在網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)層面，該運(yùn)營(yíng)商BOSS-x按照雙中心模式在兩個(gè)物理位置建立兩套完全相同的業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)，分別為A中心和B中心。網(wǎng)絡(luò)設(shè)計(jì)采用全冗余結(jié)構(gòu)消除單點(diǎn)故障，兩外側(cè)兩臺(tái)WLMQ-a核心交換機(jī)通過OSPF跑Active/Active,兩個(gè)中心的外側(cè)核心交換機(jī)以上區(qū)域通過OSPF協(xié)議互聯(lián)，以下部分到內(nèi)部核心業(yè)務(wù)系統(tǒng)均配置靜態(tài)路由方式。

在業(yè)務(wù)邏輯實(shí)現(xiàn)層面，規(guī)劃兩個(gè)中心采用主/備方式，B中心作為BOSS業(yè)務(wù)的主中心，A中心作為冗災(zāi)備份中心

3、 BOSS系統(tǒng)詳細(xì)功能需求

a) 客戶所有的訪問全部基于C/S模式，因?yàn)锽OSS系統(tǒng)前端都是采用專有的客戶端軟件直接連接中心的訪問點(diǎn)

b) 平時(shí)所有客戶端都連接到南湖路中心，滿足如下兩點(diǎn)：

　 B中心服務(wù)器正常時(shí)，業(yè)務(wù)處理在B中心服務(wù)器上完成

　 當(dāng)B中心服務(wù)器出現(xiàn)故障時(shí)，業(yè)務(wù)處理在A中心服務(wù)器上完成

c) 當(dāng)B中心出現(xiàn)故障時(shí)，客戶端切換到A中心，滿足如下兩點(diǎn)：

　 A中心服務(wù)器正常時(shí)，業(yè)務(wù)處理在A中心服務(wù)器上完成

　 當(dāng)A中心服務(wù)器出現(xiàn)故障時(shí)，業(yè)務(wù)處理在B中心服務(wù)器上完成

d) 當(dāng)B中心恢復(fù)正常后，所有客戶端都重新連接到B中心，滿足如下兩點(diǎn)：

　 手工切換。避免由于短暫的鏈路波動(dòng)導(dǎo)致業(yè)務(wù)系統(tǒng)的切換。

　 自動(dòng)切換。

4、 Radware解決方案

由于用戶的需求是C/S模式下的冗災(zāi)備份方案，我們建議采用OSFP AnyCast技術(shù)實(shí)現(xiàn)災(zāi)備切換，考慮到現(xiàn)網(wǎng)的路由設(shè)計(jì)，在A中心和B中心的上層核心機(jī)上旁路部屬兩臺(tái)AppDirector-Global全局負(fù)載均衡設(shè)備，兩臺(tái)AppDirector-Global通過標(biāo)準(zhǔn)的VRRP協(xié)議實(shí)現(xiàn)雙機(jī)冗余，保證設(shè)備的可靠性。在Appdirector-Global開啟IP AnyCast技術(shù)，并參與到上層OSPF域中。

方案描述：

a) 兩個(gè)中心的AD-N設(shè)備利用IP Anycast技術(shù)對(duì)外發(fā)布相同的業(yè)務(wù)虛擬IP地址（VIP）主機(jī)路由

　 B中心AD設(shè)備發(fā)出的主機(jī)路由具有較低Metric值，A中心AD設(shè)備發(fā)出的主機(jī)路由具有較高的Metric值

　 兩個(gè)中心的AD設(shè)備通過OSPF協(xié)議將主機(jī)路由公布到MDCN網(wǎng)中的BOSS 網(wǎng)路中

b) 客戶端連接的IP地址即為VIP地址

　 利用OSPF的路由優(yōu)選機(jī)制，保證B中心發(fā)布出來(lái)的VIP主機(jī)路由被優(yōu)選到路由表中

　 當(dāng)B中心故障后，通過IP AnyCast技術(shù)可以自動(dòng)切換到A中心

5、 Radware 解決方案優(yōu)勢(shì)

