深信服AF_运营商行业案例集-2015

1、业案例集深信服科技有限公司2015年 06月中国电信上海公司 3安徽移动 5中国移动通信（湛江）分公司 7中国移动通信（邯郸）分公司 11中国电信上海公司应用背景BOSS，业务运营支持系统（ Business & Operation Support System ），它融 合了业务支撑系统 （BSS）与运营支撑系统 （OSS），是一个综合的业务运营和管理 支撑平台， 同时也是真正融合业务 （不同的运营商有不同业务的融合， 如传统网 络接入业务、 IP 数据业务、内容提供业务与移动增值业务等） 的综合管理平台。该系统最早由电信部门的计费系统发展演变而来， 基本功能包括客户资料管 理、产品

2、管理、用户订购管理、计费、出帐、结算等，负责登记客户资料、管理 用户订购服务的提供、实时的根据不同产品、套餐的资费标准计算业务（手机、 固定电话用户通话时、点播收视、宽带流量与时间等）的消费金额，准实时及定 期计算用户帐单， 实时或定期结算用户各种消费费用。 后来又增加了用户信用控 制功能， 负责实时计算预付费用户现金余额， 对欠费用户实施即时停机。 随着电 信企业的不断发展， BOSS也在逐渐完善并增强功能， 逐渐包括了资源管理系统、 客户服务系统、以及与银行等外界的接口，不断提高企业的服务质量。随着上海电信公司对业务系统的增加。 整体系统的稳定性， 安全性都是上海 电信的正常业务交付需要的

3、保障。需求分析上海电信的 BOSS系统承载了资源管理系统、客户服务系统，此次安全加固 需要做到以下几点：? 防止漏洞扫描：之前由移动省公司利用扫描工具对地市的各个 BOSS系统 进行扫描发现了很多漏洞。包括服务器、客户端、网络协议等安全漏洞，此 次安全升级针对 BOSS系统漏洞的进行防护泄露。? 防止针对漏洞的攻击行为：能够防止针对于服务器或用户的系统的底层 OS漏洞或是软件漏洞，以及中间件进行相应的防御并作出处理。? 防止针对 WEB服务器的攻击行为：能都对黑客针对于 WEB服务器的攻击 行为进行防御与处理。? 满足 BOSS系统高稳定性： BOSS承载着太多上海电信的主要业务平台， 不容有

4、任何的闪失，一旦出现问题就将会影响到整个业务平台的交付，影响 业务的正常运行。 此次安全加固所提供方案必须能够保证在保证其安全防护 的前提下能够提供高稳定性， 不会照成访问的延迟或是性能不足宕机导致断 网。解决方案在上海电信 BOSS系统出口路由器上旁挂两台下一代防火墙，开启防漏扫， IPS，服务器防护功能，对 BOSS系统的网络接入业务、 IP 数据业务、内容提供 业务与移动增值业务形成整体的安全防护。防止漏洞扫描：防止黑客通过一些方式扫描或是嗅探出 BOSS系统内部服务器的漏洞，或是 应用软件本身所存在的一些漏洞， 通过屏蔽各类软件漏洞， 系统的版本及其他的 相关信息，让外部无法对 BOS

5、S系统内网及软件信息进行嗅探。防止黑客通过对 WEB服务的扫描探测发现 WEB服务器上的具体漏洞信息， 通 过防漏扫功能保证扫描到的漏洞信息低于省公司的要求值。BOSS系统及对外业务防护：防止黑客针对 BOSS系统内部服务器底层漏洞及软件所存在的漏洞进行相应 的针对性的攻击。防护常用 WEB攻击，如 SQL注入攻击、 XSS跨站攻击、 CSRF攻击、网页挂马 攻击、webshell 上传攻击、 命令行注入攻击、 缓冲区溢出攻击、 黑链植入攻击。高性能高稳定：深信服 NGAF通过其独特的单次解析及控制应用架构分离的方式实现全面都 功能安全防护的同时保障了设备的高性能，并能够很好地保证BOSS的业

6、务系统的稳定性。应用效果深信服下一代应用防火墙部署在上海电信 BOSS系统前，从攻击前扫描，攻 击中的各种攻击手段， 以及攻击后对网络的破坏都做了相应的防护， 最重要的是 在运营商如此重要的业务平台的大流量大并发的条件下做到如此完善的安全防 护的同时还能保证性能与稳定性，非常的不容易。安徽移动应用背景安徽移动 IDC 五期网络及安全设备扩容工程需进行网站防护产品的建设， 主 要实现 IDC 平台中区的内容引入业务中有防护需求的网站 （ 如政府、医院、招聘、地方论坛等网站 ） ，西区的自 建及集团托管业务等的网站防护。需求分析? 安全性：需要对 HTTP协议进行防护，需要对 HTTP加密会话进行

