深信服AF_運(yùn)營商行業(yè)案例集-2015

1、業(yè)案例集深信服科技有限公司2015年 06月中國電信上海公司 3安徽移動(dòng) 5中國移動(dòng)通信（湛江）分公司 7中國移動(dòng)通信（邯鄲）分公司 11中國電信上海公司應(yīng)用背景BOSS，業(yè)務(wù)運(yùn)營支持系統(tǒng)（ Business & Operation Support System ），它融 合了業(yè)務(wù)支撐系統(tǒng) （BSS）與運(yùn)營支撐系統(tǒng) （OSS），是一個(gè)綜合的業(yè)務(wù)運(yùn)營和管理 支撐平臺(tái)， 同時(shí)也是真正融合業(yè)務(wù) （不同的運(yùn)營商有不同業(yè)務(wù)的融合， 如傳統(tǒng)網(wǎng) 絡(luò)接入業(yè)務(wù)、 IP 數(shù)據(jù)業(yè)務(wù)、內(nèi)容提供業(yè)務(wù)與移動(dòng)增值業(yè)務(wù)等） 的綜合管理平臺(tái)。該系統(tǒng)最早由電信部門的計(jì)費(fèi)系統(tǒng)發(fā)展演變而來， 基本功能包括客戶資料管 理、產(chǎn)品

2、管理、用戶訂購管理、計(jì)費(fèi)、出帳、結(jié)算等，負(fù)責(zé)登記客戶資料、管理 用戶訂購服務(wù)的提供、實(shí)時(shí)的根據(jù)不同產(chǎn)品、套餐的資費(fèi)標(biāo)準(zhǔn)計(jì)算業(yè)務(wù)（手機(jī)、 固定電話用戶通話時(shí)、點(diǎn)播收視、寬帶流量與時(shí)間等）的消費(fèi)金額，準(zhǔn)實(shí)時(shí)及定 期計(jì)算用戶帳單， 實(shí)時(shí)或定期結(jié)算用戶各種消費(fèi)費(fèi)用。 后來又增加了用戶信用控 制功能， 負(fù)責(zé)實(shí)時(shí)計(jì)算預(yù)付費(fèi)用戶現(xiàn)金余額， 對(duì)欠費(fèi)用戶實(shí)施即時(shí)停機(jī)。 隨著電 信企業(yè)的不斷發(fā)展， BOSS也在逐漸完善并增強(qiáng)功能， 逐漸包括了資源管理系統(tǒng)、 客戶服務(wù)系統(tǒng)、以及與銀行等外界的接口，不斷提高企業(yè)的服務(wù)質(zhì)量。隨著上海電信公司對(duì)業(yè)務(wù)系統(tǒng)的增加。 整體系統(tǒng)的穩(wěn)定性， 安全性都是上海 電信的正常業(yè)務(wù)交付需要的

3、保障。需求分析上海電信的 BOSS系統(tǒng)承載了資源管理系統(tǒng)、客戶服務(wù)系統(tǒng)，此次安全加固 需要做到以下幾點(diǎn)：? 防止漏洞掃描：之前由移動(dòng)省公司利用掃描工具對(duì)地市的各個(gè) BOSS系統(tǒng) 進(jìn)行掃描發(fā)現(xiàn)了很多漏洞。包括服務(wù)器、客戶端、網(wǎng)絡(luò)協(xié)議等安全漏洞，此 次安全升級(jí)針對(duì) BOSS系統(tǒng)漏洞的進(jìn)行防護(hù)泄露。? 防止針對(duì)漏洞的攻擊行為：能夠防止針對(duì)于服務(wù)器或用戶的系統(tǒng)的底層 OS漏洞或是軟件漏洞，以及中間件進(jìn)行相應(yīng)的防御并作出處理。? 防止針對(duì) WEB服務(wù)器的攻擊行為：能都對(duì)黑客針對(duì)于 WEB服務(wù)器的攻擊 行為進(jìn)行防御與處理。? 滿足 BOSS系統(tǒng)高穩(wěn)定性： BOSS承載著太多上海電信的主要業(yè)務(wù)平臺(tái)， 不容有

