【51CTO.com 綜合報(bào)道】隨著3G建設(shè)和全業(yè)務(wù)時(shí)代的愈加繁榮，如何能夠向各類(lèi)用戶(hù)提供持續(xù)、不間斷的網(wǎng)絡(luò)應(yīng)用服務(wù)，同時(shí)確保對(duì)入侵監(jiān)測(cè)、Dos等攻擊進(jìn)行有效的防護(hù)成為運(yùn)營(yíng)商所面臨的嚴(yán)苛考驗(yàn)。全球領(lǐng)先的業(yè)務(wù)智能集成應(yīng)用交付解決方案提供商Radware，憑借自身過(guò)硬的產(chǎn)品、技術(shù)研發(fā)及創(chuàng)新優(yōu)勢(shì)，幫助運(yùn)營(yíng)商不斷突破，并為用戶(hù)提供卓越的服務(wù)。

全局負(fù)載均衡助力用戶(hù)實(shí)現(xiàn)最快訪問(wèn)

針對(duì)帶寬增加，數(shù)據(jù)流量不斷增大，網(wǎng)絡(luò)核心部分的數(shù)據(jù)接口將面臨瓶頸問(wèn)題，原有的單一線路將很難滿(mǎn)足需求，而線路的升級(jí)又過(guò)于昂貴甚至難以實(shí)現(xiàn)，Radware AppDirector能夠幫助運(yùn)營(yíng)商以更低的成本、更快的速度、更靈活的響應(yīng)用戶(hù)的需求。

1、 項(xiàng)目背景

某地區(qū)電信運(yùn)營(yíng)商業(yè)務(wù)支撐系統(tǒng)(BOSS)由計(jì)費(fèi)系統(tǒng)、結(jié)算系統(tǒng)、營(yíng)業(yè)帳務(wù)系統(tǒng)、客戶(hù)服務(wù)系統(tǒng)組成，為更好適應(yīng)移動(dòng)通信業(yè)務(wù)功能多元化發(fā)展，用戶(hù)規(guī)模的非線性增長(zhǎng)以及日益激烈的市場(chǎng)競(jìng)爭(zhēng)，該運(yùn)營(yíng)商決定進(jìn)行BOSS擴(kuò)容工程，對(duì)包括區(qū)計(jì)費(fèi)結(jié)算中心、營(yíng)業(yè)帳務(wù)中心、客戶(hù)服務(wù)中心及15個(gè)地區(qū)中心的營(yíng)業(yè)帳務(wù)系統(tǒng)進(jìn)行應(yīng)急擴(kuò)容，以構(gòu)架一個(gè)靈活可靠的電子信息基礎(chǔ)架構(gòu)。

該運(yùn)營(yíng)商的BOSS系統(tǒng)擴(kuò)容工程具體包括：建設(shè)自有電話計(jì)費(fèi)結(jié)算系統(tǒng)，以適應(yīng)電信系統(tǒng)不斷變化的需要，加速運(yùn)營(yíng)費(fèi)用回收，保護(hù)企業(yè)投資，提高企業(yè)效益，同時(shí)也減少呆帳、欠帳的發(fā)生；建設(shè)營(yíng)業(yè)帳務(wù)系統(tǒng)，配置特殊業(yè)務(wù)服務(wù)器，實(shí)現(xiàn)區(qū)營(yíng)業(yè)帳務(wù)中心功能、客戶(hù)關(guān)系管理，對(duì)全球呼業(yè)務(wù)、黑名單等進(jìn)行處理。

2、 BOSS-x數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)概況

在網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)層面，該運(yùn)營(yíng)商BOSS-x按照雙中心模式在兩個(gè)物理位置建立兩套完全相同的業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)，分別為A中心和B中心。網(wǎng)絡(luò)設(shè)計(jì)采用全冗余結(jié)構(gòu)消除單點(diǎn)故障，兩外側(cè)兩臺(tái)WLMQ-a核心交換機(jī)通過(guò)OSPF跑Active/Active,兩個(gè)中心的外側(cè)核心交換機(jī)以上區(qū)域通過(guò)OSPF協(xié)議互聯(lián)，以下部分到內(nèi)部核心業(yè)務(wù)系統(tǒng)均配置靜態(tài)路由方式。

