在網(wǎng)絡(luò)架構(gòu)設(shè)計層面，該運營商BOSS-x按照雙中心模式在兩個物理位置建立兩套完全相同的業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)，分別為A中心和B中心。網(wǎng)絡(luò)設(shè)計采用全冗余結(jié)構(gòu)消除單點故障，兩外側(cè)兩臺WLMQ-a核心交換機通過OSPF跑Active/Active,兩個中心的外側(cè)核心交換機以上區(qū)域通過OSPF協(xié)議互聯(lián)，以下部分到內(nèi)部核心業(yè)務(wù)系統(tǒng)均配置靜態(tài)路由方式。

在業(yè)務(wù)邏輯實現(xiàn)層面，規(guī)劃兩個中心采用主/備方式，B中心作為BOSS業(yè)務(wù)的主中心，A中心作為冗災(zāi)備份中心

3、 BOSS系統(tǒng)詳細(xì)功能需求

a) 客戶所有的訪問全部基于C/S模式，因為BOSS系統(tǒng)前端都是采用專有的客戶端軟件直接連接中心的訪問點

b) 平時所有客戶端都連接到南湖路中心，滿足如下兩點：

　 B中心服務(wù)器正常時，業(yè)務(wù)處理在B中心服務(wù)器上完成

　 當(dāng)B中心服務(wù)器出現(xiàn)故障時，業(yè)務(wù)處理在A中心服務(wù)器上完成

c) 當(dāng)B中心出現(xiàn)故障時，客戶端切換到A中心，滿足如下兩點：

　 A中心服務(wù)器正常時，業(yè)務(wù)處理在A中心服務(wù)器上完成

　 當(dāng)A中心服務(wù)器出現(xiàn)故障時，業(yè)務(wù)處理在B中心服務(wù)器上完成

d) 當(dāng)B中心恢復(fù)正常后，所有客戶端都重新連接到B中心，滿足如下兩點：

　 手工切換。避免由于短暫的鏈路波動導(dǎo)致業(yè)務(wù)系統(tǒng)的切換。

　 自動切換。

4、 Radware解決方案

由于用戶的需求是C/S模式下的冗災(zāi)備份方案，我們建議采用OSFP AnyCast技術(shù)實現(xiàn)災(zāi)備切換，考慮到現(xiàn)網(wǎng)的路由設(shè)計，在A中心和B中心的上層核心機上旁路部屬兩臺AppDirector-Global全局負(fù)載均衡設(shè)備，兩臺AppDirector-Global通過標(biāo)準(zhǔn)的VRRP協(xié)議實現(xiàn)雙機冗余，保證設(shè)備的可靠性。在Appdirector-Global開啟IP AnyCast技術(shù)，并參與到上層OSPF域中。

方案描述：

a) 兩個中心的AD-N設(shè)備利用IP Anycast技術(shù)對外發(fā)布相同的業(yè)務(wù)虛擬IP地址（VIP）主機路由

　 B中心AD設(shè)備發(fā)出的主機路由具有較低Metric值，A中心AD設(shè)備發(fā)出的主機路由具有較高的Metric值

　 兩個中心的AD設(shè)備通過OSPF協(xié)議將主機路由公布到MDCN網(wǎng)中的BOSS 網(wǎng)路中

b) 客戶端連接的IP地址即為VIP地址

　 利用OSPF的路由優(yōu)選機制，保證B中心發(fā)布出來的VIP主機路由被優(yōu)選到路由表中

　 當(dāng)B中心故障后，通過IP AnyCast技術(shù)可以自動切換到A中心

5、 Radware 解決方案優(yōu)勢

　 保證BOSS系統(tǒng)7×24小時可靠運行

首先，AppDirector 可靠的狀態(tài)監(jiān)控機制可以保證用戶獲得最佳的服務(wù)。AppDirector可以監(jiān)視服務(wù)器在IP、TCP、UDP、應(yīng)用和內(nèi)容等所有協(xié)議層上的工作狀態(tài)。如果發(fā)現(xiàn)故障，用戶即被透明地重定向到正常工作的服務(wù)器上。這可以保證用戶始終能夠獲得他們所期望的信息。

其次，為了保證交易完整性的可靠保證，AppDirector可監(jiān)控從 Web 服務(wù)器、中間件服務(wù)器到后端數(shù)據(jù)庫服務(wù)器的整個路徑上工作狀態(tài)，確保整個數(shù)據(jù)路徑上的服務(wù)器都處于正常狀態(tài)。如果存在一個故障服務(wù)器，AppDirector則不會將用戶分配到這個發(fā)生故障路徑的服務(wù)器，從而保證為用戶提供透明的數(shù)據(jù)完整性保障。

　 提升BOSS系統(tǒng)處理能力

AppDirector架設(shè)在應(yīng)用服務(wù)器前端，可以通過多種負(fù)載均衡算法，以及提供靈活的端口轉(zhuǎn)換，基于3到7層的內(nèi)容等負(fù)載均衡方式幫助用戶實現(xiàn)服務(wù)器的科學(xué)負(fù)載均衡，使多臺應(yīng)用服務(wù)器并行工作，極大提升了BOSS系統(tǒng)的整體處理能力，且提供了靈活的系統(tǒng)升級和擴展能力。

