深信服AF运营商行业案例集.docx
- 文档编号:25799556
- 上传时间:2023-06-14
- 格式:DOCX
- 页数:11
- 大小:769.67KB
深信服AF运营商行业案例集.docx
《深信服AF运营商行业案例集.docx》由会员分享,可在线阅读,更多相关《深信服AF运营商行业案例集.docx(11页珍藏版)》请在冰豆网上搜索。
深信服AF运营商行业案例集
深信服科技有限公司
2015年06月
深信服科技运营商行业案例集
中国电信——上海公司
应用背景
BOSS,业务运营支持系统(Business&OperationSupportSystem),它融合了业务支撑系统(BSS)与运营支撑系统(OSS),是一个综合的业务运营和管理支撑平台,同时也是真正融合业务(不同的运营商有不同业务的融合,如传统网络接入业务、IP数据业务、内容提供业务与移动增值业务等)的综合管理平台。
该系统最早由电信部门的计费系统发展演变而来,基本功能包括客户资料管理、产品管理、用户订购管理、计费、出帐、结算等,负责登记客户资料、管理用户订购服务的提供、实时的根据不同产品、套餐的资费标准计算业务(手机、固定电话用户通话时、点播收视、宽带流量与时间等)的消费金额,准实时及定期计算用户帐单,实时或定期结算用户各种消费费用。
后来又增加了用户信用控制功能,负责实时计算预付费用户现金余额,对欠费用户实施即时停机。
随着电信企业的不断发展,BOSS也在逐渐完善并增强功能,逐渐包括了资源管理系统、客户服务系统、以及与银行等外界的接口,不断提高企业的服务质量。
随着上海电信公司对业务系统的增加。
整体系统的稳定性,安全性都是上海电信的正常业务交付需要的保障。
需求分析
上海电信的BOSS系统承载了资源管理系统、客户服务系统,此次安全加固需要做到以下几点:
Ø防止漏洞扫描:
之前由移动省公司利用扫描工具对地市的各个BOSS系统进行扫描发现了很多漏洞。
包括服务器、客户端、网络协议等安全漏洞,此次安全升级针对BOSS系统漏洞的进行防护泄露。
Ø防止针对漏洞的攻击行为:
能够防止针对于服务器或用户的系统的底层OS漏洞或是软件漏洞,以及中间件进行相应的防御并作出处理。
Ø防止针对WEB服务器的攻击行为:
能都对黑客针对于WEB服务器的攻击行为进行防御与处理。
Ø满足BOSS系统高稳定性:
BOSS承载着太多上海电信的主要业务平台,不容有任何的闪失,一旦出现问题就将会影响到整个业务平台的交付,影响业务的正常运行。
此次安全加固所提供方案必须能够保证在保证其安全防护的前提下能够提供高稳定性,不会照成访问的延迟或是性能不足宕机导致断网。
解决方案
在上海电信BOSS系统出口路由器上旁挂两台下一代防火墙,开启防漏扫,IPS,服务器防护功能,对BOSS系统的网络接入业务、IP数据业务、内容提供业务与移动增值业务形成整体的安全防护。
防止漏洞扫描:
防止黑客通过一些方式扫描或是嗅探出BOSS系统内部服务器的漏洞,或是应用软件本身所存在的一些漏洞,通过屏蔽各类软件漏洞,系统的版本及其他的相关信息,让外部无法对BOSS系统内网及软件信息进行嗅探。
防止黑客通过对WEB服务的扫描探测发现WEB服务器上的具体漏洞信息,通过防漏扫功能保证扫描到的漏洞信息低于省公司的要求值。
BOSS系统及对外业务防护:
防止黑客针对BOSS系统内部服务器底层漏洞及软件所存在的漏洞进行相应的针对性的攻击。
防护常用WEB攻击,如SQL注入攻击、XSS跨站攻击、CSRF攻击、网页挂马攻击、webshell上传攻击、命令行注入攻击、缓冲区溢出攻击、黑链植入攻击。
高性能高稳定:
深信服NGAF通过其独特的单次解析及控制应用架构分离的方式实现全面都功能安全防护的同时保障了设备的高性能,并能够很好地保证BOSS的业务系统的稳定性。
应用效果
深信服下一代应用防火墙部署在上海电信BOSS系统前,从攻击前扫描,攻击中的各种攻击手段,以及攻击后对网络的破坏都做了相应的防护,最重要的是在运营商如此重要的业务平台的大流量大并发的条件下做到如此完善的安全防护的同时还能保证性能与稳定性,非常的不容易。
安徽移动
应用背景
安徽移动IDC五期网络及安全设备扩容工程需进行网站防护产品的建设,主要实现IDC平台中区的内容引入业务
中有防护需求的网站(如政府、医院、招聘、地方论坛等网站),西区的自建及集团托管业务等的网站防护。
需求分析
Ø安全性:
需要对HTTP协议进行防护,需要对HTTP加密会话进行分析,需要对蠕虫、
Ø缓冲区溢出、CGI信息扫描、目录遍历等攻击进行防护,需要对SQL注入、XSS等OWASPtop10进行防护,需要对爬虫、盗链、扫描等进行防护,需要对非法上传、下载、网页防篡改、CC攻击进行防护等;