在業(yè)務(wù)邏輯實(shí)現(xiàn)層面，規(guī)劃兩個(gè)中心采用主/備方式，B中心作為BOSS業(yè)務(wù)的主中心，A中心作為冗災(zāi)備份中心

3、 BOSS系統(tǒng)詳細(xì)功能需求 

a) 客戶(hù)所有的訪問(wèn)全部基于C/S模式，因?yàn)锽OSS系統(tǒng)前端都是采用專(zhuān)有的客戶(hù)端軟件直接連接中心的訪問(wèn)點(diǎn)

b) 平時(shí)所有客戶(hù)端都連接到南湖路中心，滿(mǎn)足如下兩點(diǎn)： 

◆B中心服務(wù)器正常時(shí)，業(yè)務(wù)處理在B中心服務(wù)器上完成 

◆當(dāng)B中心服務(wù)器出現(xiàn)故障時(shí)，業(yè)務(wù)處理在A中心服務(wù)器上完成

c) 當(dāng)B中心出現(xiàn)故障時(shí)，客戶(hù)端切換到A中心，滿(mǎn)足如下兩點(diǎn)： 

◆A中心服務(wù)器正常時(shí)，業(yè)務(wù)處理在A中心服務(wù)器上完成 

◆當(dāng)A中心服務(wù)器出現(xiàn)故障時(shí)，業(yè)務(wù)處理在B中心服務(wù)器上完成

d) 當(dāng)B中心恢復(fù)正常后，所有客戶(hù)端都重新連接到B中心，滿(mǎn)足如下兩點(diǎn)： 

◆手工切換。避免由于短暫的鏈路波動(dòng)導(dǎo)致業(yè)務(wù)系統(tǒng)的切換。 

◆自動(dòng)切換。

4、 Radware解決方案  
 

由于用戶(hù)的需求是C/S模式下的冗災(zāi)備份方案，我們建議采用OSFP AnyCast技術(shù)實(shí)現(xiàn)災(zāi)備切換，考慮到現(xiàn)網(wǎng)的路由設(shè)計(jì)，在A中心和B中心的上層核心機(jī)上旁路部屬兩臺(tái)AppDirector-Global全局負(fù)載均衡設(shè)備，兩臺(tái)AppDirector-Global通過(guò)標(biāo)準(zhǔn)的VRRP協(xié)議實(shí)現(xiàn)雙機(jī)冗余，保證設(shè)備的可靠性。在Appdirector-Global開(kāi)啟IP AnyCast技術(shù)，并參與到上層OSPF域中。

方案描述：

a) 兩個(gè)中心的AD-N設(shè)備利用IP Anycast技術(shù)對(duì)外發(fā)布相同的業(yè)務(wù)虛擬IP地址（VIP）主機(jī)路由  

◆B中心AD設(shè)備發(fā)出的主機(jī)路由具有較低Metric值，A中心AD設(shè)備發(fā)出的主機(jī)路由具有較高的Metric值 

◆兩個(gè)中心的AD設(shè)備通過(guò)OSPF協(xié)議將主機(jī)路由公布到MDCN網(wǎng)中的BOSS 網(wǎng)路中

b) 客戶(hù)端連接的IP地址即為VIP地址 

◆利用OSPF的路由優(yōu)選機(jī)制，保證B中心發(fā)布出來(lái)的VIP主機(jī)路由被優(yōu)選到路由表中  

◆當(dāng)B中心故障后，通過(guò)IP AnyCast技術(shù)可以自動(dòng)切換到A中心  

5、 Radware 解決方案優(yōu)勢(shì) 

◆保證BOSS系統(tǒng)7x24小時(shí)可靠運(yùn)行

首先，AppDirector 可靠的狀態(tài)監(jiān)控機(jī)制可以保證用戶(hù)獲得最佳的服務(wù)。AppDirector可以監(jiān)視服務(wù)器在IP、TCP、UDP、應(yīng)用和內(nèi)容等所有協(xié)議層上的工作狀態(tài)。如果發(fā)現(xiàn)故障，用戶(hù)即被透明地重定向到正常工作的服務(wù)器上。這可以保證用戶(hù)始終能夠獲得他們所期望的信息。

