allot流量清洗解决方案 3040+SP

allot流量清洗解决方案 3040+SP 流量清洗解决方案 Allot Communications公司 2010年10月 目 录 第一章、前言 .......................................................................................................................................... 2 第二章、现状分析 .................................................................................................................................. 3 2.1 宽带网络可用性............................................................................................................................ 3 2.3 宽带网络的业务精细化 ................................................................................................................ 3 第三章、ALLOT 流量清洗解决方案 ..................................................................................................... 5 3.1 实现可控宽带网络的技术保证 ..................................................................................................... 5 3.2 整体架构 ....................................................................................................................................... 7 3.2.1 ...................................................................................................................... 7 主要功能和特点 3.2.2 .......................................................................................... 8 攻击流量的分析和辨识控制系统 3.2.3 DPI .......................................................................................................................................... 8 3.2.3 用户精细化管理平台 ............................................................................................................. 8 3.2.4丰富的报表和精细的管理平台 ............................................................................................... 8 3.3攻击流量的识别技术..................................................................................................................... 9 3.3.1 NBAD ...................................................................................................................................... 9 3.3.2 HBAD .................................................................................................................................... 10 3.3.3自定义识别 ........................................................................................................................... 10 3.4攻击流量的清洗实现组成方式 ................................................................................................... 11 3.4.1流量清洗系统的主要实现方式 ............................................................................................. 