应用领域

此文档描述了StoneSoft专为运营商提供的解决方案。另外，在本文档中还详细讨论了当运营商采用StoneSoft的解决方案后，他们将从中获益。

StoneSoft  一直致力于开发新的安全工具和不间断服务，以便为运营商提供创新性 的安全解决方案，来满足他们的以下需求：
1 运营商必须能够构建一个安全性可用性不间断性的网络
2 运营商必须能够利用现有的基础设施创造更多的收益
3 运营商必须能够赢得新的客户，特别是大中型企业用户
4 运营商必须利用现有的基础设施提供新的解决方案，同时又不需要进行额外的投 资，这样就可以将新的投资集中用于争取新的客户
5 运营商必须能够依靠解决方案的强大优势来提高销售量，成本不应当成为市场欢 迎的解决方案的首要考虑因素
6 运营商还可能从中受益，成为“前沿”解决方案的提供商，更重要的是，能够提 供最好的服务。运营商因此以确保可用性和提供卓越的性能而众所周知StoneSoft 通过其特有的安全流量管理 STM（Security Traffic Management）架构 提供了满足所有应用安全高可用性需求的一组综合性服务，从而解决了运营商的上述要求。此架构是建立在StoneSoft先进的应用交换平台上的，因此可以提供最高级的安全、性能、扩展性和吞吐量。
 

解决方案

以下是StoneSoft专门为满足运营商的需要而提供的解决方案。并且还讨论了在不同情况下运营商面临的挑战，以及在应用了StoneSoft的解决方案后获得的收益。

1.   双重供应  – 多归路挑战
随着企业越来越依靠IP应用来完成关键任务，在保证网络安全的情况下解决网络的单点故障就变得日益重要。

ISP 连通性仍然是出现故障和性能下降的主要根源。这样的问题很难解决，因为问题的根源并不在企业的控制范围之内。运营商可以提供更多的连接，但只是部分地解决了问题，因为不能执行负载均衡或者保证高可用性。
 
在提高带宽利用率和性能的同时，需要确保终端用户获得无故障或确保服务水平的连续的  Internet  访问。因此运营商面对的挑战就是能否提供完全使用的、而不仅仅是热备用的第二个连接线，同时不需要与其它连接线供应商进行协调。

解决方案  – StoneGate  多归路网络（多 ISP）

StoneGate  能够在多归路网络（多 ISP）配置中添加到Internet 的多条连接线路。利用此功能，运营商能够在四个市场上占据领先：向现有客户出售附加的连接线路，即提供负载均衡以及安全保障，保证整个链路完全的可用性；向竞争对手的客户出售新的连接线路；保障网络安全不受侵害，过滤恶意流量，体现整体安全解决方案的优势；为客户提供业界领先的多线路 VPN 负载均衡功能，保障 VPN 通讯的永不间断。
将  StoneGate  结合到多归路网络（多 ISP）具有以下优点：
1 StoneGate 可智能管理从不同链路访问 Internet。
2 通过为出站流量选择最好的ISP，StoneGate  的负载均衡算法能够确保出入流量使用最佳路径，并能够确保将所有的ISP链路都用于入站流量。
3 多链路的健康检查可保证网络中断时进行快速平滑的切换。
4 StoneGate 对通过可用链路的所有流量进行智能负载均衡，从而确保所有的ISP链路都进行了优化。
5 业界领先的 Multi-Link  VPN 技术可保证具有多个分支机构的客户能够建立多条VPN 通道并且同时使用，从而对 VPN 通道也是一个完全的扩展。终端用户将从中受益：
6 通过安全策略过滤恶意流量，保障内网安全
7 通过优化的内容路由最快地进行内容传输
8 连接线路中完全的容错功能
9 带宽管理（QOS）确保了服务质量，并保证关键应用的高性能。

运营商将从中受益：
1 出售理念而不是出售产品  －企业可达到安全均衡的目的
2 出售价值而不是出售成本  --企业愿意为可用性和性能付出更高的代价
3 出售更多的连接线路 