7、分析， 需要对蠕虫、? 缓冲区溢出、 CGI 信息扫描、目录遍历等攻击进行防护，需要对 SQL注 入、XSS等 OWASP top10进行防护，需要对爬虫、盗链、扫描等进行防护， 需要对非法上传、下载、网页防篡改、 CC攻击进行防护等；? 需要提供多种格式安全报表、报表可自定义、可对报表进行查询；? 需要支持第三方的管理，并且要求支持进行分级授权管理。解决方案? 更精准的应用层安全控制：深信服独创的应用可视化技术，可以根据应 用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，摆 脱了过去只能通过 IP 地址来控制的尴尬，即使加密过的数据流也能应付自 如，既满足了普通互联网边界行为

8、管控的要求，同时还满足了在内网数据中 心和广域网边界的部署要求，可以识别和控制丰富的内网应用。? 可视化的应用识别：深信服 Web防火墙以精确的应用识别为基础，可以 帮助安徽移动恢复对网络中各类流量的掌控，阻断或控制不当操作，根据企 业自身状况合理分配带宽资源等。? 丰富的认证方式：帮助组织管理员有效区分用户，建立组织身份认证体 系，进而形成树形用户分组，映射组织行政结构，实现用户与资源的一一对 应。? 全方面的应用安全防护能力：深信服 Web防火墙具备完整的 L2-L7 的安 全防护功能，能真正做到内核级联动， 为用户的业务系统提供一个真正的 “铜 墙铁壁”。? 基于应用的深度入侵防御：深信

9、服 WAF的灰度威胁关联分析引擎具备 3000+条漏洞特征库、 2500+Web应用威胁特征库，可以全面识别各种应用层 和内容级别的单一安全威胁；另外，深信服凭借在应用层领域 6 年以上的技 术积累，组建了专业的安全攻防团队，可以为安徽移动定期提供最新的威胁 特征库更新，以确保防御的及时性。? 强大的 WEB安全防护：能够有效对 SQL注入攻击、 XSS跨站脚本攻击、 CSRF攻击、网页的篡改、 Web站点扫描、漏洞扫描等进行防范，降低 web服 务器的安全风险。? 先进的主动防御技术：能够有效对应用信息进行隐藏、能够对URL、弱口令进行防护、能够对 HTTP的异常情况进行及时检测、能够对缓冲

10、区溢出 进行检测、能够基于终端的漏洞进行检测、能够对DOS/DDOS的攻击进行智能防护，增强了 web服务器主动对各种攻击进行防御的能力。? 丰富的日志报表功能，能够有效帮助安徽移动分析网络安全状况。网络拓扑如下：CMNET7×10G5×10GNE80E（西区 ）1×10GE+×10GE106（中区）（中区）直接内P2P缓互联系统蓝讯缓存 网宿缓存路由器 （中区 ）13×10GE+10×10GE容引入 （中区 ）存系统（中区 ）2×10GE+2×10GE内容引入 集团客户（西区）VIP 客户 （东区 ）自有业务 合

11、作业务 （西区 ）1×10GE+1×10GE集团 托管业务（中区 ）区）省网汇聚 （NE5000E）1 × 10GE×10GE4×10GE+E+7×10GES9306（东区）S（东93区06）区 ）2 台93031×10GE操作维护区3 ×10GE 3 ×10G4E×10G7×10G1 × 10GE+1×10GE1×100GE3×10GE+3×10GE 3×10GE+ 3×10GE9303路由器 （ 中区 ）2

12、15;10GE+2×10GE13×10GE+10×10GENE80E（ 西区 ）新增4台采购数量：4台 NGAF-6020应用效果通过在网站服务器边界部署 NGAF防火墙，有效降低服务器的安全风险和信息泄露的风险，目前设备运行正常，客户对设备的性能和防护效果比较满意。中国移动通信（湛江）分公司应用背景UAP全称叫集团客户信息化统一应用平台， 是一项针对移动大客户的云服务， 客户可以直接把自己的业务系统托管在 UAP上，利用这个平台的硬件、 软件以及 带宽资源进行业务系统的发布。目前承载有政企 OA应用、集团内部门户网站、 政府门户网站群等 WEB应用达 1000

13、多个，预计今年年底 WEB应用站点将增长到 1500个。随着湛江移动公司对重要政企客户业务的拓展与推进， 众多重要政企客户希 望公司内部服务及系统能通过湛江移动的 UAP平台进行托管，保障其能得到运营 商级的维护及安全保障。UAP平台利用运营商的资源集中管理政企客户的门户网站及应用系统， 为其 提供高安全级别的运营商级别安全防护， 通过专业的高安全级别的安全架构搭建 一个集中政企业务的云数据中心。需求分析湛江移动搭建的 UAP云数据中心已经有了许多政企客户将自己的系统托管 与其上。此次安全改造需达到效果如下：? 防止漏洞扫描：首先此次的安全改造必须要能够防止黑客攻击前所进行 的漏洞扫描及攻击点

