需求背景

某省電信有限公司是中國電信股份有限公司的全資子公司，具有獨立的法人資格，公司下轄 9個州地市分公司，38個縣電信局，職工三千人。公司負責運營該省內的國內固定電信網絡與設施（含本地無線環路）業務；基于固定電信網絡的話音、數據、圖像及多媒體通信與信息服務等，是該省通信行業的排頭兵。

該電信在2007年開展了整個IT系統的安全改造項目，其中辦公系統互聯網邊界統一出口安全網關改造和互連服務區的入侵防御是其中的重要組成部分。用戶計劃升級其內部辦公網與互聯網之間的安全網關，希望該網關具備病毒過濾、外聯控制功能，以確保內部用戶得到更好的安全保護，同時通過安全網關的外聯控制功能封堵P2P類型的網絡濫用。由于全省電信的辦公網用戶均通過該出口進行互聯網訪問，因此在要求安全網關產品在具備更全面安全功能的同時，對性能也提出了較高要求。

同時，作為承載重要的業務應用及數據的互聯服務區，面臨著利用SQL注入漏洞進行攻擊和黑客工具的攻擊，由于這些攻擊具有更新速度快、變種數量多的特點，傳統的安全手段無法實現對這類深層攻擊行為的防御，亟需能夠精確阻斷的設備來抵御這些威脅。為了防御來自互聯網的針對業務應用的入侵和攻擊，該電信公司計劃在互聯網服務區部署入侵防御產品，以應對越來越多的SQL注入、跨站腳本等深層攻擊，保證正常的對外業務運行。

解決方案

如圖，在省電信統一互聯網出口處部署兩臺天清漢馬一體化安全網關，兩臺設備同時開啟防火墻、防病毒、外聯控制功能。同時根據電信行業對高可用性的要求，兩臺設備之間形成相互備份的關系，通過心跳線，自動實時同步連接狀態及配置信息。

在互聯服務域的服務器前，分別部署了兩臺天清入侵防御系統，通過有效的入侵防御策略精確檢測和阻斷來自互聯網上的SQL注入、跨站腳本等深層攻擊，從而重點針對Web業務等應用實施深層保護。

案例點評

本案例是該電信公司2007年網絡安全改造項目的一部分。對于大型運營商而言，其IT系統的安全建設經歷了多個不同的階段，對網絡邊界的防護需求也從單純的采用防火墻進行訪問控制逐步升級到同時考慮訪問控制、防病毒、入侵防御等多個安全功能。

通過統一分析引擎技術和統一事件庫技術，天清漢馬一體化安全網關在開啟全部功能時，整機的轉發性能下降幅度最小，同時，通過天清IPS對服務器的重點防御，保證了正常開放業務的運行。通過天清漢馬一體化安全網關和天清入侵防御系統的配合，形成了邊界立體防御，核心精確阻斷的效果。用戶認為：“在開啟多項安全防護功能的情況下，天清漢馬一體化安全網關還能達到較高的性能，實現了性能及功能的完美平衡。通過天清入侵防御系統的保護，我們的對外業務也能夠做到高枕無憂”。