　 AppDirector設(shè)備自身完全的容錯與冗余

AppDirector的配置提供設(shè)備間的完全容錯，以確保網(wǎng)絡(luò)最大的可用性。兩個設(shè)備通過網(wǎng)絡(luò)相互檢查各自的工作狀態(tài)，為其所管理的應(yīng)用保障完全的網(wǎng)絡(luò)可用性。它們可工作于“主用-備用”模式或“主用-主用”模式，在“主用-主用”模式下，因為兩個設(shè)備都處于工作狀態(tài)，從而最大限度地保護(hù)了投資。并且所有的信息都可在設(shè)備間進(jìn)行鏡像，從而提供透明的冗余和完全的容錯，確保在任何時候用戶都可以獲得從點擊到內(nèi)容的最佳服務(wù)。

　 通過正常退出服務(wù)保證穩(wěn)定運行

當(dāng)需要進(jìn)行服務(wù)器升級或系統(tǒng)維護(hù)時，AppDirector保證穩(wěn)定的服務(wù)器退出服務(wù)以避免服務(wù)中斷。當(dāng)選定某臺服務(wù)器要從服務(wù)器退出服務(wù)后，AppDirector將不會將任何新的用戶分配到該服務(wù)器。但是，它可以要退出服務(wù)的服務(wù)器上完成對當(dāng)前用戶的服務(wù)。從而保證了無中斷的優(yōu)質(zhì)服務(wù)，以及服務(wù)器組的簡易管理能力。

　 智能的服務(wù)器服務(wù)恢復(fù)

將重新啟動的服務(wù)器應(yīng)用到服務(wù)中時，避免新服務(wù)器因突然出現(xiàn)的流量沖擊導(dǎo)致系統(tǒng)故障是非常重要的。所以，在將新服務(wù)器引入服務(wù)器組時，AppDirector將逐漸地增加分配到該服務(wù)器的流量，直至達(dá)到其完全的處理能力。從而不僅保證用戶在服務(wù)器退出服務(wù)時，同時還保證服務(wù)器在啟動期間以及應(yīng)用程序開始時，均能獲得不間斷服務(wù)。

DefensePro嚴(yán)防各類應(yīng)用攻擊

在運營商用戶面臨網(wǎng)絡(luò)安全的嚴(yán)峻形勢，Radware DefensePro可以為運營商提供實時地隔離、攔截和阻止各種應(yīng)用攻擊、從而為所有網(wǎng)絡(luò)化應(yīng)用、用戶和資源提供強有力的直接保護(hù)。

1、項目背景 

該運營商成立于1999年9月，截止到2006年底，該運營商交換機總?cè)萘窟_(dá)到900萬門，基站達(dá)到4000多個，與206個國家和地區(qū)的271個運營公司開通了國際漫游業(yè)務(wù)；該地區(qū)每三個人中，就有一個是該運營商的客戶。

彩鈴業(yè)務(wù)是該運營商推出的一項關(guān)鍵業(yè)務(wù)。該運營商為其用戶提供自助開通、變更彩鈴服務(wù)，并提供各類手機鈴聲下載，用戶訪問量較大?？紤]到彩鈴門戶的安全性問題，本期對整個系統(tǒng)進(jìn)行安全加固，需要安全設(shè)備對入侵監(jiān)測、Dos等攻擊進(jìn)行有效的防護(hù)。

2、項目需求

目前網(wǎng)絡(luò)上的攻擊大都是通過防火墻開放的80端口或通過一些惡意代碼等HTTP協(xié)議返回包來侵入內(nèi)部服務(wù)器的，一旦內(nèi)網(wǎng)中一臺機器受到感染，病毒或攻擊很快就好在整個內(nèi)網(wǎng)中擴散，造成更大的隨時，對于大流量下內(nèi)容級別的安全需要專業(yè)的解決方案來實現(xiàn)。

3、Radware解決方案

在網(wǎng)絡(luò)接入處，部署DefensePro，可以識別并實時抵御1500多種蠕蟲、病毒、DOS攻擊和異常的流量模式，保護(hù)內(nèi)部用戶和服務(wù)器的安全。

同時，通過把端口兩兩靜態(tài)綁定，虛擬成兩臺臺邏輯設(shè)備，分別部署在兩條internet鏈路上之間實時防范來自互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)和主機的DOS攻擊和入侵攻擊。

4、Radware解決方案的優(yōu)勢

高效、易于使用和維護(hù)是優(yōu)秀安全解決方案的必要特點。

高效 -保護(hù)手段必須提供準(zhǔn)確和精細(xì)的偵查和預(yù)防機制，在提供保護(hù)的同時不干涉合法的流量。這一點是至關(guān)重要的，它保證了關(guān)鍵應(yīng)用既使面臨一次巨型的攻擊，也能夠提供正常的服務(wù)。

Simplicity/TCO – 復(fù)雜配置和頻繁的更新維護(hù)會導(dǎo)致配置錯誤，最終引起攻擊的誤判。 因此，保護(hù)措施必須易于配置和管理，而且需要最少的特征更新和其它維護(hù)。

Radware DefensePro安全交換機獨具的多層安全架構(gòu)完全具備了上述要求，在功能和性能上都是用戶保護(hù)網(wǎng)絡(luò)應(yīng)用的最佳選擇：

創(chuàng)新的硬件架構(gòu)提供高達(dá)6G的安全吞吐能力；

多層防范體系使該運營商遠(yuǎn)離DDOS攻擊帶來的困擾和損失；

基于行為模式的自動BDOS攻擊防范機制最大程度降低該運營商的TCO和縮短對新型攻擊的相應(yīng)時間；

帶寬管理功能降低垃圾流量對網(wǎng)絡(luò)帶寬的惡意占用；

集DDOS防范、IPS和帶寬管理于一身，有效保護(hù)該運營商的投資。

hanrui