Ø需要提供多种格式安全报表、报表可自定义、可对报表进行查询;
Ø需要支持第三方的管理,并且要求支持进行分级授权管理。
解决方案
Ø更精准的应用层安全控制:
深信服独创的应用可视化技术,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如,既满足了普通互联网边界行为管控的要求,同时还满足了在内网数据中心和广域网边界的部署要求,可以识别和控制丰富的内网应用。
Ø可视化的应用识别:
深信服Web防火墙以精确的应用识别为基础,可以帮助安徽移动恢复对网络中各类流量的掌控,阻断或控制不当操作,根据企业自身状况合理分配带宽资源等。
Ø丰富的认证方式:
帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与资源的一一对应。
Ø全方面的应用安全防护能力:
深信服Web防火墙具备完整的L2-L7的安全防护功能,能真正做到内核级联动,为用户的业务系统提供一个真正的“铜墙铁壁”。
Ø基于应用的深度入侵防御:
深信服WAF的灰度威胁关联分析引擎具备3000+条漏洞特征库、2500+Web应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;另外,深信服凭借在应用层领域6年以上的技术积累,组建了专业的安全攻防团队,可以为安徽移动定期提供最新的威胁特征库更新,以确保防御的及时性。
Ø强大的WEB安全防护:
能够有效对SQL注入攻击、XSS跨站脚本攻击、CSRF攻击、网页的篡改、Web站点扫描、漏洞扫描等进行防范,降低web服务器的安全风险。
Ø先进的主动防御技术:
能够有效对应用信息进行隐藏、能够对URL、弱口令进行防护、能够对HTTP的异常情况进行及时检测、能够对缓冲区溢出进行检测、能够基于终端的漏洞进行检测、能够对DOS/DDOS的攻击进行智能防护,增强了web服务器主动对各种攻击进行防御的能力。
Ø丰富的日志报表功能,能够有效帮助安徽移动分析网络安全状况。
网络拓扑如下:
采购数量:
4台NGAF-6020
应用效果
通过在网站服务器边界部署NGAF防火墙,有效降低服务器的安全风险和信息泄露的风险,目前设备运行正常,客户对设备的性能和防护效果比较满意。
中国移动通信(湛江)分公司
应用背景
UAP全称叫集团客户信息化统一应用平台,是一项针对移动大客户的云服务,客户可以直接把自己的业务系统托管在UAP上,利用这个平台的硬件、软件以及带宽资源进行业务系统的发布。
目前承载有政企OA应用、集团内部门户网站、政府门户网站群等WEB应用达1000多个,预计今年年底WEB应用站点将增长到1500个。
随着湛江移动公司对重要政企客户业务的拓展与推进,众多重要政企客户希望公司内部服务及系统能通过湛江移动的UAP平台进行托管,保障其能得到运营商级的维护及安全保障。
UAP平台利用运营商的资源集中管理政企客户的门户网站及应用系统,为其提供高安全级别的运营商级别安全防护,通过专业的高安全级别的安全架构搭建一个集中政企业务的云数据中心。
需求分析
湛江移动搭建的UAP云数据中心已经有了许多政企客户将自己的系统托管与其上。
此次安全改造需达到效果如下:
Ø防止漏洞扫描:
首先此次的安全改造必须要能够防止黑客攻击前所进行的漏洞扫描及攻击点嗅探。
并能够通过中国移动广东省公司针对下面各个地市分公司的扫描考核指标。
Ø防止针对漏洞的攻击行为:
能够防止针对于服务器或用户的系统的底层OS漏洞或是软件漏洞,以及中间件进行相应的防御并作出处理。
(3)防止针对WEB服务器的攻击行为:
能都对黑客针对于WEB服务器的攻击行为进行防御与处理。
Ø防止被篡改后的网页被访问到:
之前使用的防篡改软件iguard服务已经快要到期了,并且使用效果不是特别好,希望我们能够保障他们的网站如果憋篡改外面也无法访问到被篡改的页面。
Ø保证安全的前提下稳定性高:
因为此次UAP平台承载的数据量比较大,所提供方案必须能够保证在保证其安全防护的前提下能够提供高稳定性,不会照成访问的延迟或是性能不足宕机导致断网。
解决方案
在湛江移动UAP云数据中心平台的两台UAP核心交换机与两台业务核心交换机之间部署两台深信服NGAF-8020万兆应用防火墙,开启防漏扫,IPS,服务器防护功能,并对网站的网页篡改进行防护保障湛江移动UAP云数据中心的云平台安全与其所托管政企客户的业务安全。
防止漏洞扫描:
Ø防止黑客通过一些方式扫描或是嗅探出内部系统的漏洞,或是软件本身所存在的一些漏洞,通过屏蔽软件,系统的版本及其他的相应信息,让外部无法对内网的系统及软件信息进行嗅探。
Ø防止黑客通过对WEB服务的扫描探测发现WEB服务器上的具体漏洞信息,通过防漏扫功能保证扫描到的漏洞信息低于省公司的要求值。
