|
但是,随着互联网接入服务的不断拓展,新疆电信网络安全的问题日趋严重,特别是针对域名服务器(DNS)的攻击一直困绕着用户,这是DNS担负着所有用户上网的域名解析功能,一旦受到攻击,会引发大面积用户上网异常,目前新疆电信域名服务器(DNS),主要面临以下两种攻击: 一、 针对DNS的拒绝服务攻击 DNS主要功能是完成域名查询请求,目前虽然有缓存技术缓解CPU压力,但仍然有大量的查询需要耗费CPU资源,如果一旦遭受针对DNS的拒绝服务攻击,出现大量的查询请求,就会出现DNS资源耗尽、提供服务出现异常的情况。 二、 针对DNS的端口攻击 DNS作为服务的一种,需要对外提供服务,打开一些端口,这些端口很容易受到攻击。但是DNS一直以来缺乏安全设备来对其进行保护,这是因为DNS具备查询时间短,并发连接会话数高,特别是新建会话连接数高的特点,尤其在高峰时间可达每秒10万次以上的会话数,传统的网络安全设备无法满足这样的需求。 针对一直困绕新疆电信用户在DNS安全隐患,Hillstone提出了专业的解决方案,如图1所示:
首先在DNS前面部署一台SA-5050高性能安全网关,分别对DNS的两条线路进行保护,接着将SA-5050配置成二层透明模式,无需改变现在的网络环境。针对拒绝服务攻击,开启SA-5050 防护功能,有效抵御拒绝服务攻击;针对端口攻击,通过ALG功能过滤掉非法请求服务。 由于Hillstone安全网关部署在DNS服务器前,位置十分关键,因此对安全网关的性能要求非常高。Hillstone SA-5050采用多达16核的64位网络多核并行处理器,自主开发的专用安全芯片(ASIC)和内部高达48Gbps的交换总线,使的Hillstone SA-5050在性能上有了质的飞跃——TCP每秒新建连接20万,具备强大的安全处理能力,并且能够避免传统的ASIC和NP安全系统会话创建能力和流量控制能力弱的弊病,为新疆电信DNS服务器提供强大的安全保障。 Hillstone SA-5050在新疆电信上线以后运行良好,给予DNS服务器很好的保护,新疆电信区级网络维护中心主任工程师苏安其先生对Hillstone SA-5050评价如下:“…总体上山石的设备还是很不错的,能够支持非常大的每秒新建连接数,这个我们有非常深刻的印象,同时设备从上线到现在运行非常稳定,很好的保护了我们的DNS服务器…” |
