深信服AF_運(yùn)營商行業(yè)案例集-2015

1、業(yè)案例集深信服科技有限公司2015年 06月中國電信上海公司 3安徽移動 5中國移動通信（湛江）分公司 7中國移動通信（邯鄲）分公司 11中國電信上海公司應(yīng)用背景BOSS，業(yè)務(wù)運(yùn)營支持系統(tǒng)（ Business & Operation Support System ），它融 合了業(yè)務(wù)支撐系統(tǒng) （BSS）與運(yùn)營支撐系統(tǒng) （OSS），是一個綜合的業(yè)務(wù)運(yùn)營和管理 支撐平臺， 同時也是真正融合業(yè)務(wù) （不同的運(yùn)營商有不同業(yè)務(wù)的融合， 如傳統(tǒng)網(wǎng) 絡(luò)接入業(yè)務(wù)、 IP 數(shù)據(jù)業(yè)務(wù)、內(nèi)容提供業(yè)務(wù)與移動增值業(yè)務(wù)等） 的綜合管理平臺。該系統(tǒng)最早由電信部門的計費系統(tǒng)發(fā)展演變而來， 基本功能包括客戶資料管 理、產(chǎn)品

2、管理、用戶訂購管理、計費、出帳、結(jié)算等，負(fù)責(zé)登記客戶資料、管理 用戶訂購服務(wù)的提供、實時的根據(jù)不同產(chǎn)品、套餐的資費標(biāo)準(zhǔn)計算業(yè)務(wù)（手機(jī)、 固定電話用戶通話時、點播收視、寬帶流量與時間等）的消費金額，準(zhǔn)實時及定 期計算用戶帳單， 實時或定期結(jié)算用戶各種消費費用。 后來又增加了用戶信用控 制功能， 負(fù)責(zé)實時計算預(yù)付費用戶現(xiàn)金余額， 對欠費用戶實施即時停機(jī)。 隨著電 信企業(yè)的不斷發(fā)展， BOSS也在逐漸完善并增強(qiáng)功能， 逐漸包括了資源管理系統(tǒng)、 客戶服務(wù)系統(tǒng)、以及與銀行等外界的接口，不斷提高企業(yè)的服務(wù)質(zhì)量。隨著上海電信公司對業(yè)務(wù)系統(tǒng)的增加。 整體系統(tǒng)的穩(wěn)定性， 安全性都是上海 電信的正常業(yè)務(wù)交付需要的

3、保障。需求分析上海電信的 BOSS系統(tǒng)承載了資源管理系統(tǒng)、客戶服務(wù)系統(tǒng)，此次安全加固 需要做到以下幾點：? 防止漏洞掃描：之前由移動省公司利用掃描工具對地市的各個 BOSS系統(tǒng) 進(jìn)行掃描發(fā)現(xiàn)了很多漏洞。包括服務(wù)器、客戶端、網(wǎng)絡(luò)協(xié)議等安全漏洞，此 次安全升級針對 BOSS系統(tǒng)漏洞的進(jìn)行防護(hù)泄露。? 防止針對漏洞的攻擊行為：能夠防止針對于服務(wù)器或用戶的系統(tǒng)的底層 OS漏洞或是軟件漏洞，以及中間件進(jìn)行相應(yīng)的防御并作出處理。? 防止針對 WEB服務(wù)器的攻擊行為：能都對黑客針對于 WEB服務(wù)器的攻擊 行為進(jìn)行防御與處理。? 滿足 BOSS系統(tǒng)高穩(wěn)定性： BOSS承載著太多上海電信的主要業(yè)務(wù)平臺， 不容有

4、任何的閃失，一旦出現(xiàn)問題就將會影響到整個業(yè)務(wù)平臺的交付，影響 業(yè)務(wù)的正常運(yùn)行。 此次安全加固所提供方案必須能夠保證在保證其安全防護(hù) 的前提下能夠提供高穩(wěn)定性， 不會照成訪問的延遲或是性能不足宕機(jī)導(dǎo)致斷 網(wǎng)。解決方案在上海電信 BOSS系統(tǒng)出口路由器上旁掛兩臺下一代防火墻，開啟防漏掃， IPS，服務(wù)器防護(hù)功能，對 BOSS系統(tǒng)的網(wǎng)絡(luò)接入業(yè)務(wù)、 IP 數(shù)據(jù)業(yè)務(wù)、內(nèi)容提供 業(yè)務(wù)與移動增值業(yè)務(wù)形成整體的安全防護(hù)。防止漏洞掃描：防止黑客通過一些方式掃描或是嗅探出 BOSS系統(tǒng)內(nèi)部服務(wù)器的漏洞，或是 應(yīng)用軟件本身所存在的一些漏洞， 通過屏蔽各類軟件漏洞， 系統(tǒng)的版本及其他的 相關(guān)信息，讓外部無法對 BOS