数据中心及对外业务防护:
Ø防止黑客针对内部的系统底层漏洞及软件所存在的漏洞进行相应的针对性的攻击。
Ø防护常用WEB攻击,如SQL注入攻击、XSS跨站攻击、CSRF攻击、网页挂马攻击、webshell上传攻击、命令行注入攻击、缓冲区溢出攻击、黑链植入攻击。
网页防篡改:
定时检查受保护的网页,发现被篡改时,自动接管外部的访问,并返回之前保存的网页。
高性能高稳定:
深信服NGAF通过其独特的单次解析及控制应用架构分离的方式实现全面都功能安全防护的同时保障了设备的高性能,并能够很好地保证UAP平台的业务系统的稳定性。
网络拓扑图如下:
应用效果
深信服下一代应用防火墙部署在湛江移动UAP云数据中心前,从攻击前扫描,攻击中的各种攻击手段,以及攻击后对网络的破坏都做了相应的防护,最重要的是在运营商大流量大并发的条件下做到如此完善的安全防护的同时还能保证性能与稳定性,非常的不容易。
中国移动通信(邯郸)分公司
应用背景
BOSS,业务运营支持系统(Business&OperationSupportSystem),它融合了业务支撑系统(BSS)与运营支撑系统(OSS),是一个综合的业务运营和管理支撑平台,同时也是真正融合业务(不同的运营商有不同业务的融合,如传统网络接入业务、IP数据业务、内容提供业务与移动增值业务等)的综合管理平台。
该系统最早由电信部门的计费系统发展演变而来,基本功能包括客户资料管理、产品管理、用户订购管理、计费、出帐、结算等,负责登记客户资料、管理用户订购服务的提供、实时的根据不同产品、套餐的资费标准计算业务(手机、固定电话用户通话时、点播收视、宽带流量与时间等)的消费金额,准实时及定期计算用户帐单,实时或定期结算用户各种消费费用。
后来又增加了用户信用控制功能,负责实时计算预付费用户现金余额,对欠费用户实施即时停机。
随着电信企业的不断发展,BOSS也在逐渐完善并增强功能,逐渐包括了资源管理系统、客户服务系统、以及与银行等外界的接口,不断提高企业的服务质量。
随着邯郸移动公司对业务系统的增加。
整体系统的稳定性,安全性都是邯郸移动的正常业务交付需要的保障。
需求分析
邯郸移动的BOSS系统承载了资源管理系统、客户服务系统,此次安全加固需要做到以下几点:
Ø防止漏洞扫描:
之前由移动省公司利用扫描工具对地市的各个BOSS系统进行扫描发现了很多漏洞。
包括服务器、客户端、网络协议等安全漏洞,此次安全升级针对BOSS系统漏洞的进行防护泄露。
Ø防止针对漏洞的攻击行为:
能够防止针对于服务器或用户的系统的底层OS漏洞或是软件漏洞,以及中间件进行相应的防御并作出处理。
Ø防止针对WEB服务器的攻击行为:
能都对黑客针对于WEB服务器的攻击行为进行防御与处理。
Ø满足BOSS系统高稳定性:
BOSS承载着太多邯郸移动的主要业务平台,不容有任何的闪失,一旦出现问题就将会影响到整个业务平台的交付,影响业务的正常运行。
此次安全加固所提供方案必须能够保证在保证其安全防护的前提下能够提供高稳定性,不会照成访问的延迟或是性能不足宕机导致断网。
解决方案
在邯郸移动BOSS系统出口路由器上旁挂两台下一代防火墙,开启防漏扫,IPS,服务器防护功能,对BOSS系统的网络接入业务、IP数据业务、内容提供业务与移动增值业务形成整体的安全防护。
防止漏洞扫描:
防止黑客通过一些方式扫描或是嗅探出BOSS系统内部服务器的漏洞,或是应用软件本身所存在的一些漏洞,通过屏蔽各类软件漏洞,系统的版本及其他的相关信息,让外部无法对BOSS系统内网及软件信息进行嗅探。
防止黑客通过对WEB服务的扫描探测发现WEB服务器上的具体漏洞信息,通过防漏扫功能保证扫描到的漏洞信息低于省公司的要求值。
BOSS系统及对外业务防护:
防止黑客针对BOSS系统内部服务器底层漏洞及软件所存在的漏洞进行相应的针对性的攻击。
防护常用WEB攻击,如SQL注入攻击、XSS跨站攻击、CSRF攻击、网页挂马攻击、webshell上传攻击、命令行注入攻击、缓冲区溢出攻击、黑链植入攻击。
高性能高稳定:
深信服NGAF通过其独特的单次解析及控制应用架构分离的方式实现全面都功能安全防护的同时保障了设备的高性能,并能够很好地保证BOSS的业务系统的稳定性。
网络拓扑图如下:
应用效果
深信服下一代应用防火墙部署在邯郸移动BOSS系统前,从攻击前扫描,攻击中的各种攻击手段,以及攻击后对网络的破坏都做了相应的防护,最重要的是在运营商如此重要的业务平台的大流量大并发的条件下做到如此完善的安全防护的同时还能保证性能与稳定性,非常难得。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 深信 AF 运营商 行业 案例