11 3.4.2面对来自用户的攻击清洗过程 ............................................................................................. 11 3.4.3面对来自外部的攻击清洗过程 ............................................................................................. 12 第 1 页 共 13 页 第一章、前言 在互联网不断发展的同时，黑客技术也在不断发展，利用后门软件的植入，越来越多的宽带用户PC已沦为助纣为虐的“傀儡机”，傀儡网络越来越庞大;另外一方面，经济利益的引诱、攻击源的难于追查，使越来越多的黑客铤而走险，把利用傀儡网络发动攻击当成发财致富的不二法宝。这些因素都导致网络中的DDoS攻击越来越频繁、规模越来越大，这些DDoS攻击不仅造成目标客户服务器、网络的瘫痪，而且还严重威胁到运营商城域网的安全，并引起全社会的广泛关注。城域网面临的安全风险非常多，从安全层次上看，主要有两个层次的安全风险。第一个层次是网络的存活性问题，在这个层次主要是要利用城域网给用户提供可靠、安全的网络构架，可以在IP网络上提供各种业务。第二个层次就是要保证给接入用户提供最好最合理的接入体验，因为现在的互联网业务逐步的复杂化，各种业务层出不穷，通过合理的技术手段满足不同接入用户的不同业务需求是这个层次安全解决方案的主要目的。 针对这种情况，并结合运营商网络的特点，Allot推出了满足多种需求的宽带流量清洗解决方案，精确阻断DDoS等攻击流量，为运营商提供城域网安全加固的同时，也为城域网客户提供了安全增值服务。 流量清洗中心部署在城域网或者IDC出口，整个系统由三部分组成:异常流量检测与控制部分、DPI核心实现异常流量清洗和用户业务管理平台。当DDoS攻击发生时，异常流量检测与控制部分会自动发现攻击行为，通过自动或手工方式把攻击流量信息的特征发送到DPI核心进行清洗;清除掉攻击流量后，将“干净”流量转发给用户。在整个攻击防范的过程中，用户丝毫感受不到攻击的存在，正常业务不会受到任何影响。 第 2 页 共 13 页 第二章、现状分析 2.1 宽带网络可用性 现在造成城域网安全问题造成的最大麻烦就是带宽和用户体验之间的矛盾，如果城域网带宽无限大，DDoS攻击等任何问题实际上都不会危害到城域网本身，正是由于也不能无限制的扩展带宽，造成了DDoS等安全问题成为了运营商头痛的问题(为DDoS流量扩带宽相当于花钱买垃圾)。从根本上说，一切针对运营商安全的解决方案都是加强对非法流量的打击、增强用户体验、将有限的带宽用在最合理的业务上为目标的。 宽带网络的可用性最主要的安全问题就是流量性攻击，最重要的流量性攻击就是DDoS攻击，因为保持网络骨干畅通最需要解决的问题就是DDoS攻击和防御，缓解城域网带宽的压力。 从运营商的角度考虑，实现网络可用的安全防御是最重要的，因为通过网络可用的安全防范可以缓解运营商的带宽压力，满足基础承载的需要。传统的安全防御实际上都是由企业自身来进行的，例如在Internet的连接位置放置防火墙设备，在IDC中心放置防火墙设备。由于现在DDoS攻击的流量非常大，导致了网络自身对DDoS的防御已经无能为力了，因为很多DDoS发起的流量攻击，已经会导致城域网基础网络的不安全，带宽严重占用，甚至已经堵塞了整个的城域网的出口，因此影响的已经不是被攻击的一个用户，而是整个城域网的用户。 2.3 宽带网络的业务精细化 过去互联网上运行的业务非常少(主要以WEB为主)，而现在已经发生了很大的变化，P2P、VOIP、蠕虫病毒、DDoS攻击等技术使得IP互联网复杂化，在这样的背景下，加强运营商对业务的控制能力就显得非常必要，因为只有这样，运营商才可以更好的管理互联网，更能从这样的变化中获得更丰厚的利润，否则不停的扩充带宽只会为ICP带来更好的生存空间，而运营商永远只是一个管道提供者。 业务精细化的问题主要涉及技术就是DPI(深度包检测)，只有采用DPI 第 3 页 共 13 页 技术才可以清楚的区分IP互联网中的不同业务，才有可能针对不同业务采用不同的处理策略，包括资费、带宽、控制、Qos等。这个层面的安全要求实际上是运营商的一个长期潜在需求，是一个随时发展的技术，精细运营方面运营商现在最迫切的需求是针对P2P业务的控制力度。 第 4 页 共 13 页 第三章、Allot 流量清洗解决方案 3.1 实现可控宽带网络的技术保证 关键词:可控。作为运营商、ISP来说，对上线用户无论使用什么样的应用，都在可以控制的范畴内进行经营，这是运营商、ISP业务的高级境界。对于高价值的应用,保护。对于低价值的应用,予以限制。最大限度地增大运营商的获利能力、降低用户的不确定风险。体现公平性。 而可控的技术前提是应用感知技术。只有具备了丰富的应用感知能力的网络，才能够真正做到控制网络的应用和业务模式。 服务提供商能够在IP网络上创建极具吸引力的全新服务，这种能力是不可限量的。然而，当前的基础设施存在着一些缺陷，妨碍了服务提供商从网络投资中创造最高利润，并制约了他们创建新业务模式、根据用户偏好定制服务的能力。Allot的技术正是为了解决各种服务提供问题而开发的。随着互联网用户和智能便携式设备的数量不断攀升，对宽带运营商来说，市场已经能够接受新的高级服务，如IP语音(VoIP)、在线游戏、音乐下载、视频点播(VoD)和音频流等。这些服务具备大幅提高服务提供商的每用户平均收入(ARPU)的潜力，从而进一步提升服务提供商网络资产的总价值。 