背景介紹

隨著計算機網絡與信息化技術的高速發展，越來越多的企業、政府構建了自己的互聯網絡信息化系統，在網絡帶來高效和快捷的同時，網絡攻擊的多樣化發展和帶寬的爆發式增長對網絡安全產品的處理性能和防護的精準性提出了更高的要求。

某移動通信公司所在地，有常住800多萬人口，下轄八個分公司，擁有員工近2500多人，其網絡無縫覆蓋整個地區。為了更好的給用戶提供快捷、高速的網絡接入服務，該移動公司在城域網上的兩條鏈路出口鏈接CMNET，出口帶寬分別增加為10G與10G。盡管增加了網絡帶寬，卻不能完全保障用戶接入網絡的質量。依據管理經驗判斷，該移動公司整個網絡中存在大量的蠕蟲病毒、網絡探測掃描、DOS/DDoS攻擊以及P2P類流量，導致網絡帶寬被無用的消耗，也極大的影響用戶網絡接入速度。

加之管理員也缺乏對整個網絡中網絡流量的構成、應用流的指向以及終端用戶網絡行為進行管控，導致網絡中蠕蟲病毒、木馬后門、間諜軟件、僵尸網絡、DDoS攻擊、垃圾郵件、網絡資源濫用(P2P下載、IM即時通訊、網游)肆虐。尤其是，這些混合威脅的風險，給用戶的信息網絡造成了嚴重的破壞。能否在如此大流量的背景下，及時發現并阻斷網絡入侵行為，保證網絡系統的安全和正常運行已經成為該移動公司所面臨的主要問題。

環境分析

通過對該移動信息網絡中數據包的進一步分析，發現其主要威脅來源如下：

• 首先，通過抓取用戶的網絡環境中的報文發現，存在大量的DNS域名解析請求，通過分析這些請求解析的域名大多數都是無效域名。根據實時抓包的數據判斷，應該是某些攻擊軟件隨機生成的網絡上根本不存在的域名。當攻擊軟件向網絡中的DNS服務器發送域名解析請求時，移動的DNS服務器會自動查找是否有對應的緩存，如果查找不到并且該域名無法直接由服務器解析的時候，該DNS 服務器會向其上層DNS服務器遞歸查詢域名信息。這些大量無效的域名連續性請求，給服務器帶來了很大的負載，無法向正常的請求返回DNS查詢結果，直接導致網絡無法訪問，給用戶造成極大的困擾。
• 其次，在該網絡中存在大量的無效IP地址和無效的服務請求，從整個報文分析，這些IP地址都是在進行掃描或者探測主機的漏洞，利用偽造的IP地址，對該網絡中服務器進行弱點和漏洞探測。在技術人員專門對該網絡中特定的服務器進行定點排查發現，一些主機在短時間內對外進行了大量的TCP連接請求，而這些請求的目標端口相同，數據包大小和數據包中的內容也很相似，更為重要的是目標IP地址和目標服務都無法得到應答，通過進一步分析，是該用戶網絡中存在大量的網絡蠕蟲。這些蠕蟲攻擊大肆掠奪性的占用網絡帶寬資源，不僅嚴重干擾整個網絡的正常運行，還直接影響了正常用戶的網絡接入質量，造成寶貴的帶寬資源浪費。
•  再次，無法有效預警和控制突發性網絡流量異常，讓網絡管理員無所適從;從網絡流中分析，可以明顯的看出存在ICMP掃描攻擊和TCP掃描攻擊，但這不是引起網絡異常的主要原因。在節假日或者某些特定的政府會議期間，網絡訪問流量的指向以及網絡中應用流的變化和網絡中混雜的各種DOS/DDOS攻擊流，讓網絡運營的技術人員無法全面了解這些流量細分的種類，只能被動的依靠經驗進行主觀判斷，無法對其中非正常的流量進行有效的干預和控制。
• 最后，缺失了對于終端用戶接入網絡行為的監查與過濾;盡管對于主干網絡運營的技術人員而言，并不需要對終端用戶進行上網行為的控制，但卻需要了解終端用戶網絡行為的構成。一方面，可分析總結用戶網絡訪問行為的喜好，便于對用戶行為進行深度分析，以便提供更好的服務;另一方面，可對終端用戶所產生的網絡攻擊流量進行有效的阻斷和取證定位。

實施部署

天融信在該移動城域網邊界兩個出口處分別部署天融信的擎天萬兆入侵防御系統，用于該移動的城域網絡的網絡入侵防御與監測。將入口的數據流經分光器后，引流到天融信入侵防御系統網絡探測引擎，進行網絡數據流的清洗。