14、嗅探。 并能够通过中国移动广东省公司针对下面各个地 市分公司的扫描考核指标。? 防止针对漏洞的攻击行为：能够防止针对于服务器或用户的系统的底层OS漏洞或是软件漏洞， 以及中间件进行相应的防御并作出处理。 （ 3）防止针 对 WEB服务器的攻击行为： 能都对黑客针对于 WEB服务器的攻击行为进行防 御与处理。? 防止被篡改后的网页被访问到： 之前使用的防篡改软件 iguard 服务已经 快要到期了，并且使用效果不是特别好，希望我们能够保障他们的网站如果 憋篡改外面也无法访问到被篡改的页面。? 保证安全的前提下稳定性高：因为此次 UAP平台承载的数据量比较大， 所提供方案必须能够保证在保证其安全防

15、护的前提下能够提供高稳定性， 不 会照成访问的延迟或是性能不足宕机导致断网。解决方案在湛江移动 UAP云数据中心平台的两台 UAP核心交换机与两台业务核心交换 机之间部署两台深信服 NGAF-8020万兆应用防火墙，开启防漏扫， IPS，服务器 防护功能，并对网站的网页篡改进行防护保障湛江移动 UAP云数据中心的云平台 安全与其所托管政企客户的业务安全。防止漏洞扫描：? 防止黑客通过一些方式扫描或是嗅探出内部系统的漏洞，或是软件本身 所存在的一些漏洞，通过屏蔽软件，系统的版本及其他的相应信息，让外部 无法对内网的系统及软件信息进行嗅探。? 防止黑客通过对 WEB服务的扫描探测发现 WEB服务器

16、上的具体漏洞信息， 通过防漏扫功能保证扫描到的漏洞信息低于省公司的要求值。数据中心及对外业务防护：? 防止黑客针对内部的系统底层漏洞及软件所存在的漏洞进行相应的针对 性的攻击。? 防护常用 WEB攻击，如 SQL注入攻击、 XSS跨站攻击、 CSRF攻击、网页 挂马攻击、 webshell 上传攻击、命令行注入攻击、缓冲区溢出攻击、黑链植 入攻击。网页防篡改：定时检查受保护的网页， 发现被篡改时， 自动接管外部的访问， 并返回之前 保存的网页。高性能高稳定：深信服 NGAF通过其独特的单次解析及控制应用架构分离的方式实现全面都 功能安全防护的同时保障了设备的高性能， 并能够很好地保证 UAP平

17、台的业务系 统的稳定性。网络拓扑图如下：应用效果深信服下一代应用防火墙部署在湛江移动 UAP云数据中心前，从攻击前扫描， 攻击中的各种攻击手段， 以及攻击后对网络的破坏都做了相应的防护， 最重要的 是在运营商大流量大并发的条件下做到如此完善的安全防护的同时还能保证性 能与稳定性，非常的不容易。中国移动通信（邯郸）分公司应用背景BOSS，业务运营支持系统（ Business & Operation Support System ），它融 合了业务支撑系统 （BSS）与运营支撑系统 （OSS），是一个综合的业务运营和管理 支撑平台， 同时也是真正融合业务 （不同的运营商有不同业务的融合，

18、如传统网 络接入业务、 IP 数据业务、内容提供业务与移动增值业务等） 的综合管理平台。该系统最早由电信部门的计费系统发展演变而来， 基本功能包括客户资料管 理、产品管理、用户订购管理、计费、出帐、结算等，负责登记客户资料、管理 用户订购服务的提供、实时的根据不同产品、套餐的资费标准计算业务（手机、 固定电话用户通话时、点播收视、宽带流量与时间等）的消费金额，准实时及定 期计算用户帐单， 实时或定期结算用户各种消费费用。 后来又增加了用户信用控 制功能， 负责实时计算预付费用户现金余额， 对欠费用户实施即时停机。 随着电 信企业的不断发展， BOSS也在逐渐完善并增强功能， 逐渐包括了资源管理

19、系统、 客户服务系统、以及与银行等外界的接口，不断提高企业的服务质量。随着邯郸移动公司对业务系统的增加。 整体系统的稳定性， 安全性都是邯郸 移动的正常业务交付需要的保障。需求分析邯郸移动的 BOSS系统承载了资源管理系统、客户服务系统，此次安全加固 需要做到以下几点：? 防止漏洞扫描：之前由移动省公司利用扫描工具对地市的各个 BOSS系统 进行扫描发现了很多漏洞。包括服务器、客户端、网络协议等安全漏洞，此 次安全升级针对 BOSS系统漏洞的进行防护泄露。? 防止针对漏洞的攻击行为：能够防止针对于服务器或用户的系统的底层OS漏洞或是软件漏洞，以及中间件进行相应的防御并作出处理。? 防止针对 WEB服务器的攻击行为：能都对黑客针对于 WEB服务器的攻击 行为进行防御与处理。? 满足 BOSS系统高稳定性： BOSS承载着太多邯郸移动的主要业务平台， 不容有任何的闪失，一旦出现问题就将会影响到整个业务平台的交付，影响 业务的正常运行。 此次安全加固所提供方案必须能够保证在保证其安全防护 的前提下能够提供高稳定性， 不会照成访问的延迟或是性能不足宕