5、S系統(tǒng)內(nèi)網(wǎng)及軟件信息進(jìn)行嗅探。防止黑客通過對 WEB服務(wù)的掃描探測發(fā)現(xiàn) WEB服務(wù)器上的具體漏洞信息， 通 過防漏掃功能保證掃描到的漏洞信息低于省公司的要求值。BOSS系統(tǒng)及對外業(yè)務(wù)防護(hù)：防止黑客針對 BOSS系統(tǒng)內(nèi)部服務(wù)器底層漏洞及軟件所存在的漏洞進(jìn)行相應(yīng) 的針對性的攻擊。防護(hù)常用 WEB攻擊，如 SQL注入攻擊、 XSS跨站攻擊、 CSRF攻擊、網(wǎng)頁掛馬 攻擊、webshell 上傳攻擊、 命令行注入攻擊、 緩沖區(qū)溢出攻擊、 黑鏈植入攻擊。高性能高穩(wěn)定：深信服 NGAF通過其獨特的單次解析及控制應(yīng)用架構(gòu)分離的方式實現(xiàn)全面都 功能安全防護(hù)的同時保障了設(shè)備的高性能，并能夠很好地保證BOSS的業(yè)

6、務(wù)系統(tǒng)的穩(wěn)定性。應(yīng)用效果深信服下一代應(yīng)用防火墻部署在上海電信 BOSS系統(tǒng)前，從攻擊前掃描，攻 擊中的各種攻擊手段， 以及攻擊后對網(wǎng)絡(luò)的破壞都做了相應(yīng)的防護(hù)， 最重要的是 在運(yùn)營商如此重要的業(yè)務(wù)平臺的大流量大并發(fā)的條件下做到如此完善的安全防 護(hù)的同時還能保證性能與穩(wěn)定性，非常的不容易。安徽移動應(yīng)用背景安徽移動 IDC 五期網(wǎng)絡(luò)及安全設(shè)備擴(kuò)容工程需進(jìn)行網(wǎng)站防護(hù)產(chǎn)品的建設(shè)， 主 要實現(xiàn) IDC 平臺中區(qū)的內(nèi)容引入業(yè)務(wù)中有防護(hù)需求的網(wǎng)站 （ 如政府、醫(yī)院、招聘、地方論壇等網(wǎng)站 ） ，西區(qū)的自 建及集團(tuán)托管業(yè)務(wù)等的網(wǎng)站防護(hù)。需求分析? 安全性：需要對 HTTP協(xié)議進(jìn)行防護(hù)，需要對 HTTP加密會話進(jìn)行

7、分析， 需要對蠕蟲、? 緩沖區(qū)溢出、 CGI 信息掃描、目錄遍歷等攻擊進(jìn)行防護(hù)，需要對 SQL注 入、XSS等 OWASP top10進(jìn)行防護(hù)，需要對爬蟲、盜鏈、掃描等進(jìn)行防護(hù)， 需要對非法上傳、下載、網(wǎng)頁防篡改、 CC攻擊進(jìn)行防護(hù)等；? 需要提供多種格式安全報表、報表可自定義、可對報表進(jìn)行查詢；? 需要支持第三方的管理，并且要求支持進(jìn)行分級授權(quán)管理。解決方案? 更精準(zhǔn)的應(yīng)用層安全控制：深信服獨創(chuàng)的應(yīng)用可視化技術(shù)，可以根據(jù)應(yīng) 用的行為和特征實現(xiàn)對應(yīng)用的識別和控制，而不僅僅依賴于端口或協(xié)議，擺 脫了過去只能通過 IP 地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應(yīng)付自 如，既滿足了普通互聯(lián)網(wǎng)邊界行為