具體部署如下：

圖：擎天萬兆TopIDP部署圖

實施效果

用戶網絡中通過部署擎天萬兆TopIDP，在線對流經的數據報文進行4~7層信息的深度檢測阻斷，達到了以下效果：

• 用戶網絡中的DNS服務器持續穩定的維持了快速域名請求應答和解析，有效的避免了DNS Flood攻擊。擎天萬兆TopIDP通過分解DNS解析和DNS攻擊過程，構建了DNS Flood攻擊防御模型，采用基于快速定位的溯本追源技術，不僅可以快速探測到DDOS攻擊行為發生，而且還可以在攻擊發生時準確定位并追蹤到攻擊源，只阻斷攻擊源而不影響正常訪問流量，可以有效的對網絡中DNS異常包、DNSReqFlood和DNSReplyqFlood攻擊進行防御。尤其是，還可以滿足在IPv6環境中工作。
• 有效的阻斷了網絡蠕蟲的攻擊和擴散蔓延，保障了用戶可用帶寬的有效性。天融信擎天萬兆TopIDP內置了100多萬種專門針對網絡蠕蟲的指紋庫，可以有效的對各種流行的網絡蠕蟲進行阻斷，尤其是對于移動接入用戶，還可以檢測和阻斷最新的手機病毒。為運營商提供了一種“智能手機”安全接入互連網的新型增值業務模式。
• 精細劃分了網絡中的各種流量，通過異常流量分析模型和異常流量自學習模型，使管理員更加便捷的掌握網絡情況。TopIDP具備智能自學習功能，管理員只需要設定好學習的時間，TopIDP就可以自動對網絡中流量進行分類，對各種網絡協議、網絡應用流的流向在整個網絡中所占的比例，建立比對模型，自動設定符合網絡實際情況的標準動態基線，不需要管理員憑經驗去判斷，減少主觀人為因素造成的設置不當。當網絡中流量超過該基線時，TopIDP可以自動向管理員報警，或者自動進行阻斷，管理員可以快捷對突發網絡異常狀態下控管。
• 實時對接入用戶的網絡行為進行監查，尤其是對終端網絡攻擊行為，可以進行單獨精細的統計，便于管理員進行有效的監控和阻斷。TopIDP內置有600多萬條URL網站濾庫、可以有效對色情、政治敏感等網站進行屏蔽;同時，擁有3600多條攻擊規則和100多種應用識別庫，對終端進行可控的細粒度監查。

結論

通過部署天融信擎天萬兆TopIDP，有效的避免了各種混合攻擊，保護了用戶的網絡帶寬資源，增強了用戶在移動互連接入市場的競爭優勢，保障了用戶接入的安全。

關于天融信擎天萬兆TopIDP

天融信網絡衛士入侵防御系統TopIDP將并行處理技術成功融入天融信自主知識產權的安全操作系統TOS(Topsec Operating System)系統，集成多項發明專利，形成了先進的多核架構技術體系。在此基礎上的TopIDP產品具有高速的數據并行檢測處理和轉發能力，能夠勝任高速網絡的安全防護要求。

此種設計所帶來的益處是十分明顯的。無論內網中的真實主機還是虛擬服務器通過何種渠道感染木馬，在產生破壞行為時，勢必要通過外網進行數據傳輸。而通常網關安全產品防外不防內的安全策略下，無法將威脅有效的進行阻止。而正反向的安全策略設置可以有效避免此類問題的發生。當受控的僵尸主機在向外發出攻擊或傳輸敏感數據時，TopIDP會第一時間發現并進行阻斷，同時會向網絡管理員發出警告，以便于進一步對威脅進行處理，在根源上解決了僵尸木馬在內部網絡中的危害。

TopIDP采用在線部署方式，能夠實時檢測和阻斷包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務、木馬、蠕蟲、系統漏洞等在內的11大類超過3000種網絡攻擊行為，有效保護用戶網絡IT服務資源，使其免受各種外部攻擊侵擾。TopIDP產品能夠阻斷或限制P2P下載、網絡視頻、網絡游戲等各種網絡帶寬濫用行為，確保網絡業務通暢。TopIDP產品還提供了詳盡的攻擊事件記錄、各種統計報表，并以可視化方式動態展示，實現實時的全網威脅分析。

TopIDP產品全系列采用多核處理器硬件平臺，基于先進的新一代并行處理技術架構，內置處理器動態負載均衡專利技術，實現了對網絡數據流的高性能實時檢測和防御。TopIDP產品采用基于目標主機的流檢測引擎，可即時處理IP分片和TCP流重組，有效阻斷各種逃逸檢測的攻擊手段。天融信公司內部的攻防專業實驗室通過與廠商和國家權威機構的合作，不斷跟蹤、挖掘和分析新出現的各種漏洞信息，并將研究成果直接應用于產品，保障了TopIDP產品檢測的全面、準確和及時有效。

TopIDP產品除入侵防御功能外，還具有智能協議識別、P2P流量控制、網絡病毒防御、上網行為管理、惡意網站過濾、內網監控和web安全防御等功能，是集多種功能為一體的綜合性內容安全設備，為用戶提供了完整的立體式網絡安全防護。與市場上同類入侵防御產品相比，TopIDP產品具有更高的檢測性能、更精準的檢測能力、更細的控制粒度、更豐富的安全功能、更完善的支持和服務保障，體現了最新的內容安全設備和解決方案發展方向。

產品功能

TOPIDP為2U標準機箱，前面板帶有四個3.5英寸硬盤槽位和三個可更換不同接口的網絡接口槽位。最高可支持6個萬兆(SFP+)或12個千兆10/100/1000Mbps自適應電口和12個SFP千兆光纖網絡接口。并且具備Web圖形化、SSH和串口Console，和支持網管平臺集中管理的功能。主要特點如下：

1. 12核多級并發處理，應用層處理性能超10Gbps。
2. 時實病毒查殺、。
3. 大容量、全線速轉發。
4. 電信級可靠性。
5. 全網安全控制，構建完整可信的網絡平臺。
6. 通暢的無縫切換，大于二十萬小時的平均無故障間隔時間。
7. 豐富的網絡協議支持，支持IPv6協議。
8. 提供強大的訪問控制和地址轉換功。