4 掌握竞争对手的策略  – 向客户提出独特的销售建议，响应客户在运营商之间有所选择的要求
 

2.   配置服务
许多公司现在都在逐渐将他们的应用和各种 IT功能外包出去。因此，他们常常通过一个配置公司、托管公司或者应用服务提供商来托管他们的站点和主要的应用。 为了确保这些应用的安全性、可用性、性能和扩展性，StoneSoft  为共享的和专用 的存储平台提供了一套完整的解决方案。
StoneGate  执行复杂的负载均衡算法，可以针对运营商系统的服务器群进行动态分 配负载,  它可以透过 ICMP 或代理跟踪来进行服务器可以性评估及分配。当正在进行负载均衡的服务器需要依靠其它资源时可以使用此方法。在这种情况下， StoneGate 为了确保所选的服务器能够提供正常的服务，会校验所有资源的状态。例如，有时有关验证服务器的状态决定了是否能够提供正常的  web  服务，当然,也可 以通过  ping  和端口检查进行健康监视。此方法是非常有用的，因为它会验证整个服务器是否可用,业务是否是畅通的，并且 保证会话将通过此路径到达目标。需要检查到服务器端口，硬盘空间或者  CPU  状态等条件时需要配合  Monitoring Agent 来实现。

解决方案  –STONEGATE

优点
1 应用服务器容错的安全性和高可用性
2 通过将每个请求重定向到最佳的站点来实现性能优化，可根据多种算法来进行重 定向
3 按照客户机、应用和内容对网络流量实施业务策略，从而保证服务质量
4 增强的资源安全性
5 保证管理的防火墙、VPN  和  IDS  设备具有完全的可用性和可扩展性
6 对服务器提供的资源实施负载均衡和流量管理，从而优化安全资源和提供最佳的 站点性能，并且可对整体服务器系统进行容错和平滑割接。
7 对服务器提供高
8 应用安全提供了实时保护，避免受到恶意的攻击
 

3.   主干网拒绝服务  (DOS)  保护
挑战
在过去的一年中我们已经遭受了拒绝服务  (DOS)  的攻击，这种攻击曾使一些公司如  Ebay  和  Yahoo  被迫停机。由于出现了一系列的攻击，所以运营商在不断寻找更安全的方式来保护他们的网络不受到拒绝服务  (DOS)  和分布式  DoS  (DDoS)的攻击，因为这些攻击会极大地降低他们整体的网络性能和可用性，关闭网络中的所有关键服务器，如  email  和  DNS，并且具有极强的传染性。
 

解决方案  –  专门用来转发和过滤恶意流量的  StoneGate

通过在 StoneGate 上设置相应的访问策略，可以根据网络 IP 地址、用户、服务类型、访问时间等参数对网络流量进行严格的控制。StoneGate 依靠其先进的、多级别的访问规则体系，能够适应任何的复杂的网络环境。它为运营商提供了全面的DoS  检测和防护功能，同时还保证较高的网络吞吐量。它的概念是基于网络不时受到零星攻击的事实，这些分散的攻击只消耗了很少的带宽，可以被大多数网络接受，因此不需要采取任何应对措施。然而，一旦攻击占用了大量的网络带宽，它就会对网络产生威胁。StoneGate 通过优秀的安全引擎来检测这种类型的攻击，并自动采取措施解决问题。这种独特的使用方案与统一应用处理平台强大的计算能力相结合，提供了最快的速度和最高的安全性。另外，可在各个节点分布式部署 IDS 产品，并且在同一个管理界面进行分析比较，确保对整个网络环境威胁有一个统一的评估

优点
1 实时和高吞吐量的安全保护
2 在防止这些攻击的同时保证正常的流量
3 线速转发能力保证最快的响应时间
4 确保运营商通过网络提供的服务的高可用性和可靠性
5 比对和评估各不同节点的网络环境，提前预判网络潜在危险
6 在防止这些攻击的同时保证正常的流量
 

4.   增强的安全管理服务
挑战
在今天的Internet环境中，每个企业和客户都必须认识到一些破坏是由于恶意的软 件、外部攻击、心有怨气的内部员工、软件bugs等造成的。这种破坏造成的损失可能是巨大的、毁灭性的，并会摧毁客户对于企业网络的信心，因为黑客一有机会 就会侵入网络的IP系统，操纵或破坏系统。
增加防火墙、防病毒工具、VPN  和  IDS  设备是安全系统必然的选择，但是必须考 虑到安全设备的弱点，因为这些安全设备也会发生故障，难以进行扩展以承担更多的负载。同时还必须考虑各种安全设备的优化以避免出现一些情况，如一个防火墙 始终处于繁忙状态而另一个却一直空闲。
在安装一种安全解决方案时，运营商必须确保管理的安全设备具有完全的可用性和 无缝服务的扩展性。这就需要在每个网络分段上应用侵入检测系统(IDS)（如检漏 头）。这要求