其次，為了保證交易完整性的可靠保證，AppDirector可監(jiān)控從 Web 服務(wù)器、中間件服務(wù)器到后端數(shù)據(jù)庫(kù)服務(wù)器的整個(gè)路徑上工作狀態(tài)，確保整個(gè)數(shù)據(jù)路徑上的服務(wù)器都處于正常狀態(tài)。如果存在一個(gè)故障服務(wù)器，AppDirector則不會(huì)將用戶(hù)分配到這個(gè)發(fā)生故障路徑的服務(wù)器，從而保證為用戶(hù)提供透明的數(shù)據(jù)完整性保障。 

◆提升BOSS系統(tǒng)處理能力

AppDirector架設(shè)在應(yīng)用服務(wù)器前端，可以通過(guò)多種負(fù)載均衡算法，以及提供靈活的端口轉(zhuǎn)換，基于3到7層的內(nèi)容等負(fù)載均衡方式幫助用戶(hù)實(shí)現(xiàn)服務(wù)器的科學(xué)負(fù)載均衡，使多臺(tái)應(yīng)用服務(wù)器并行工作，極大提升了BOSS系統(tǒng)的整體處理能力，且提供了靈活的系統(tǒng)升級(jí)和擴(kuò)展能力。 

◆AppDirector設(shè)備自身完全的容錯(cuò)與冗余

AppDirector的配置提供設(shè)備間的完全容錯(cuò)，以確保網(wǎng)絡(luò)最大的可用性。兩個(gè)設(shè)備通過(guò)網(wǎng)絡(luò)相互檢查各自的工作狀態(tài)，為其所管理的應(yīng)用保障完全的網(wǎng)絡(luò)可用性。它們可工作于“主用-備用”模式或“主用-主用”模式，在“主用-主用”模式下，因?yàn)閮蓚€(gè)設(shè)備都處于工作狀態(tài)，從而最大限度地保護(hù)了投資。并且所有的信息都可在設(shè)備間進(jìn)行鏡像，從而提供透明的冗余和完全的容錯(cuò)，確保在任何時(shí)候用戶(hù)都可以獲得從點(diǎn)擊到內(nèi)容的最佳服務(wù)。 

◆通過(guò)正常退出服務(wù)保證穩(wěn)定運(yùn)行

當(dāng)需要進(jìn)行服務(wù)器升級(jí)或系統(tǒng)維護(hù)時(shí)，AppDirector保證穩(wěn)定的服務(wù)器退出服務(wù)以避免服務(wù)中斷。當(dāng)選定某臺(tái)服務(wù)器要從服務(wù)器退出服務(wù)后，AppDirector將不會(huì)將任何新的用戶(hù)分配到該服務(wù)器。但是，它可以要退出服務(wù)的服務(wù)器上完成對(duì)當(dāng)前用戶(hù)的服務(wù)。從而保證了無(wú)中斷的優(yōu)質(zhì)服務(wù)，以及服務(wù)器組的簡(jiǎn)易管理能力。 

◆智能的服務(wù)器服務(wù)恢復(fù)

將重新啟動(dòng)的服務(wù)器應(yīng)用到服務(wù)中時(shí)，避免新服務(wù)器因突然出現(xiàn)的流量沖擊導(dǎo)致系統(tǒng)故障是非常重要的。所以，在將新服務(wù)器引入服務(wù)器組時(shí)，AppDirector將逐漸地增加分配到該服務(wù)器的流量，直至達(dá)到其完全的處理能力。從而不僅保證用戶(hù)在服務(wù)器退出服務(wù)時(shí)，同時(shí)還保證服務(wù)器在啟動(dòng)期間以及應(yīng)用程序開(kāi)始時(shí)，均能獲得不間斷服務(wù)。#p#

DefensePro嚴(yán)防各類(lèi)應(yīng)用攻擊

在運(yùn)營(yíng)商用戶(hù)面臨網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì)，Radware DefensePro可以為運(yùn)營(yíng)商提供實(shí)時(shí)地隔離、攔截和阻止各種應(yīng)用攻擊、從而為所有網(wǎng)絡(luò)化應(yīng)用、用戶(hù)和資源提供強(qiáng)有力的直接保護(hù)。