4、任何的閃失，一旦出現(xiàn)問題就將會(huì)影響到整個(gè)業(yè)務(wù)平臺(tái)的交付，影響 業(yè)務(wù)的正常運(yùn)行。 此次安全加固所提供方案必須能夠保證在保證其安全防護(hù) 的前提下能夠提供高穩(wěn)定性， 不會(huì)照成訪問的延遲或是性能不足宕機(jī)導(dǎo)致斷 網(wǎng)。解決方案在上海電信 BOSS系統(tǒng)出口路由器上旁掛兩臺(tái)下一代防火墻，開啟防漏掃， IPS，服務(wù)器防護(hù)功能，對(duì) BOSS系統(tǒng)的網(wǎng)絡(luò)接入業(yè)務(wù)、 IP 數(shù)據(jù)業(yè)務(wù)、內(nèi)容提供 業(yè)務(wù)與移動(dòng)增值業(yè)務(wù)形成整體的安全防護(hù)。防止漏洞掃描：防止黑客通過一些方式掃描或是嗅探出 BOSS系統(tǒng)內(nèi)部服務(wù)器的漏洞，或是 應(yīng)用軟件本身所存在的一些漏洞， 通過屏蔽各類軟件漏洞， 系統(tǒng)的版本及其他的 相關(guān)信息，讓外部無法對(duì) BOS

5、S系統(tǒng)內(nèi)網(wǎng)及軟件信息進(jìn)行嗅探。防止黑客通過對(duì) WEB服務(wù)的掃描探測(cè)發(fā)現(xiàn) WEB服務(wù)器上的具體漏洞信息， 通 過防漏掃功能保證掃描到的漏洞信息低于省公司的要求值。BOSS系統(tǒng)及對(duì)外業(yè)務(wù)防護(hù)：防止黑客針對(duì) BOSS系統(tǒng)內(nèi)部服務(wù)器底層漏洞及軟件所存在的漏洞進(jìn)行相應(yīng) 的針對(duì)性的攻擊。防護(hù)常用 WEB攻擊，如 SQL注入攻擊、 XSS跨站攻擊、 CSRF攻擊、網(wǎng)頁掛馬 攻擊、webshell 上傳攻擊、 命令行注入攻擊、 緩沖區(qū)溢出攻擊、 黑鏈植入攻擊。高性能高穩(wěn)定：深信服 NGAF通過其獨(dú)特的單次解析及控制應(yīng)用架構(gòu)分離的方式實(shí)現(xiàn)全面都 功能安全防護(hù)的同時(shí)保障了設(shè)備的高性能，并能夠很好地保證BOSS的業(yè)

6、務(wù)系統(tǒng)的穩(wěn)定性。應(yīng)用效果深信服下一代應(yīng)用防火墻部署在上海電信 BOSS系統(tǒng)前，從攻擊前掃描，攻 擊中的各種攻擊手段， 以及攻擊后對(duì)網(wǎng)絡(luò)的破壞都做了相應(yīng)的防護(hù)， 最重要的是 在運(yùn)營商如此重要的業(yè)務(wù)平臺(tái)的大流量大并發(fā)的條件下做到如此完善的安全防 護(hù)的同時(shí)還能保證性能與穩(wěn)定性，非常的不容易。安徽移動(dòng)應(yīng)用背景安徽移動(dòng) IDC 五期網(wǎng)絡(luò)及安全設(shè)備擴(kuò)容工程需進(jìn)行網(wǎng)站防護(hù)產(chǎn)品的建設(shè)， 主 要實(shí)現(xiàn) IDC 平臺(tái)中區(qū)的內(nèi)容引入業(yè)務(wù)中有防護(hù)需求的網(wǎng)站 （ 如政府、醫(yī)院、招聘、地方論壇等網(wǎng)站 ） ，西區(qū)的自 建及集團(tuán)托管業(yè)務(wù)等的網(wǎng)站防護(hù)。需求分析? 安全性：需要對(duì) HTTP協(xié)議進(jìn)行防護(hù)，需要對(duì) HTTP加密會(huì)話進(jìn)行

