隨著全球政治經(jīng)濟一體化趨勢日益明顯,政府管理服務(wù)職能的電子化、自動化、無紙化趨勢日益明顯,其中,電子政務(wù)的發(fā)展尤為迅速。在世界各國積極倡導的“信息高速公路”的五個應(yīng)用領(lǐng)域中,“電子政務(wù)”被列為第一位,可以說,政府信息化是社會信息化的先導,電子政務(wù)是信息化社會發(fā)展的必然。
在我國,信息化建設(shè)也成為產(chǎn)業(yè)結(jié)構(gòu)升級和工業(yè)化、現(xiàn)代化的關(guān)鍵環(huán)節(jié),為了實現(xiàn)用信息技術(shù)改造和提升傳統(tǒng)產(chǎn)業(yè)的任務(wù),政府部門的信息化管理水平必須有更大的飛躍,電子政務(wù)的發(fā)展成為現(xiàn)代化進程中不可或缺的一環(huán)。近年來,在中央政府的大力倡導和推動下,我國電子政務(wù)已逐漸進入全面實施階段。
某市信息中心作為該市電子政務(wù)網(wǎng)的中心節(jié)點,連接著眾多的市級政府部門以及下屬各縣市區(qū)節(jié)點。該中心的外網(wǎng)邊界主要用于內(nèi)部用戶的互聯(lián)網(wǎng)訪問、提供對外WEB服務(wù)、市內(nèi)各局委辦機構(gòu)或市轄各縣市區(qū)與下屬各鄉(xiāng)鎮(zhèn)相關(guān)機構(gòu)的互聯(lián),包括市級互聯(lián)網(wǎng)邊界以及各市局委辦/縣市區(qū)到各鄉(xiāng)鎮(zhèn)的接入邊界。由于外網(wǎng)邊界直接面臨社會各界用戶,使用環(huán)境復雜,面臨的安全風險極大,尤其是近年來日益嚴重的分布式拒絕服務(wù)攻擊(DDoS),更對網(wǎng)絡(luò)的穩(wěn)定運行造成了嚴重的隱患。從2000年以來,幾乎每隔兩年就有影響嚴重的大規(guī)模DDoS攻擊事件發(fā)生,目前,“僵尸網(wǎng)絡(luò)”越來越多地被用作敲詐工具,由大量“肉雞”組成的“僵尸網(wǎng)絡(luò)”,很容易就能達到很高的攻擊流量,不僅使被攻擊的服務(wù)器拒絕提供服務(wù),并且大量占用網(wǎng)絡(luò)帶寬資源,使網(wǎng)絡(luò)擁塞,造成網(wǎng)絡(luò)丟包、時延增大,嚴重時還會導致網(wǎng)絡(luò)不可用。因此,如何使該信息中心的外網(wǎng)邊界免受DDOS攻擊的危害,是一個亟需解決的重要問題。
聯(lián)想網(wǎng)御根據(jù)多年對網(wǎng)絡(luò)攻擊和防護的深刻理解,憑借對網(wǎng)絡(luò)處理器(NP)應(yīng)用技術(shù)的研究積累,傾力打造了異常流量管理系統(tǒng)Leadsec-Guard。聯(lián)想網(wǎng)御異常流量管理系統(tǒng)包括異常流量分析(Leadsec-Detector)和異常流量過濾(Leadsec-Guard)兩個模塊。Leadsec-Detector可對不同網(wǎng)絡(luò)節(jié)點的流量進行實時關(guān)聯(lián)分析,在定位異常流量發(fā)源地后通知Leadsec-Guard,Leadsec-Guard對異常流量完成牽引和過濾,系統(tǒng)通過Leadsec-Detector和Leadsec -Guard的協(xié)同工作,完成全網(wǎng)的流量分析、異常流量牽引、DDOS攻擊過濾、P2P識別與控制、異常流量帶寬限制等處理,幫助用戶實時了解網(wǎng)絡(luò)運行狀況,及時發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的問題并自動對異常行為做出響應(yīng),從而快速消除異常流量造成的危害。
Leadsec-Guard采用國際上領(lǐng)先的網(wǎng)絡(luò)處理器,同時驅(qū)動32個硬件微引擎并行工作,通過自主創(chuàng)新的并行處理算法,可抵御300萬pps的SYN flood攻擊,大流量攻擊下的新建連接成功率和原連接保持率顯著高于同類產(chǎn)品,是目前唯一一款單機可防御2.5G大流量DDOS攻擊的設(shè)備。通過聯(lián)想網(wǎng)御獨創(chuàng)的智能防護算法,Leadsec-Guard還能對攻擊行為進行分析和自學習,動態(tài)形成攻擊特征庫,有效區(qū)分攻擊流量和正常流量,可防護SYN flood、UDP flood、ICMP flood等二十多種攻擊,保證正常流量不受影響;通過微碼自主開發(fā)的協(xié)議棧,對網(wǎng)絡(luò)應(yīng)用進行深度檢測,實現(xiàn)了對P2P協(xié)議的識別、阻斷和限制。Leadsec-Detector基于標準的Netflow技術(shù),采集并分析Netflow流量信息,一旦檢測到異常數(shù)據(jù)流,就會發(fā)出警告信息。Leadsec-Detector采用分布式采集、分散式處理和集中管理機制,通過基線檢測和異常行為檢測算法,可實時進行全網(wǎng)關(guān)聯(lián)的流量分析。
該信息中心的網(wǎng)絡(luò)共有3個互聯(lián)網(wǎng)出口,分別是網(wǎng)通出口、電信出口和中科院網(wǎng)絡(luò)出口,每個網(wǎng)絡(luò)出口的帶寬為1Gbps。為了防御來自互聯(lián)網(wǎng)的DDOS攻擊,該中心在3個出口處均旁路部署了1臺聯(lián)想網(wǎng)御Leadsec-Guard和1臺Leadsec-Detector設(shè)備。通過對出口路由器進行配置,路由器可通過Netflow協(xié)議將流量采樣數(shù)據(jù)發(fā)送給Leadsec-Detector,Leadsec-Detector在發(fā)現(xiàn)攻擊流量后告知Leadsec-Guard,Leadsec-Guard將攻擊流量牽引到Leadsec-Guard上并進行攻擊流量過濾,從而完全消除了DDOS攻擊。
通過部署聯(lián)想網(wǎng)御異常流量管理系統(tǒng),該市信息中心Web服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器等等重要服務(wù)器均受到了良好保護,當受到來自外部互聯(lián)網(wǎng)的惡意攻擊時,服務(wù)器仍然能正常工作,對外響應(yīng)速度也不受影響。同時,該信息中心的三個網(wǎng)絡(luò)出口均保持了通暢,在受到大規(guī)模DDOS攻擊時,攻擊流量將被自動過濾掉,而正常的通信訪問則能夠繼續(xù)進行,沒有因DDOS攻擊而出現(xiàn)通信受阻的情況,從而充分保障了電子政務(wù)網(wǎng)絡(luò)中各種業(yè)務(wù)的順利進行。
 |