8、管控的要求，同時還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中 心和廣域網(wǎng)邊界的部署要求，可以識別和控制豐富的內(nèi)網(wǎng)應(yīng)用。? 可視化的應(yīng)用識別：深信服 Web防火墻以精確的應(yīng)用識別為基礎(chǔ)，可以 幫助安徽移動恢復(fù)對網(wǎng)絡(luò)中各類流量的掌控，阻斷或控制不當(dāng)操作，根據(jù)企 業(yè)自身狀況合理分配帶寬資源等。? 豐富的認(rèn)證方式：幫助組織管理員有效區(qū)分用戶，建立組織身份認(rèn)證體 系，進(jìn)而形成樹形用戶分組，映射組織行政結(jié)構(gòu)，實現(xiàn)用戶與資源的一一對 應(yīng)。? 全方面的應(yīng)用安全防護(hù)能力：深信服 Web防火墻具備完整的 L2-L7 的安 全防護(hù)功能，能真正做到內(nèi)核級聯(lián)動， 為用戶的業(yè)務(wù)系統(tǒng)提供一個真正的 “銅 墻鐵壁”。? 基于應(yīng)用的深度入侵防御：深信

9、服 WAF的灰度威脅關(guān)聯(lián)分析引擎具備 3000+條漏洞特征庫、 2500+Web應(yīng)用威脅特征庫，可以全面識別各種應(yīng)用層 和內(nèi)容級別的單一安全威脅；另外，深信服憑借在應(yīng)用層領(lǐng)域 6 年以上的技 術(shù)積累，組建了專業(yè)的安全攻防團(tuán)隊，可以為安徽移動定期提供最新的威脅 特征庫更新，以確保防御的及時性。? 強(qiáng)大的 WEB安全防護(hù)：能夠有效對 SQL注入攻擊、 XSS跨站腳本攻擊、 CSRF攻擊、網(wǎng)頁的篡改、 Web站點掃描、漏洞掃描等進(jìn)行防范，降低 web服 務(wù)器的安全風(fēng)險。? 先進(jìn)的主動防御技術(shù)：能夠有效對應(yīng)用信息進(jìn)行隱藏、能夠?qū)RL、弱口令進(jìn)行防護(hù)、能夠?qū)?HTTP的異常情況進(jìn)行及時檢測、能夠?qū)彌_

10、區(qū)溢出 進(jìn)行檢測、能夠基于終端的漏洞進(jìn)行檢測、能夠?qū)OS/DDOS的攻擊進(jìn)行智能防護(hù)，增強(qiáng)了 web服務(wù)器主動對各種攻擊進(jìn)行防御的能力。? 豐富的日志報表功能，能夠有效幫助安徽移動分析網(wǎng)絡(luò)安全狀況。網(wǎng)絡(luò)拓?fù)淙缦拢篊MNET7×10G5×10GNE80E（西區(qū) ）1×10GE+×10GE106（中區(qū)）（中區(qū)）直接內(nèi)P2P緩互聯(lián)系統(tǒng)藍(lán)訊緩存 網(wǎng)宿緩存路由器 （中區(qū) ）13×10GE+10×10GE容引入 （中區(qū) ）存系統(tǒng)（中區(qū) ）2×10GE+2×10GE內(nèi)容引入 集團(tuán)客戶（西區(qū)）VIP 客戶 （東區(qū) ）自有業(yè)務(wù) 合

11、作業(yè)務(wù) （西區(qū) ）1×10GE+1×10GE集團(tuán) 托管業(yè)務(wù)（中區(qū) ）區(qū)）省網(wǎng)匯聚 （NE5000E）1 × 10GE×10GE4×10GE+E+7×10GES9306（東區(qū)）S（東93區(qū)06）區(qū) ）2 臺93031×10GE操作維護(hù)區(qū)3 ×10GE 3 ×10G4E×10G7×10G1 × 10GE+1×10GE1×100GE3×10GE+3×10GE 3×10GE+ 3×10GE9303路由器 （ 中區(qū) ）2

12、15;10GE+2×10GE13×10GE+10×10GENE80E（ 西區(qū) ）新增4臺采購數(shù)量：4臺 NGAF-6020應(yīng)用效果通過在網(wǎng)站服務(wù)器邊界部署 NGAF防火墻，有效降低服務(wù)器的安全風(fēng)險和信息泄露的風(fēng)險，目前設(shè)備運(yùn)行正常，客戶對設(shè)備的性能和防護(hù)效果比較滿意。中國移動通信（湛江）分公司應(yīng)用背景UAP全稱叫集團(tuán)客戶信息化統(tǒng)一應(yīng)用平臺， 是一項針對移動大客戶的云服務(wù)， 客戶可以直接把自己的業(yè)務(wù)系統(tǒng)托管在 UAP上，利用這個平臺的硬件、 軟件以及 帶寬資源進(jìn)行業(yè)務(wù)系統(tǒng)的發(fā)布。目前承載有政企 OA應(yīng)用、集團(tuán)內(nèi)部門戶網(wǎng)站、 政府門戶網(wǎng)站群等 WEB應(yīng)用達(dá) 1000