7、分析， 需要對(duì)蠕蟲、? 緩沖區(qū)溢出、 CGI 信息掃描、目錄遍歷等攻擊進(jìn)行防護(hù)，需要對(duì) SQL注 入、XSS等 OWASP top10進(jìn)行防護(hù)，需要對(duì)爬蟲、盜鏈、掃描等進(jìn)行防護(hù)， 需要對(duì)非法上傳、下載、網(wǎng)頁防篡改、 CC攻擊進(jìn)行防護(hù)等；? 需要提供多種格式安全報(bào)表、報(bào)表可自定義、可對(duì)報(bào)表進(jìn)行查詢；? 需要支持第三方的管理，并且要求支持進(jìn)行分級(jí)授權(quán)管理。解決方案? 更精準(zhǔn)的應(yīng)用層安全控制：深信服獨(dú)創(chuàng)的應(yīng)用可視化技術(shù)，可以根據(jù)應(yīng) 用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制，而不僅僅依賴于端口或協(xié)議，擺 脫了過去只能通過 IP 地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應(yīng)付自 如，既滿足了普通互聯(lián)網(wǎng)邊界行為

8、管控的要求，同時(shí)還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中 心和廣域網(wǎng)邊界的部署要求，可以識(shí)別和控制豐富的內(nèi)網(wǎng)應(yīng)用。? 可視化的應(yīng)用識(shí)別：深信服 Web防火墻以精確的應(yīng)用識(shí)別為基礎(chǔ)，可以 幫助安徽移動(dòng)恢復(fù)對(duì)網(wǎng)絡(luò)中各類流量的掌控，阻斷或控制不當(dāng)操作，根據(jù)企 業(yè)自身狀況合理分配帶寬資源等。? 豐富的認(rèn)證方式：幫助組織管理員有效區(qū)分用戶，建立組織身份認(rèn)證體 系，進(jìn)而形成樹形用戶分組，映射組織行政結(jié)構(gòu)，實(shí)現(xiàn)用戶與資源的一一對(duì) 應(yīng)。? 全方面的應(yīng)用安全防護(hù)能力：深信服 Web防火墻具備完整的 L2-L7 的安 全防護(hù)功能，能真正做到內(nèi)核級(jí)聯(lián)動(dòng)， 為用戶的業(yè)務(wù)系統(tǒng)提供一個(gè)真正的 “銅 墻鐵壁”。? 基于應(yīng)用的深度入侵防御：深信

9、服 WAF的灰度威脅關(guān)聯(lián)分析引擎具備 3000+條漏洞特征庫、 2500+Web應(yīng)用威脅特征庫，可以全面識(shí)別各種應(yīng)用層 和內(nèi)容級(jí)別的單一安全威脅；另外，深信服憑借在應(yīng)用層領(lǐng)域 6 年以上的技 術(shù)積累，組建了專業(yè)的安全攻防團(tuán)隊(duì)，可以為安徽移動(dòng)定期提供最新的威脅 特征庫更新，以確保防御的及時(shí)性。? 強(qiáng)大的 WEB安全防護(hù)：能夠有效對(duì) SQL注入攻擊、 XSS跨站腳本攻擊、 CSRF攻擊、網(wǎng)頁的篡改、 Web站點(diǎn)掃描、漏洞掃描等進(jìn)行防范，降低 web服 務(wù)器的安全風(fēng)險(xiǎn)。? 先進(jìn)的主動(dòng)防御技術(shù)：能夠有效對(duì)應(yīng)用信息進(jìn)行隱藏、能夠?qū)RL、弱口令進(jìn)行防護(hù)、能夠?qū)?HTTP的異常情況進(jìn)行及時(shí)檢測(cè)、能夠?qū)彌_

10、區(qū)溢出 進(jìn)行檢測(cè)、能夠基于終端的漏洞進(jìn)行檢測(cè)、能夠?qū)OS/DDOS的攻擊進(jìn)行智能防護(hù)，增強(qiáng)了 web服務(wù)器主動(dòng)對(duì)各種攻擊進(jìn)行防御的能力。? 豐富的日志報(bào)表功能，能夠有效幫助安徽移動(dòng)分析網(wǎng)絡(luò)安全狀況。網(wǎng)絡(luò)拓?fù)淙缦拢篊MNET7×10G5×10GNE80E（西區(qū) ）1×10GE+×10GE106（中區(qū)）（中區(qū)）直接內(nèi)P2P緩互聯(lián)系統(tǒng)藍(lán)訊緩存 網(wǎng)宿緩存路由器 （中區(qū) ）13×10GE+10×10GE容引入 （中區(qū) ）存系統(tǒng)（中區(qū) ）2×10GE+2×10GE內(nèi)容引入 集團(tuán)客戶（西區(qū)）VIP 客戶 （東區(qū) ）自有業(yè)務(wù) 合

