網御星云流量管理方案為移動認證計費中心保駕護航
【51CTO.com綜合報道】
1背景與需求
中國移動全國認證計費中心前期工程實現了WLAN認證模塊的單獨建設,圓滿地完成了服務奧運的任務。隨著業務的發展,特別是為支持即將上市的TD+WLAN手機,以及為隨后召開的上海世博會提供服務,對全國認證計費中心WLAN認證模塊又提出了新的功能需求。
近年來,網絡安全形勢日益嚴峻,移動全國認證計費中心受到了前所未有的安全挑戰。各種網絡攻擊方式層出不窮,木馬、欺騙等技術是黑客手中的利器,而DOS/DDOS更是它們中的佼佼者。
DoS是指這樣一種攻擊手段:攻擊者在一定時間內發送大量的服務請求來"轟炸"目的主機或其它網絡設備,使其不能提供正常的服務。這種方式類似于某人通過不停撥打某個公司的電話來阻止其它電話打進,從而導致公司通信癱瘓。DDoS是DoS的進一步演化。DDoS引進了Client/Server機制,增加了分布式的概念。"分布"是指把較大的計算量或工作量分配給多個處理器或多個節點共同協作完成。DDoS攻擊就是指攻擊者控制大量的攻擊源,使其同時向目標機發起的拒絕服務攻擊。
2解決方案
為保證移動全國認證計費中心網絡的可用性,防御DOS/DDOS網絡攻擊,網御星云公司從全網的角度進行檢測和統一的清洗防護。本期工程采用流量監測設備(Detector)+流量清洗設備(Guard)的組網方式。
本期工程組網結構圖如下:
本期工程設備均在在CMNet出口2臺路由器上進行部署。共部署一臺網御星云Detector和兩臺Guard。本期工程采用Netflow比例抽樣方式,由Detector設備發現DDoS攻擊。Guard設備與Detector設備聯動。在發生攻擊時,Guard將到達所需保護的IP地址段(如DNS、Radius、大客戶等)的流量進行牽引,清洗后再回注入路由器。本期工程共提供8G的流量清洗能力。
Leadsec-Guard通過網御星云獨創的智能防護算法,對攻擊行為進行分析和自學習,動態形成攻擊特征庫,可有效區分攻擊流量和正常流量,防護SYN flood、UDP flood、ICMP flood等二十多種攻擊,保證正常流量不受影響;Leadsec-Guard自學習異常流量過濾器采用了以下幾種技術:
特征識別:網御星云攻防實驗室長期積累攻擊和攻擊工具的特征,形成攻擊特征庫,可直接過濾網絡上流行的多種攻擊。
身份鑒別:在通信過程中,加入驗證的過程,驗證源地址和連接的有效性,防止偽造源地址和連接的攻擊,并支持黑名單、白名單和灰名單。
動態過濾:支持簡單包過濾、狀態包過濾和動態包過濾,可以分別選用,根據源地址、目的地址、源端口、目的端口、協議進行訪問控制,禁止不必要的訪問。
智能防護:網御星云獨創的智能防護算法,區別于傳統的統計丟包算法,通過自學習,對一段時間內的通信進行分析,通過對多個上下文數據包的分析,區分正常流量和攻擊流量,然后過濾絕大部分的攻擊流量,正常流量不受影響。對UDP flood和ICMP flood有較好的防護效果,如可有效防護針對聊天服務器和視頻的UDP flood攻擊。
協議分析:檢查通信過程是否符合TCP/IP協議的完整性。并對HTTP、DNS、P2P等協議進行深度分析,支持對SYN/SYN ACK/ACK flood攻擊、HTTP get flood攻擊、DNS query flood攻擊、cc攻擊的防護,支持BT、Emule等P2P協議的識別、阻斷和限制。
連接限制:支持對IP/子網的并發連接和新建連接限制,可根據源地址、目的地址、源端口、目的端口、協議限制并發連接總數和新建連接速率限制,新建連接速率限制分為保護主機、保護服務、限制主機、限制服務四種。從連接數的角度對網絡資源進行合理配置,可防止大規模攻擊和蠕蟲擴散的發生。并支持防掃描功能:TCP端口掃描、UDP端口掃描和ping sweep。
流量控制:完全硬件實現的流控,支持最大帶寬、保證帶寬、優先級,從帶寬的角度對網絡資源進行合理分配。
3實施效果
通過部署異常流量監測系統,用戶在遭受到網絡攻擊時,通過流量流向分析系統,可以有效的分析出攻擊來源地址、攻擊目的地址、網絡攻擊的類型等信息。通過過濾系統和分析系統的聯動,具備了自動部署防范/封堵措施的手段,從而及時有效的對網絡攻擊進行處理。
從設備日志分析,當受到來自外部互聯網的惡意攻擊時,計費中心各業務系統仍然能正常工作,對外響應速度也未受影響。同時,計費中心的網絡出口均保持了通暢,在受到大規模DDOS攻擊時,攻擊流量將被自動過濾掉,而正常的通信訪問則能夠繼續進行,沒有因DDOS攻擊而出現通信受阻的情況,從而充分保障了計費中心網絡中各種業務的順利進行。
4特色描述
總結本方案,具有如下特點:
·抗攻擊能力強。本次提供8Gbps攻擊流量的防御,充分滿足計費中心的業務需求。
·系統高可用。設備采用雙冗余電源、兩臺Guard設備采用雙機互備。且Guard內置bypass功能。全方位冗余設計,可充分保證業務高可用性。
·可擴展性強。本次工程提供8Gbps的清洗能力,需要擴容的時候,Guard可以通過集群的方式,最大能支持到640Gbps的清洗能力。
·部署簡單。旁路單臂部署,不改變現有網絡拓撲結構。對現網應用影響較小。
·安全性高。設備均采用https加密方式進行配置管理,Guard與Detector之間數據傳輸通過SSH協議實現。充分保證管理安全性。
網御星云公司在信息安全領域擁有眾多核心技術,先后申請發明專利近40項,軟件著作權近30項。主營業務涵蓋網絡邊界安全防護、應用與數據安全防護、全網安全風險管理等方面。主要產品包括防火墻、UTM、IPSec VPN、防病毒網關、IPS、SSL VPN安全接入網關、web應用安全防護系統、安全數據交換、IDS、異常流量管理、流量優化網關、安全審計、安全管理共計13大類500余款產品,其中包括網絡安全旗艦產品金剛萬兆安全網關和應用安全旗艦產品SSL VPN,是國內信息安全產品線最為豐富的企業。
