税务业务出口安全调度解决方案
客户需求分析

在国家税务领域大名鼎鼎的金税工程它时刻关注IT技术动向,寻求新的发展点。进入三期工程后,金税工程将目光瞄准到下一代 互联网领域,通过互联网运营模式与电子政务流程的结合,试图完成从传统实体税务局向互联网电子税务局的转变。

税收信息化,就是利用信息和网络技术不断提高税收工作水平。当前,我国税务网络已基本完成县、市、省、国家骨干的网络贯通,但依然存在如下问题:

◆ 网络安全性差。大部分仅部署了基本安全设备,信息泄露风险大,对异常流量攻击防护较弱。

◆ 纳税人体验差。在报税高峰期时,纳税人上报体验差往往出现在业务出口,流量调度未做好,经常出现备份链路上无 流量。

◆ 故障自愈时间长。当主链路故障时,业务流量切换到备用链路时间长,严重影响到用户的体验。

◆ Web防护匮乏。针对SQL注入攻击、跨站攻击、脚本木马、缓冲区溢出、信息泄露、CC攻击等攻击手段匮乏,存在资 料被泄露、伪造和破坏的潜在风险。

解决方案

为了保护社保业务不受数据中心站点中断影响访问,并且提高应用的性能,部署多活数据中心是一个有效的做法,齐杉科技税务业务出口安全调度解决方案如下:

◆ 分别在AB数据中心出口部署齐杉Cedar ADC产品,负责各家运营商线路的接入,主要完成业务的健康性实时检查、 入站流量的调度、在一定时间内已访问过用户的会话持续保持。

◆ 在互联网出口部署齐杉Cedar DDoS产品,主要负责过滤来自互联网的异常流量,有效防护各种异常流量对业务系统产 生的拒绝服务攻击。

◆ 在Cedar DDoS之下部署齐杉Cedar ADC产品,经过异常流量清洗设备后的各家运营商线路的接入应用交付设备,主要 解决入站的流量自动智能调度问题;

◆ 在Cedar ADC之下部署齐杉Cedar WAF产品,负责应对来自互联网流量中基于Web层的攻击威胁;

■入站流量调度

智能DNS功能是解决入站流量调度方面的问题,首先将对外发部业务的域名解析功能指向齐杉科技Cedar ADC设备,由Cedar ADC设备来进行域名A记录的解析。举个例子来说,当报税人通过域名访问对外发布业务系统时,逐步通过报税人的本地DNS服务 器、根DNS服务器,最终由Cedar ADC设备来进行域名的A记录解析。然后Cedar ADC设备就会通过智能DNS模块进行发起访问用 户的运营商归属分析,给报税人返回对应的运营商访问地址,同时实现多条线路冗余,让报税人得到最佳的访问IP地址,提高访问 效率,详细实现如下:

◆ 报税人通过Cedar ADC访问后台业务服务器。

◆ 报税人请求到达设备的路径有多条,设备的每个外网接口分别对应着不同运营商的链路。

◆ 报税人访问域名时,设备对域名进行智能DNS解析,通过将域名解析为所属的运营商IP地址,返回给报税人访问同属性运营商 的IP地址,通过智能DNS技术让所属不同运营商网络的客户能通过相对应的路径完成业务请求的功能。

通过Cedar ADC实现入向流量自动智能调度,能有效解决入站方向上的流量分配问题,能极大的缩短因运营商链路故障引起业 务访问中断问题,秒级的故障自愈能力。大大提高无论是在报税高峰期,还是在某一运营商链路故障时纳税人体验差的现象。

■Web层应用深度检测

通过Cedar WAF的完整TCP协议栈解析引擎,可以准确的对TCP/IP栈数据包进行重组还原,能完整识别HTTP协议框架, 实现 HTTP/HTTPS协议完整解析和还原,从根源上避免绕过及穿透攻击。通过指纹识别及行为分析引擎,能对TCP协议扫描、UDP协议 扫描、Ping扫描和异常探测行为及时发现并进行及时阻断。通过特有的并行流过滤处理引擎,满足在灵活定制各种复杂WEB防护 策略、开启各种WEB行为攻击检测的同时,实现万兆高并发低延迟处理。通过敏感信息检测引擎,对服务器返回信息的HTTP头域、 URI字段、Cookie、服务器信息等进行有效识别,完成对敏感信息泄露过滤。

Cedar WAF针对SQL注入攻击、跨站攻击、脚本木马、缓冲区溢出、信息泄露、CC攻击等攻击全面防御,让对税务业务系统 的信息泄露、伪造和破坏风险降到最低。

■异常流量清洗

通过Cedar DDoS数据流指纹(特征字)检测,能彻底过滤各种已知和未知的DDoS攻击。针对未知攻击,通过报文信息以及常 见的应用统计信息建立自动学习模型,根据最新流量信息进行自动更新,这种智能学习对于发现未知攻击非常有效。全面的2-7层 立体安全控制,自定义特征码策略,可进行深层次、智能包过滤,对异常流量攻击提供很好的防御手段。

客户价值

◆ 提升用户满意度。解决报税高峰期及运营商链路故障时的高效自愈能力,大大提升纳税人的满意度,提升了政府的公众形象。

◆ 高可靠。业务系统实际用户无感知的切换调度,真正满足网络7*24的应用高可靠。

◆ 高安全。2-7层多重立体安全防护体系,保障业务系统数据安全,提升业务系统的可持续服务能力。