件發生,目前,「殭屍網絡」越來越多地被用作敲詐工具,由大量「肉雞」組成的「殭屍網絡」,很容易就能達到很高的攻擊流量,不僅使被攻擊的伺服器拒絕提供服務,並且大量佔用網絡帶寬資源,使網絡擁塞,造成網絡丟包、時延增大,嚴重時還會導致網絡不可用。因此,如何使該信息中心的外網邊界免受DDOS攻擊的危害,是一個亟需解決的重要問題。
聯想網御根據多年對網絡攻擊和防護的深刻理解,憑借對網絡處理器(NP)應用技術的研究積累,傾力打造了異常流量管理系統Leadsec-Guard。聯想網御異常流量管理系統包括異常流量分析(Leadsec-Detector)和異常流量過濾(Leadsec-Guard)兩個模塊。Leadsec-Detector可對不同網絡節點的流量進行實時關聯分析,在定位異常流量發源地後通知Leadsec-Guard,Leadsec-Guard對異常流量完成牽引和過濾,系統通過Leadsec-Detector和Leadsec -Guard的協同工作,完成全網的流量分析、異常流量牽引、DDOS攻擊過濾、P2P識別與控制、異常流量帶寬限制等處理,幫助用戶實時瞭解網絡運行狀況,及時發現網絡中出現的問題並自動對異常行為做出響應,從而快速消除異常流量造成的危害。
Leadsec-Guard採用國際上領先的網絡處理器,同時驅動32個硬體微引擎並行工作,通過自主創新的並行處理算法,可抵禦300萬pps的SYN flood攻擊,大流量攻擊下的新建連接成功率和原連接保持率顯著高於同類產品,是目前唯一一款單機可防禦2.5G大流量DDOS攻擊的設備。通過聯想網御獨創的智能防護算法,Leadsec-Guard還能對攻擊行為進行分析和自學習,動態形成攻擊特徵庫,有效區分攻擊流量和正常流量,可防護SYN flood、UDP flood、ICMP flood等二十多種攻擊,保證正常流量不受影響;通過微碼自主開發的協議棧,對網絡應用進行深度檢測,實現了對P2P協議的識別、阻斷和限制。Leadsec-Detector基於標準的Netflow技術,採集並分析Netflow流量信息,一旦檢測到異常資料流,就會發出警告信息。Leadsec-Detector採用分佈式採集、分散式處理和集中管理機制,通過基線檢測和異常行為檢測算法,可實時進行全網關聯的流量分析。
該信息中心的網絡共有3個互聯網出口,分別是網通出口、電信出口和中科院網絡出口,每個網絡出口的帶寬為1Gbps。為了防禦來自互聯網的DDOS攻擊,該中心在3個出口處均旁路部署了1台聯想網御Leadsec-Guard和1台Leadsec-Detector設備。通過對出口路由器進行配置,路由器可通過Netflow協議將流量採樣資料發送給Leadsec-Detector,Leadsec-Detector在發現攻擊流量後告知Leadsec-Guard,Leadsec-Guard將攻擊流量牽引到Leadsec-Guard上並進行攻擊流量過濾,從而完全消除了DDOS攻擊。
通過部署聯想網御異常流量管理系統,該市信息中心Web伺服器、郵件伺服器、資料庫伺服器等等重要伺服器均受到了良好保護,當受到來自外部互聯網的惡意攻擊時,伺服器仍然能正常工作,對外響應速度也不受影響。同時,該信息中心的三個網絡出口均保持了通暢,在受到大規模DDOS攻擊時,攻擊流量將被自動過濾掉,而正常的通信訪問則能夠繼續進行,沒有因DDOS攻擊而出現通信受阻的情況,從而充分保障了電子政務網絡中各種業務的順利進行。
某市信息中心聯想網御異常流量管理系統應用方案