　 保證BOSS系統(tǒng)7×24小時(shí)可靠運(yùn)行

首先，AppDirector 可靠的狀態(tài)監(jiān)控機(jī)制可以保證用戶獲得最佳的服務(wù)。AppDirector可以監(jiān)視服務(wù)器在IP、TCP、UDP、應(yīng)用和內(nèi)容等所有協(xié)議層上的工作狀態(tài)。如果發(fā)現(xiàn)故障，用戶即被透明地重定向到正常工作的服務(wù)器上。這可以保證用戶始終能夠獲得他們所期望的信息。

其次，為了保證交易完整性的可靠保證，AppDirector可監(jiān)控從 Web 服務(wù)器、中間件服務(wù)器到后端數(shù)據(jù)庫(kù)服務(wù)器的整個(gè)路徑上工作狀態(tài)，確保整個(gè)數(shù)據(jù)路徑上的服務(wù)器都處于正常狀態(tài)。如果存在一個(gè)故障服務(wù)器，AppDirector則不會(huì)將用戶分配到這個(gè)發(fā)生故障路徑的服務(wù)器，從而保證為用戶提供透明的數(shù)據(jù)完整性保障。

　 提升BOSS系統(tǒng)處理能力

AppDirector架設(shè)在應(yīng)用服務(wù)器前端，可以通過多種負(fù)載均衡算法，以及提供靈活的端口轉(zhuǎn)換，基于3到7層的內(nèi)容等負(fù)載均衡方式幫助用戶實(shí)現(xiàn)服務(wù)器的科學(xué)負(fù)載均衡，使多臺(tái)應(yīng)用服務(wù)器并行工作，極大提升了BOSS系統(tǒng)的整體處理能力，且提供了靈活的系統(tǒng)升級(jí)和擴(kuò)展能力。

　 AppDirector設(shè)備自身完全的容錯(cuò)與冗余

AppDirector的配置提供設(shè)備間的完全容錯(cuò)，以確保網(wǎng)絡(luò)最大的可用性。兩個(gè)設(shè)備通過網(wǎng)絡(luò)相互檢查各自的工作狀態(tài)，為其所管理的應(yīng)用保障完全的網(wǎng)絡(luò)可用性。它們可工作于“主用-備用”模式或“主用-主用”模式，在“主用-主用”模式下，因?yàn)閮蓚€(gè)設(shè)備都處于工作狀態(tài)，從而最大限度地保護(hù)了投資。并且所有的信息都可在設(shè)備間進(jìn)行鏡像，從而提供透明的冗余和完全的容錯(cuò)，確保在任何時(shí)候用戶都可以獲得從點(diǎn)擊到內(nèi)容的最佳服務(wù)。

　 通過正常退出服務(wù)保證穩(wěn)定運(yùn)行

當(dāng)需要進(jìn)行服務(wù)器升級(jí)或系統(tǒng)維護(hù)時(shí)，AppDirector保證穩(wěn)定的服務(wù)器退出服務(wù)以避免服務(wù)中斷。當(dāng)選定某臺(tái)服務(wù)器要從服務(wù)器退出服務(wù)后，AppDirector將不會(huì)將任何新的用戶分配到該服務(wù)器。但是，它可以要退出服務(wù)的服務(wù)器上完成對(duì)當(dāng)前用戶的服務(wù)。從而保證了無(wú)中斷的優(yōu)質(zhì)服務(wù)，以及服務(wù)器組的簡(jiǎn)易管理能力。

　 智能的服務(wù)器服務(wù)恢復(fù)

將重新啟動(dòng)的服務(wù)器應(yīng)用到服務(wù)中時(shí)，避免新服務(wù)器因突然出現(xiàn)的流量沖擊導(dǎo)致系統(tǒng)故障是非常重要的。所以，在將新服務(wù)器引入服務(wù)器組時(shí)，AppDirector將逐漸地增加分配到該服務(wù)器的流量，直至達(dá)到其完全的處理能力。從而不僅保證用戶在服務(wù)器退出服務(wù)時(shí)，同時(shí)還保證服務(wù)器在啟動(dòng)期間以及應(yīng)用程序開始時(shí)，均能獲得不間斷服務(wù)。

DefensePro嚴(yán)防各類應(yīng)用攻擊

在運(yùn)營(yíng)商用戶面臨網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì)，Radware DefensePro可以為運(yùn)營(yíng)商提供實(shí)時(shí)地隔離、攔截和阻止各種應(yīng)用攻擊、從而為所有網(wǎng)絡(luò)化應(yīng)用、用戶和資源提供強(qiáng)有力的直接保護(hù)。

