高效、成熟的上海贝尔DDoS威胁清洗方案

设置多个MS-ISA TMS卡通过轮询的方式进行负载均衡。MS-ISA TMS使用一系列的先进的攻击识别和清洗技术来消除攻击包，被清洗过的流量则会被发往原来的目的地。而且MS-ISA还可以通过SAM和TMS模块直接通过ARBOR的Peakflow SP设备来管理。

上海贝尔基于MS-ISA的威胁清洗设备，整机最高可达72+Gb/s的处理能力，使得上海贝尔解决方案完全可以支持大规模的DDoS威胁清洗服务。在处理数据包的时候，整个数据通路上有一个多核的DDoS专用处理芯片和一个快速路径处理芯片来处理，从而保证IP包转发和IP服务互不干扰。而且因为MS-ISA卡可以与以太卡共享相同的I/O模块，所以运营商可以利用原有7750设备在POP点快速部署DDoS服务。

MS-ISA TMS是上海贝尔 MS-ISA卡上最重要的应用之一。它可以帮助运营商从单纯的网络连接提供商向企业ICT合作伙伴转变。MS-ISA通过加载一系列不同功能的软件（包括TMS）来实现各种各样的需求，帮助运营商进行升级，优化和保护服务。

运营商构架新的服务，使运营商更靠近他们的企业用户

MS-ISA帮助运营商构架新的威胁清洗服务，从而帮助企业节约IT成本。这些服务让运营商可以差异化他们现有的VPN和企业INTERNET服务，增加新的收入。根据ARBOR的报告，运营商增加对链路保护的服务之后，单个客户的收入从8K$/M 最高增加到100K$/M。

MS-ISA卡可以部署在有业务路由器的任何地方，因此威胁清洗服务可以在所有地区为所有业务和客户服务。因此可以极大的提升收入，降低投资成本

MS-ISA同时也可提供应用保证服务（AA），这是一种帮助运营商提供基于云的可靠的网络应用的服务。应用保证和威胁清洗都是基于深度检测技术的，但是互相之间又是很好的补充，如下图中所述。这两种服务被灵活的集成到上海贝尔 2层或者3层网络的PE设备内。

优化和增强现有服务，最大化客户满意度和最小化成本

分布式的MS-ISA TMS被集成到电信级业务路由器，降低了架设DDoS过滤的网络成本，优化了服务。它可以加入到网络对等点或者PE上，使得攻击流会被丢弃在网络边缘，避免大量回传导致的带宽浪费。

灵活的部署能力同时也意味着运营商可以先从某个区域开始提供服务，慢慢的向边缘扩展。运营商可以在不增加的新的网络节点上慢慢的扩展威胁清洗能力。而且上海贝尔的MS-ISA TMS可以和ABOR 的Peakflow SP TMS具备互操作，可以很好的保护运营商的投资。

保护新的和现有的服务不受DDoS攻击

运营商也可以使用MS-ISA TMS来保护他自身的服务和相关的基础网络免于各种攻击的威胁。（如TCP 堆栈攻击，普通的泛洪攻击，分片攻击，应用层攻击，连接攻击，漏洞统计，恶意代码攻击等等。）

除了VPN和企业INTERNET 基础网络等上面提到的保护，运营商还可以将MS-ISA TMS安装在如下其他网络边界：

IDC：MS-ISA TMS卡可以装在IDC的边界业务路由器上，保护他们IDC业务免遭来自INTERNET和IDC内部网络的攻击。

高速IPTV基础网络： MS-ISA TMS卡可以被部署在汇聚层和视频服务器端，来阻止被感染的用户高速设备会攻击IPTV的服务器端或者IPTV的基础网络。

移动基础网络： MS-ISA TMS可以用来保护移动基础网络免于遭受来自被感染的高速的3G/4G手机的攻击，从而降低PGW/GGSN的负担。

企业可以得益于基于云的DDoS威胁清洗服务：

对大规模攻击的防护：基于MS-ISA TMS威胁清洗服务可以在大量攻击流量到达企业网络攻陷企业防火墙/IPS前就把它清洗掉。

减低运维和人员成本：企业不再需要大量的安全专家来应对大规模DDoS攻击。

减少客户入口和商业流程破坏的风险：这个基于云的DDoS服务可以应对各种DDoS攻击。

优化内容过滤：ARBOR/上海贝尔解决方案可以通过对网络行为的分析识别攻击，并且及时采取行动阻止攻击的进一步发展，大大减轻了公司内容过滤设备的负担，使得他们可以有更好的性能检测其他攻击。

总结

上海贝尔/ABOR 威胁清洗方案可以针对运营商网中现在DDoS攻击流量进行清洗，实现对运营商网络和大客户网络业务的保护。可以有效的兼顾城域网接入用户和运营商双方的利益，为建设安全可用的网络环境贡献自己的力量。