11、作業(yè)務(wù) （西區(qū) ）1×10GE+1×10GE集團(tuán) 托管業(yè)務(wù)（中區(qū) ）區(qū)）省網(wǎng)匯聚 （NE5000E）1 × 10GE×10GE4×10GE+E+7×10GES9306（東區(qū)）S（東93區(qū)06）區(qū) ）2 臺(tái)93031×10GE操作維護(hù)區(qū)3 ×10GE 3 ×10G4E×10G7×10G1 × 10GE+1×10GE1×100GE3×10GE+3×10GE 3×10GE+ 3×10GE9303路由器 （ 中區(qū) ）2

12、15;10GE+2×10GE13×10GE+10×10GENE80E（ 西區(qū) ）新增4臺(tái)采購數(shù)量：4臺(tái) NGAF-6020應(yīng)用效果通過在網(wǎng)站服務(wù)器邊界部署 NGAF防火墻，有效降低服務(wù)器的安全風(fēng)險(xiǎn)和信息泄露的風(fēng)險(xiǎn)，目前設(shè)備運(yùn)行正常，客戶對(duì)設(shè)備的性能和防護(hù)效果比較滿意。中國移動(dòng)通信（湛江）分公司應(yīng)用背景UAP全稱叫集團(tuán)客戶信息化統(tǒng)一應(yīng)用平臺(tái)， 是一項(xiàng)針對(duì)移動(dòng)大客戶的云服務(wù)， 客戶可以直接把自己的業(yè)務(wù)系統(tǒng)托管在 UAP上，利用這個(gè)平臺(tái)的硬件、 軟件以及 帶寬資源進(jìn)行業(yè)務(wù)系統(tǒng)的發(fā)布。目前承載有政企 OA應(yīng)用、集團(tuán)內(nèi)部門戶網(wǎng)站、 政府門戶網(wǎng)站群等 WEB應(yīng)用達(dá) 1000

13、多個(gè)，預(yù)計(jì)今年年底 WEB應(yīng)用站點(diǎn)將增長(zhǎng)到 1500個(gè)。隨著湛江移動(dòng)公司對(duì)重要政企客戶業(yè)務(wù)的拓展與推進(jìn)， 眾多重要政企客戶希 望公司內(nèi)部服務(wù)及系統(tǒng)能通過湛江移動(dòng)的 UAP平臺(tái)進(jìn)行托管，保障其能得到運(yùn)營 商級(jí)的維護(hù)及安全保障。UAP平臺(tái)利用運(yùn)營商的資源集中管理政企客戶的門戶網(wǎng)站及應(yīng)用系統(tǒng)， 為其 提供高安全級(jí)別的運(yùn)營商級(jí)別安全防護(hù)， 通過專業(yè)的高安全級(jí)別的安全架構(gòu)搭建 一個(gè)集中政企業(yè)務(wù)的云數(shù)據(jù)中心。需求分析湛江移動(dòng)搭建的 UAP云數(shù)據(jù)中心已經(jīng)有了許多政企客戶將自己的系統(tǒng)托管 與其上。此次安全改造需達(dá)到效果如下：? 防止漏洞掃描：首先此次的安全改造必須要能夠防止黑客攻擊前所進(jìn)行 的漏洞掃描及攻擊點(diǎn)