在各个分段物理配置多个IDS。

解决方案  - StoneGate

StoneGate 防火墙集群技术能够在防火墙上实现负载均衡和故障冗余。通过负载均衡和故障冗余，防火墙集群提供更高的伸缩性并且能够对防火墙进行在线的维护。 StoneGate在集群的各个节点之间进行负载均衡以提高整个防火墙的吞吐量，负载均衡对于用户来说是完全透明的。StoneGate 多节点集群同样提供故障冗余：如果 有一个节点发生故障，集群中的其它节点将自动的接管发生故障的那一个节点的应 用任务，不需要管理员对其进行任何的干预；集群技术可以使用户随时添加一个新 的防火墙节点到防火墙集群当中，以用来增强防火墙的性能；它同样也支持对防火 墙进行在线维护：可以在任意时刻（包括正常运营时间）将一个或几个节点从集群 当中分离（Offline）出来，以对其进行一些包括软件、硬件之类的升级或维护工作， 而不影响其业务的应用。另外，StoneGates 先进的状态监视和流量重定向功能还 可以将流量定向到工作正常的网络组件，从而可以确保用户获得需要的服务。

StoneSoft  IDS/IPS  安全系统为您重要的资源提供更进一步的安全保障。而且， StoneSoft的IDS/IPS也是整体安全流量管理架构的一部分，提供了千兆位速度完全可配置的和卓越的保护，使系统避免受到有害的攻击，组成了StoneGates网络 安全出色的服务系列。

优点
1 保证管理的防火墙、VPN  和  IDS  设备具有完全的可用性
2 提供所有防火墙、VPN  和  IDS  设备完全的扩展性
3 对可用性最高的资源实施负载均衡和流量管理，从而优化安全资源和提供最佳的 站点性能。
4 应用安全提供了实时保护，避免受到恶意的攻击,并且提供了完全可配置的、千 兆速度保护，防止拒绝服务的攻击
5 完成了远程安全管理，完全满足了运营商整体的监视和管理需要
 

5.   防病毒服务
挑战 由于一种削弱病毒进入企业网而导致所有数据和重要的业务信息丢失，这种情况正 变得越来越普遍。因此，运营商就需要为客户提供防病毒保护，作为增强服务供应的一部分。一般而已，一定会使用专业的杀毒厂家的防病毒产品来对这部分进行专门的保护，而且运营商还可能会有其他的应用增强需求。

专门的防病毒服务器可以提供需要的病毒保护。而运营商需要做的就是将这种保护 与保证的服务可用性和透明的扩展性结合起来，同时还要满足运营商服务的性能要求。

解决方案  –  重定向流量 STONEGATE

在防病毒网关群中配置  STONEGATE，能够使特定的流量重定向到专门的服务器群。这意味着将不需要由防病毒服务器处理的流量（确定的内容）转发给客户机。通过将特定的流量重定向到防病毒网关群，而同时正常转发所有其它流量，这样做可以增强 网关的扩 展性和利 用率。对 于  StoneGate  防火墙，将通过协议代理（Protocol agent）来实现这一点。你可以将你要检测的服务重定向到一个第三方的 病毒或者是内容检测服务器上，例如趋势公司的 Viruswall 等等；同样也可以通过协 议代理应用编程接口来自定义一个基于

病毒及内容检测的安全方案。

优点
1 提供具有更高安全性的增强连接服务
2 配置电信级防病毒服务
3 提高性能
4 透明的扩展性
5 有效成本随用户数量的增长而提高

总结
采用  StoneSoft  的创新性安全解决方案，运营商可以从现有客户中获得新的收益并通过他们提供的服务赢得新的客户和新的市场配置。这些解决方案主要的优点之一就是它们都配置在现有设备之上，因此只需要很少的投资和改动。另外StoneSoft提供的安全解决方案功能丰富，因此运营商可以依靠解决方案的强大优势来提高销售量而不是相对低廉的费用。最后StoneSoft是以其先进的技术和经验建立起声誉的。StoneSoft提供的安全服务可以降低运营商的成本为从现有基础设备中创造和提高收益提供了新的方法并使运营商能够为客户提供与众不同的服务