13、多個，預(yù)計今年年底 WEB應(yīng)用站點將增長到 1500個。隨著湛江移動公司對重要政企客戶業(yè)務(wù)的拓展與推進(jìn)， 眾多重要政企客戶希 望公司內(nèi)部服務(wù)及系統(tǒng)能通過湛江移動的 UAP平臺進(jìn)行托管，保障其能得到運(yùn)營 商級的維護(hù)及安全保障。UAP平臺利用運(yùn)營商的資源集中管理政企客戶的門戶網(wǎng)站及應(yīng)用系統(tǒng)， 為其 提供高安全級別的運(yùn)營商級別安全防護(hù)， 通過專業(yè)的高安全級別的安全架構(gòu)搭建 一個集中政企業(yè)務(wù)的云數(shù)據(jù)中心。需求分析湛江移動搭建的 UAP云數(shù)據(jù)中心已經(jīng)有了許多政企客戶將自己的系統(tǒng)托管 與其上。此次安全改造需達(dá)到效果如下：? 防止漏洞掃描：首先此次的安全改造必須要能夠防止黑客攻擊前所進(jìn)行 的漏洞掃描及攻擊點

14、嗅探。 并能夠通過中國移動廣東省公司針對下面各個地 市分公司的掃描考核指標(biāo)。? 防止針對漏洞的攻擊行為：能夠防止針對于服務(wù)器或用戶的系統(tǒng)的底層OS漏洞或是軟件漏洞， 以及中間件進(jìn)行相應(yīng)的防御并作出處理。 （ 3）防止針 對 WEB服務(wù)器的攻擊行為： 能都對黑客針對于 WEB服務(wù)器的攻擊行為進(jìn)行防 御與處理。? 防止被篡改后的網(wǎng)頁被訪問到： 之前使用的防篡改軟件 iguard 服務(wù)已經(jīng) 快要到期了，并且使用效果不是特別好，希望我們能夠保障他們的網(wǎng)站如果 憋篡改外面也無法訪問到被篡改的頁面。? 保證安全的前提下穩(wěn)定性高：因為此次 UAP平臺承載的數(shù)據(jù)量比較大， 所提供方案必須能夠保證在保證其安全防

15、護(hù)的前提下能夠提供高穩(wěn)定性， 不 會照成訪問的延遲或是性能不足宕機(jī)導(dǎo)致斷網(wǎng)。解決方案在湛江移動 UAP云數(shù)據(jù)中心平臺的兩臺 UAP核心交換機(jī)與兩臺業(yè)務(wù)核心交換 機(jī)之間部署兩臺深信服 NGAF-8020萬兆應(yīng)用防火墻，開啟防漏掃， IPS，服務(wù)器 防護(hù)功能，并對網(wǎng)站的網(wǎng)頁篡改進(jìn)行防護(hù)保障湛江移動 UAP云數(shù)據(jù)中心的云平臺 安全與其所托管政企客戶的業(yè)務(wù)安全。防止漏洞掃描：? 防止黑客通過一些方式掃描或是嗅探出內(nèi)部系統(tǒng)的漏洞，或是軟件本身 所存在的一些漏洞，通過屏蔽軟件，系統(tǒng)的版本及其他的相應(yīng)信息，讓外部 無法對內(nèi)網(wǎng)的系統(tǒng)及軟件信息進(jìn)行嗅探。? 防止黑客通過對 WEB服務(wù)的掃描探測發(fā)現(xiàn) WEB服務(wù)器

16、上的具體漏洞信息， 通過防漏掃功能保證掃描到的漏洞信息低于省公司的要求值。數(shù)據(jù)中心及對外業(yè)務(wù)防護(hù)：? 防止黑客針對內(nèi)部的系統(tǒng)底層漏洞及軟件所存在的漏洞進(jìn)行相應(yīng)的針對 性的攻擊。? 防護(hù)常用 WEB攻擊，如 SQL注入攻擊、 XSS跨站攻擊、 CSRF攻擊、網(wǎng)頁 掛馬攻擊、 webshell 上傳攻擊、命令行注入攻擊、緩沖區(qū)溢出攻擊、黑鏈植 入攻擊。網(wǎng)頁防篡改：定時檢查受保護(hù)的網(wǎng)頁， 發(fā)現(xiàn)被篡改時， 自動接管外部的訪問， 并返回之前 保存的網(wǎng)頁。高性能高穩(wěn)定：深信服 NGAF通過其獨特的單次解析及控制應(yīng)用架構(gòu)分離的方式實現(xiàn)全面都 功能安全防護(hù)的同時保障了設(shè)備的高性能， 并能夠很好地保證 UAP平

