首都在线安全网关SA-2010应用案例

　　用户概述

　　首都在线作为国内较早开展IDC业务的数据服务提供商，目前已跻身行业领先企业。自1998 年以来一直致力于为诸多企业用户提供基于互联网技术的多种数据及技术服务。作为主流主机托 管业务服务商，首都在线拥有专业的机房、丰富的网络的带宽及多项增值服务。目前已在金融、 保险、政府、教育、医疗、网络等诸多行业均有成熟的应用，如：银河证券、中外运、北京地 税、当当网、中华英才网等。

　　对于运营商、数据中心来说，最大的挑战莫过于稳定。用户满意度取决于服务质量，而服务 质量的关键之一就是网络稳定运行。众所周知，目前的互联网因为开放而充满威胁，尤其知名网 站更是频频遭受攻击和来自各方面的危害。由于IDC网络复杂，具有流量大、并发会话数和新建 会话数高、对稳定有严格要求、便于维护等多方面需求，传统网络安全设备在处理性能和功能方 面已无法满足现有网络所带来的需求，对于网络攻击更是无能为力。

　　问题和挑战

　　基于以上考虑，高性能、高稳定性、抗攻击是最重要的需求，首都在线数据中心有上百台 WWW和FTP等服务器需要安全防护，既不能让服务受到攻击，又不能因为安全检测而使访问速 度变慢、服务质量降低等。除此之外，便捷的管理方式和高可靠运行能力也是首都在线非常关心的。

　　解决方案

　　针对首都在线保护服务器群安全、提供稳定高速服务的需求，Hillstone山石网科设计了业界 领先的SA系列网络安全解决方案。

　　通过部署Hillstone SA-2010安全网关设备，其多核网络处理芯片和64位并行操作系统加上高 速交换总线，可提供1G数据处理能力、40万最大并发会话和3万每秒的新建会话能力，这充分满 足了外部访问高峰的请求。Hillstone山石网科安全网关还具有强大的抗攻击能力，保证在进行充分安全加固的同时不会降低服务器的可访问性，不会降低服务器对用户的服务品质。同时结合 SYN-proxy功能，所有对服务器的访问都会由Hillstone山石网科设备进行安全过滤后再发送给服务 器，最大限度保护服务器不会宕机或资源耗尽，为服务器机房提供一个强大的安全防护堡垒。

　　为了不改变现有网络架构，SA-2010采用透明方式部署在互联网路由器和内部交换机之间。通过防火墙的数据包被执行基于状态检测技术的深度包检测，有效保护服务器应用服务安全。

　　方案优势

　　领先的多核架构和64位并行系统StoneOS相结合，为用户带来超出业界同类安全产品5-10倍 的每秒新建会话数，这对于IDC和服务运营商来说尤为重要。

　　超强抗攻击能力，可抵御各种常见攻击行为，在维持每秒5000 HTTP新建会话的背景流量下

　　仍能够承受每秒80万的SYN Flood攻击流量，而不会影响业务正常运作。

　　SA安全网关集成专业QoS功能，可对WWW和FTP等服务开启高优先级和保障带宽，即便带宽资源不足时依然优先转发WWW和FTP等关键业务流量。

　　用户评价

　　运营商对于产品的选择需要具有一定前瞻性，通过比较，新一代网络安全架构的代表Hillstone SA系列安全网关带来了颇具竞争力的性价比及很强的抗攻击能力，通过一段时间的上线 运行，在十万并发会话的访问压力及外部攻击环境下CPU利用率平均只有8%，完全胜任了IDC机 房的安全防护工作。