14、嗅探。 并能夠通過中國移動(dòng)廣東省公司針對(duì)下面各個(gè)地 市分公司的掃描考核指標(biāo)。? 防止針對(duì)漏洞的攻擊行為：能夠防止針對(duì)于服務(wù)器或用戶的系統(tǒng)的底層OS漏洞或是軟件漏洞， 以及中間件進(jìn)行相應(yīng)的防御并作出處理。 （ 3）防止針 對(duì) WEB服務(wù)器的攻擊行為： 能都對(duì)黑客針對(duì)于 WEB服務(wù)器的攻擊行為進(jìn)行防 御與處理。? 防止被篡改后的網(wǎng)頁被訪問到： 之前使用的防篡改軟件 iguard 服務(wù)已經(jīng) 快要到期了，并且使用效果不是特別好，希望我們能夠保障他們的網(wǎng)站如果 憋篡改外面也無法訪問到被篡改的頁面。? 保證安全的前提下穩(wěn)定性高：因?yàn)榇舜?UAP平臺(tái)承載的數(shù)據(jù)量比較大， 所提供方案必須能夠保證在保證其安全防

15、護(hù)的前提下能夠提供高穩(wěn)定性， 不 會(huì)照成訪問的延遲或是性能不足宕機(jī)導(dǎo)致斷網(wǎng)。解決方案在湛江移動(dòng) UAP云數(shù)據(jù)中心平臺(tái)的兩臺(tái) UAP核心交換機(jī)與兩臺(tái)業(yè)務(wù)核心交換 機(jī)之間部署兩臺(tái)深信服 NGAF-8020萬兆應(yīng)用防火墻，開啟防漏掃， IPS，服務(wù)器 防護(hù)功能，并對(duì)網(wǎng)站的網(wǎng)頁篡改進(jìn)行防護(hù)保障湛江移動(dòng) UAP云數(shù)據(jù)中心的云平臺(tái) 安全與其所托管政企客戶的業(yè)務(wù)安全。防止漏洞掃描：? 防止黑客通過一些方式掃描或是嗅探出內(nèi)部系統(tǒng)的漏洞，或是軟件本身 所存在的一些漏洞，通過屏蔽軟件，系統(tǒng)的版本及其他的相應(yīng)信息，讓外部 無法對(duì)內(nèi)網(wǎng)的系統(tǒng)及軟件信息進(jìn)行嗅探。? 防止黑客通過對(duì) WEB服務(wù)的掃描探測(cè)發(fā)現(xiàn) WEB服務(wù)器

16、上的具體漏洞信息， 通過防漏掃功能保證掃描到的漏洞信息低于省公司的要求值。數(shù)據(jù)中心及對(duì)外業(yè)務(wù)防護(hù)：? 防止黑客針對(duì)內(nèi)部的系統(tǒng)底層漏洞及軟件所存在的漏洞進(jìn)行相應(yīng)的針對(duì) 性的攻擊。? 防護(hù)常用 WEB攻擊，如 SQL注入攻擊、 XSS跨站攻擊、 CSRF攻擊、網(wǎng)頁 掛馬攻擊、 webshell 上傳攻擊、命令行注入攻擊、緩沖區(qū)溢出攻擊、黑鏈植 入攻擊。網(wǎng)頁防篡改：定時(shí)檢查受保護(hù)的網(wǎng)頁， 發(fā)現(xiàn)被篡改時(shí)， 自動(dòng)接管外部的訪問， 并返回之前 保存的網(wǎng)頁。高性能高穩(wěn)定：深信服 NGAF通過其獨(dú)特的單次解析及控制應(yīng)用架構(gòu)分離的方式實(shí)現(xiàn)全面都 功能安全防護(hù)的同時(shí)保障了設(shè)備的高性能， 并能夠很好地保證 UAP平

17、臺(tái)的業(yè)務(wù)系 統(tǒng)的穩(wěn)定性。網(wǎng)絡(luò)拓?fù)鋱D如下：應(yīng)用效果深信服下一代應(yīng)用防火墻部署在湛江移動(dòng) UAP云數(shù)據(jù)中心前，從攻擊前掃描， 攻擊中的各種攻擊手段， 以及攻擊后對(duì)網(wǎng)絡(luò)的破壞都做了相應(yīng)的防護(hù)， 最重要的 是在運(yùn)營商大流量大并發(fā)的條件下做到如此完善的安全防護(hù)的同時(shí)還能保證性 能與穩(wěn)定性，非常的不容易。中國移動(dòng)通信（邯鄲）分公司應(yīng)用背景BOSS，業(yè)務(wù)運(yùn)營支持系統(tǒng)（ Business & Operation Support System ），它融 合了業(yè)務(wù)支撐系統(tǒng) （BSS）與運(yùn)營支撐系統(tǒng) （OSS），是一個(gè)綜合的業(yè)務(wù)運(yùn)營和管理 支撐平臺(tái)， 同時(shí)也是真正融合業(yè)務(wù) （不同的運(yùn)營商有不同業(yè)務(wù)的融合，

