某银行攻击防御系统方案

　　 客户简介

　　某银行始建于1908年（光绪三十四年），是中国早期四大银行之一，也是中国早期的发钞行之一。

　　1958年，除香港分行仍继续营业外，某银行国内业务分别并入当地中国人民银行和在XX银行基础上组建起来的中国人民建设银行。

　　为适应中国经济体制改革和发展，1986年7月24日，作为金融改革的试点，国务院批准重新组建XX银行。

　　1987年4月1日，重新组建后的某银行正式对外营业，成为中国第一家全国性的国有股份制商业银行，总行设在上海。

　　业务问题与障碍

　　某银行内部portal系统是银行内部的OA核心系统,各个分行均会连接到内部portal系统。由于该业务是交行的核心系统，且涉及到所有的分行，用户希望能够提供一个安全、可靠、持续稳定运行的门户。

　　同时，由于用户发生过分行设备故障导致发送大量half－sync连接到portal 服务器，导致核心的portal服务器故障。所以用户要求提供抵御核心系统防御half－sync的DDOS功能，以及阻止单一IP发起超过规定连接数的访问请求。

　　技术要求

　　由于客户内部portal采用两台IBM主机构成服务器组，用户需要对在两台IBM主机上的3－4个业务同时实现负载均衡，并且要求系统能够实现无缝切换、在线维护。

　　缩短访问时间

　　有效管理信息流量

　　增加设备利用率

　　F5 BIG IP独特的客户价值

　　BIG-IP是一台对流量和内容进行管理分配的设备，结合BIG-IP能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器。它提供12种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被BIG-IP灵活地均衡到所有的服务器。

　　解决方案简介及示意拓扑

　　本方案采用F5公司提供最新版本V9软件的应用流量管理器BIG-IP 6800，该设备不但可以实现两台服务器的负载均衡，而且在系统级别实现了动态攻击抵御。

　　由于系统采用了独特的ATMOS系统，从内核就自动可以防范通常的DoS/DDos攻击建立half－Sync的请求。同时，由于采用系统内部提供的TCL脚本，我们轻松的实现了阻止同一IP客户建立超过规定的连接而不影响其已经建立的连接。

　　


　　客户得到的益处和典范效应

　　某银行测试了多家安全厂商的产品，最终发现F5的BIG-IP 6800是最能够满足其需求的产品，其主要特点如下：

　　1>可以支持所有基于TCP/IP的应用；

　　2>可以自动抵御大量DoS/DDoS攻击，使后台的服务器不遭到任何攻击。

　　3>并且在大量攻击情况下，正常的用户访问仍然能够被转发到服务器采用sync－cookie技术可以轻易的区分出攻击请求和正常访问请求。

　　采用内嵌的TCL脚本，我们可以阻止用户建立100个连接以上的请求。并且，系统在阻止第101个请求时，并不会影响现有的100个连接。尤其重要的是，这种设置是基于每一个对外服务单独设置的，带来了极大的系统灵活性。

原文转自：http://www.ltesting.net