1、項(xiàng)目背景 

該運(yùn)營(yíng)商成立于1999年9月，截止到2006年底，該運(yùn)營(yíng)商交換機(jī)總?cè)萘窟_(dá)到900萬(wàn)門(mén)，基站達(dá)到4000多個(gè)，與206個(gè)國(guó)家和地區(qū)的271個(gè)運(yùn)營(yíng)公司開(kāi)通了國(guó)際漫游業(yè)務(wù)；該地區(qū)每三個(gè)人中，就有一個(gè)是該運(yùn)營(yíng)商的客戶(hù)。

彩鈴業(yè)務(wù)是該運(yùn)營(yíng)商推出的一項(xiàng)關(guān)鍵業(yè)務(wù)。該運(yùn)營(yíng)商為其用戶(hù)提供自助開(kāi)通、變更彩鈴服務(wù)，并提供各類(lèi)手機(jī)鈴聲下載，用戶(hù)訪問(wèn)量較大。考慮到彩鈴門(mén)戶(hù)的安全性問(wèn)題，本期對(duì)整個(gè)系統(tǒng)進(jìn)行安全加固，需要安全設(shè)備對(duì)入侵監(jiān)測(cè)、Dos等攻擊進(jìn)行有效的防護(hù)。

2、項(xiàng)目需求

目前網(wǎng)絡(luò)上的攻擊大都是通過(guò)防火墻開(kāi)放的80端口或通過(guò)一些惡意代碼等HTTP協(xié)議返回包來(lái)侵入內(nèi)部服務(wù)器的，一旦內(nèi)網(wǎng)中一臺(tái)機(jī)器受到感染，病毒或攻擊很快就好在整個(gè)內(nèi)網(wǎng)中擴(kuò)散，造成更大的隨時(shí)，對(duì)于大流量下內(nèi)容級(jí)別的安全需要專(zhuān)業(yè)的解決方案來(lái)實(shí)現(xiàn)。

3、Radware解決方案  

在網(wǎng)絡(luò)接入處，部署DefensePro，可以識(shí)別并實(shí)時(shí)抵御1500多種蠕蟲(chóng)、病毒、DOS攻擊和異常的流量模式，保護(hù)內(nèi)部用戶(hù)和服務(wù)器的安全。

同時(shí)，通過(guò)把端口兩兩靜態(tài)綁定，虛擬成兩臺(tái)臺(tái)邏輯設(shè)備，分別部署在兩條internet鏈路上之間實(shí)時(shí)防范來(lái)自互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)和主機(jī)的DOS攻擊和入侵攻擊。

4、Radware解決方案的優(yōu)勢(shì)

高效、易于使用和維護(hù)是優(yōu)秀安全解決方案的必要特點(diǎn)。

高效 -保護(hù)手段必須提供準(zhǔn)確和精細(xì)的偵查和預(yù)防機(jī)制，在提供保護(hù)的同時(shí)不干涉合法的流量。這一點(diǎn)是至關(guān)重要的，它保證了關(guān)鍵應(yīng)用既使面臨一次巨型的攻擊，也能夠提供正常的服務(wù)。

Simplicity/TCO - 復(fù)雜配置和頻繁的更新維護(hù)會(huì)導(dǎo)致配置錯(cuò)誤，最終引起攻擊的誤判。 因此，保護(hù)措施必須易于配置和管理，而且需要最少的特征更新和其它維護(hù)。

Radware DefensePro安全交換機(jī)獨(dú)具的多層安全架構(gòu)完全具備了上述要求，在功能和性能上都是用戶(hù)保護(hù)網(wǎng)絡(luò)應(yīng)用的最佳選擇： 

◆創(chuàng)新的硬件架構(gòu)提供高達(dá)6G的安全吞吐能力； 

◆基于行為模式的自動(dòng)BDOS攻擊防范機(jī)制最大程度降低該運(yùn)營(yíng)商的TCO和縮短對(duì)新型攻擊的相應(yīng)時(shí)間； 

◆帶寬管理功能降低垃圾流量對(duì)網(wǎng)絡(luò)帶寬的惡意占用； 

◆集DDOS防范、IPS和帶寬管理于一身，有效保護(hù)該運(yùn)營(yíng)商的投資。