18、如傳統(tǒng)網(wǎng) 絡(luò)接入業(yè)務(wù)、 IP 數(shù)據(jù)業(yè)務(wù)、內(nèi)容提供業(yè)務(wù)與移動(dòng)增值業(yè)務(wù)等） 的綜合管理平臺(tái)。該系統(tǒng)最早由電信部門的計(jì)費(fèi)系統(tǒng)發(fā)展演變而來， 基本功能包括客戶資料管 理、產(chǎn)品管理、用戶訂購管理、計(jì)費(fèi)、出帳、結(jié)算等，負(fù)責(zé)登記客戶資料、管理 用戶訂購服務(wù)的提供、實(shí)時(shí)的根據(jù)不同產(chǎn)品、套餐的資費(fèi)標(biāo)準(zhǔn)計(jì)算業(yè)務(wù)（手機(jī)、 固定電話用戶通話時(shí)、點(diǎn)播收視、寬帶流量與時(shí)間等）的消費(fèi)金額，準(zhǔn)實(shí)時(shí)及定 期計(jì)算用戶帳單， 實(shí)時(shí)或定期結(jié)算用戶各種消費(fèi)費(fèi)用。 后來又增加了用戶信用控 制功能， 負(fù)責(zé)實(shí)時(shí)計(jì)算預(yù)付費(fèi)用戶現(xiàn)金余額， 對(duì)欠費(fèi)用戶實(shí)施即時(shí)停機(jī)。 隨著電 信企業(yè)的不斷發(fā)展， BOSS也在逐漸完善并增強(qiáng)功能， 逐漸包括了資源管理

19、系統(tǒng)、 客戶服務(wù)系統(tǒng)、以及與銀行等外界的接口，不斷提高企業(yè)的服務(wù)質(zhì)量。隨著邯鄲移動(dòng)公司對(duì)業(yè)務(wù)系統(tǒng)的增加。 整體系統(tǒng)的穩(wěn)定性， 安全性都是邯鄲 移動(dòng)的正常業(yè)務(wù)交付需要的保障。需求分析邯鄲移動(dòng)的 BOSS系統(tǒng)承載了資源管理系統(tǒng)、客戶服務(wù)系統(tǒng)，此次安全加固 需要做到以下幾點(diǎn)：? 防止漏洞掃描：之前由移動(dòng)省公司利用掃描工具對(duì)地市的各個(gè) BOSS系統(tǒng) 進(jìn)行掃描發(fā)現(xiàn)了很多漏洞。包括服務(wù)器、客戶端、網(wǎng)絡(luò)協(xié)議等安全漏洞，此 次安全升級(jí)針對(duì) BOSS系統(tǒng)漏洞的進(jìn)行防護(hù)泄露。? 防止針對(duì)漏洞的攻擊行為：能夠防止針對(duì)于服務(wù)器或用戶的系統(tǒng)的底層OS漏洞或是軟件漏洞，以及中間件進(jìn)行相應(yīng)的防御并作出處理。? 防止針對(duì) WEB服務(wù)器的攻擊行為：能都對(duì)黑客針對(duì)于 WEB服務(wù)器的攻擊 行為進(jìn)行防御與處理。? 滿足 BOSS系統(tǒng)高穩(wěn)定性： BOSS承載著太多邯鄲移動(dòng)的主要業(yè)務(wù)平臺(tái)， 不容有任何的閃失，一旦出現(xiàn)問題就將會(huì)影響到整個(gè)業(yè)務(wù)平臺(tái)的交付，影響 業(yè)務(wù)的正常運(yùn)行。 此次安全加固所提供方案必須能夠保證在保證其安全防護(hù) 的前提下能夠提供高穩(wěn)定性， 不會(huì)照成訪問的延遲或是性能不足宕