17、臺的業(yè)務(wù)系 統(tǒng)的穩(wěn)定性。網(wǎng)絡(luò)拓?fù)鋱D如下：應(yīng)用效果深信服下一代應(yīng)用防火墻部署在湛江移動 UAP云數(shù)據(jù)中心前，從攻擊前掃描， 攻擊中的各種攻擊手段， 以及攻擊后對網(wǎng)絡(luò)的破壞都做了相應(yīng)的防護(hù)， 最重要的 是在運(yùn)營商大流量大并發(fā)的條件下做到如此完善的安全防護(hù)的同時還能保證性 能與穩(wěn)定性，非常的不容易。中國移動通信（邯鄲）分公司應(yīng)用背景BOSS，業(yè)務(wù)運(yùn)營支持系統(tǒng)（ Business & Operation Support System ），它融 合了業(yè)務(wù)支撐系統(tǒng) （BSS）與運(yùn)營支撐系統(tǒng) （OSS），是一個綜合的業(yè)務(wù)運(yùn)營和管理 支撐平臺， 同時也是真正融合業(yè)務(wù) （不同的運(yùn)營商有不同業(yè)務(wù)的融合，

18、如傳統(tǒng)網(wǎng) 絡(luò)接入業(yè)務(wù)、 IP 數(shù)據(jù)業(yè)務(wù)、內(nèi)容提供業(yè)務(wù)與移動增值業(yè)務(wù)等） 的綜合管理平臺。該系統(tǒng)最早由電信部門的計費系統(tǒng)發(fā)展演變而來， 基本功能包括客戶資料管 理、產(chǎn)品管理、用戶訂購管理、計費、出帳、結(jié)算等，負(fù)責(zé)登記客戶資料、管理 用戶訂購服務(wù)的提供、實時的根據(jù)不同產(chǎn)品、套餐的資費標(biāo)準(zhǔn)計算業(yè)務(wù)（手機(jī)、 固定電話用戶通話時、點播收視、寬帶流量與時間等）的消費金額，準(zhǔn)實時及定 期計算用戶帳單， 實時或定期結(jié)算用戶各種消費費用。 后來又增加了用戶信用控 制功能， 負(fù)責(zé)實時計算預(yù)付費用戶現(xiàn)金余額， 對欠費用戶實施即時停機(jī)。 隨著電 信企業(yè)的不斷發(fā)展， BOSS也在逐漸完善并增強(qiáng)功能， 逐漸包括了資源管理

19、系統(tǒng)、 客戶服務(wù)系統(tǒng)、以及與銀行等外界的接口，不斷提高企業(yè)的服務(wù)質(zhì)量。隨著邯鄲移動公司對業(yè)務(wù)系統(tǒng)的增加。 整體系統(tǒng)的穩(wěn)定性， 安全性都是邯鄲 移動的正常業(yè)務(wù)交付需要的保障。需求分析邯鄲移動的 BOSS系統(tǒng)承載了資源管理系統(tǒng)、客戶服務(wù)系統(tǒng)，此次安全加固 需要做到以下幾點：? 防止漏洞掃描：之前由移動省公司利用掃描工具對地市的各個 BOSS系統(tǒng) 進(jìn)行掃描發(fā)現(xiàn)了很多漏洞。包括服務(wù)器、客戶端、網(wǎng)絡(luò)協(xié)議等安全漏洞，此 次安全升級針對 BOSS系統(tǒng)漏洞的進(jìn)行防護(hù)泄露。? 防止針對漏洞的攻擊行為：能夠防止針對于服務(wù)器或用戶的系統(tǒng)的底層OS漏洞或是軟件漏洞，以及中間件進(jìn)行相應(yīng)的防御并作出處理。? 防止針對 WEB服務(wù)器的攻擊行為：能都對黑客針對于 WEB服務(wù)器的攻擊 行為進(jìn)行防御與處理。? 滿足 BOSS系統(tǒng)高穩(wěn)定性： BOSS承載著太多邯鄲移動的主要業(yè)務(wù)平臺， 不容有任何的閃失，一旦出現(xiàn)問題就將會影響到整個業(yè)務(wù)平臺的交付，影響 業(yè)務(wù)的正常運(yùn)行。 此次安全加固所提供方案必須能夠保證在保證其安全防護(hù) 的前提下能夠提供高穩(wěn)定性， 不會照成訪問的延遲或是性能不足宕