新疆電信是中國電信股份有限公司的全資子公司，現有16個地市級電信分公司和83個縣級分公司，主要經營新疆地區傳統的IP語音業務和電信增值業務。近年來，隨著Internet的高速發展，互聯網接入服務逐漸成為新疆電信的重要業務。

    但是，隨著互聯網接入服務的不斷拓展，新疆電信網絡安全的問題日趨嚴重，特別是針對域名服務器（DNS）的攻擊一直困繞著用戶，這是DNS擔負著所有用戶上網的域名解析功能，一旦受到攻擊，會引發大面積用戶上網異常，目前新疆電信域名服務器（DNS），主要面臨以下兩種攻擊：

    一、針對DNS的拒絕服務攻擊

    DNS主要功能是完成域名查詢請求，目前雖然有緩存技術緩解CPU壓力，但仍然有大量的查詢需要耗費CPU資源，如果一旦遭受針對DNS的拒絕服務攻擊，出現大量的查詢請求，就會出現DNS資源耗盡、提供服務出現異常的情況。

    二、針對DNS的端口攻擊

    DNS作為服務的一種，需要對外提供服務，打開一些端口，這些端口很容易受到攻擊。

    但是DNS一直以來缺乏安全設備來對其進行保護，這是因為DNS具備查詢時間短，并發連接會話數高，特別是新建會話連接數高的特點，尤其在高峰時間可達每秒10萬次以上的會話數，傳統的網絡安全設備無法滿足這樣的需求。

    針對一直困繞新疆電信用戶在DNS安全隱患，Hillstone提出了專業的解決方案，如圖1所示：

    圖1.新疆電信Hillstone安全解決方案拓撲圖

    首先在DNS前面部署一臺SA-5050高性能安全網關，分別對DNS的兩條線路進行保護，接著將SA-5050配置成二層透明模式，無需改變現在的網絡環境。針對拒絕服務攻擊，開啟SA-5050 防護功能，有效抵御拒絕服務攻擊；針對端口攻擊，通過ALG功能過濾掉非法請求服務。

    由于Hillstone安全網關部署在DNS服務器前，位置十分關鍵，因此對安全網關的性能要求非常高。Hillstone SA-5050采用多達16核的64位網絡多核并行處理器，自主開發的專用安全芯片(ASIC)和內部高達48Gbps的交換總線，使的Hillstone SA-5050在性能上有了質的飛躍——TCP每秒新建連接20萬，具備強大的安全處理能力，并且能夠避免傳統的ASIC和NP安全系統會話創建能力和流量控制能力弱的弊病，為新疆電信DNS服務器提供強大的安全保障。

    Hillstone SA-5050在新疆電信上線以后運行良好，給予DNS服務器很好的保護，新疆電信區級網絡維護中心主任工程師蘇安其先生對stone SA-5050評價如下：“…總體上山石的設備還是很不錯的，能夠支持非常大的每秒新建連接數，這個我們有非常深刻的印象，同時設備從上線到現在運行非常穩定，很好的保護了我們的DNS服務器…”