1、項(xiàng)目背景 

該運(yùn)營(yíng)商成立于1999年9月，截止到2006年底，該運(yùn)營(yíng)商交換機(jī)總?cè)萘窟_(dá)到900萬(wàn)門，基站達(dá)到4000多個(gè)，與206個(gè)國(guó)家和地區(qū)的271個(gè)運(yùn)營(yíng)公司開通了國(guó)際漫游業(yè)務(wù)；該地區(qū)每三個(gè)人中，就有一個(gè)是該運(yùn)營(yíng)商的客戶。

彩鈴業(yè)務(wù)是該運(yùn)營(yíng)商推出的一項(xiàng)關(guān)鍵業(yè)務(wù)。該運(yùn)營(yíng)商為其用戶提供自助開通、變更彩鈴服務(wù)，并提供各類手機(jī)鈴聲下載，用戶訪問量較大?？紤]到彩鈴門戶的安全性問題，本期對(duì)整個(gè)系統(tǒng)進(jìn)行安全加固，需要安全設(shè)備對(duì)入侵監(jiān)測(cè)、Dos等攻擊進(jìn)行有效的防護(hù)。

2、項(xiàng)目需求

目前網(wǎng)絡(luò)上的攻擊大都是通過防火墻開放的80端口或通過一些惡意代碼等HTTP協(xié)議返回包來(lái)侵入內(nèi)部服務(wù)器的，一旦內(nèi)網(wǎng)中一臺(tái)機(jī)器受到感染，病毒或攻擊很快就好在整個(gè)內(nèi)網(wǎng)中擴(kuò)散，造成更大的隨時(shí)，對(duì)于大流量下內(nèi)容級(jí)別的安全需要專業(yè)的解決方案來(lái)實(shí)現(xiàn)。

3、Radware解決方案

在網(wǎng)絡(luò)接入處，部署DefensePro，可以識(shí)別并實(shí)時(shí)抵御1500多種蠕蟲、病毒、DOS攻擊和異常的流量模式，保護(hù)內(nèi)部用戶和服務(wù)器的安全。

同時(shí)，通過把端口兩兩靜態(tài)綁定，虛擬成兩臺(tái)臺(tái)邏輯設(shè)備，分別部署在兩條internet鏈路上之間實(shí)時(shí)防范來(lái)自互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)和主機(jī)的DOS攻擊和入侵攻擊。

4、Radware解決方案的優(yōu)勢(shì)

高效、易于使用和維護(hù)是優(yōu)秀安全解決方案的必要特點(diǎn)。

高效 -保護(hù)手段必須提供準(zhǔn)確和精細(xì)的偵查和預(yù)防機(jī)制，在提供保護(hù)的同時(shí)不干涉合法的流量。這一點(diǎn)是至關(guān)重要的，它保證了關(guān)鍵應(yīng)用既使面臨一次巨型的攻擊，也能夠提供正常的服務(wù)。

Simplicity/TCO – 復(fù)雜配置和頻繁的更新維護(hù)會(huì)導(dǎo)致配置錯(cuò)誤，最終引起攻擊的誤判。 因此，保護(hù)措施必須易于配置和管理，而且需要最少的特征更新和其它維護(hù)。

Radware DefensePro安全交換機(jī)獨(dú)具的多層安全架構(gòu)完全具備了上述要求，在功能和性能上都是用戶保護(hù)網(wǎng)絡(luò)應(yīng)用的最佳選擇：

創(chuàng)新的硬件架構(gòu)提供高達(dá)6G的安全吞吐能力；

多層防范體系使該運(yùn)營(yíng)商遠(yuǎn)離DDOS攻擊帶來(lái)的困擾和損失；

基于行為模式的自動(dòng)BDOS攻擊防范機(jī)制最大程度降低該運(yùn)營(yíng)商的TCO和縮短對(duì)新型攻擊的相應(yīng)時(shí)間；

帶寬管理功能降低垃圾流量對(duì)網(wǎng)絡(luò)帶寬的惡意占用；

集DDOS防范、IPS和帶寬管理于一身，有效保護(hù)該運(yùn)營(yíng)商的投資。

hanrui