如何精准的探知网络存在的DDOS风险是成为保障运营商宽带网络可用性的重要条件。 Allot ServiceProtector 是一种面向服务提供商的实时监测破坏网络性能和完整性的网络攻击和用户攻击的异常检测系统(ADS)。利用先进的探测和分析技术， ServiceProtector为异常防御系统(APS)提供极为重要的智能特性，帮助他们实现阻拦，限制或孤立网络威胁和不希望的流量。当与Allot服务网关平台或Allot NetEnforcer设备串连控制网络设备一同工作时，ServiceProtector能够实现强大的探测攻击和迁移到解决方案。ServiceProtector同样也可以与其他的串连设备一同工作和迁移攻击，如路由器、防火墙、IPS、流量整形设备或其他流量清洗设备。 第 5 页 共 13 页 随着宽带网络日益推动下一代通信的发展，运营商必须提高对网络活动的了解和控制。由于目前的IP网络无法区分VoIP、Web浏览、音乐下载、视频流或P2P流量等服务，因而不能控制单个服务的质量，也不能进行有效的计费。网络数据平面中智能的缺乏，会给运营商部署高级服务造成很大的问题。他们无法在同一个传输网络上，对单个用户的特定服务进行计量、捆绑、单独计费，或者确保服务质量(QoS)。使用通用的“尽力而为”网络传输来提供一般水平的QoS，并不足以实现下一代宽带服务。而使用Allot DPI和报表平台为运营商提供全球最优秀的应用识别和QoS的服务。同时来自于用户端的异常流量也成为影响用户服务体验和有效计费的重要因素，病毒和垃圾邮件等异常流量的增加，增加了网络的成本，也降低了用户使用的体验。而使用Allot用户管理平台良好的将用户与价值绑定，提高用户价值，防范来自接入的风险。 只有为整个网络引入业务控制基础设施，才能清除这些障碍。运营商需要对用户流量进行管理和控制。实施业务控制技术和用户异常流量识别，能够增强传输网络的应用和用户感知，从而帮助他们实现这一目标。借助应用流量控制技术，网络能够细致地识别服务和各种潜在风险，对服务进行分类，保证其性能和用户体验，并根据不同的应用和用户标准，对服务进行计费。 第 6 页 共 13 页 3.2 整体架构 如上图所示Allot AC3040通过无源bypass透明串接在需要做流量分析和控制的链路上。两台SP-Sensor通过镜像或者分光分别连接两条千兆链路。通过SP-Seneor的带外管理口，SP-Seneor会将分析的结果发送到SP-Controller，SP-Controller会将清洗攻击的命令通过带外管理口发送到统一用户管理中心Netxplorer，最后Netxplorer会将控制策略下发到设备上。AC3040会对经过他的流量进行流量清洗。 3.2.1主要功能和特点 Allot流量清洗解决方案，可以全面解决城域网的不同安全问题，总体上看，解决的思路是:对流量进行应用可视，对用户进行管理，对业务进行细分，对攻击流量清洗。通过全面的技术手段对城域网中的不安全因素进行过滤和加固，用来保证城域网的安全，同时通过Allot解决方案为运营商宽带网络提供更为丰富的可管理性，可控性，为各种宽带业务也提供了精细化经营和层次化服务的基础。 第 7 页 共 13 页 3.2.2 攻击流量的分析和辨识控制系统 由Allot ServiceProtector攻击流量的分析和辨识控制系统相当于宽带网络的一个攻击流量的快速辨识和控制分发中心，当DDOS等攻击发生的时候，检测系统自动会发现攻击行为，自动的把攻击流量特征分发到DPI平台，通过精准的过滤使干净的流量得到通过。 3.2.3 DPI 由Allot NetEnforcer实现的网络流量清洗实施平台为手术刀式的精准剥离攻击流量的分析和辨识控制系统通告的各种攻击流量。 3.2.3 用户精细化管理平台 Allot SMP用户管理平台为跟踪用户行为信息，定位来自用户接入端动态IP环境下，攻击用户不断变幻IP地址后的确定，同时通过与DPI平台实现的控制，实现对危险用户的隔离。 3.2.4丰富的报表和精细的管理平台 安全既是投资，也是业务。运营商业务转型是不可避免的，而要实现精细化运营必须将“开源”与“节流”并行。Allot Netxplorer 帮助运营商实现网络流量的可视化和业务的精细化管理。 第 8 页 共 13 页 3.3攻击流量的识别技术 Allot ServiceProtector保证服务的连续性同时包围网络的完整性，其通过对已知和未知的网络攻击实现辨识。 Allot流量清洗解决方案可以针对以下攻击进行识别: , 拒绝服务攻击关键基础设施-诸如网络、网络元素、DNS、VoIP , 拒绝服务(DoS/DDoS)攻击客户端web服务 , 零天攻击 , 异常或非常见流量影响网络和网络服务的性能 , 被感染的用户行为，诸如垃圾邮件分发，蠕虫的传播和僵尸肉机 , 恶意的用户的行为，如DOS的攻击 Allot ServiceProtector 通过NBAD和HBAD等几种技术实现对网络威胁的识别。 3.3.1 NBAD 通过网络行为异常检测(NBAD)在几秒钟内识别DOS/DDOS的攻击、零天漏洞攻击和其他影响网络性能的异常流量，确保具有风险的流量可以被迅速的辨识出来。 NBAD可以实现以下方式探测网络异常 第 9 页 共 13 页 3.3.2 HBAD 通过主机行为异常的检测(HBAD)识别用户僵尸/BOT肉机等行为(向外发送垃圾邮件、DDOS、蠕虫和端口扫描等攻击) 3.3.3自定义识别 通过抓包分析，可以将未知的各种威胁进行分析和生成特征，从而实现未知网络威胁的自定义识别。 第 10 页 共 13 页 3.4攻击流量的清洗实现组成方式 3.4.1流量清洗系统的主要实现方式 攻击流量清洗的过程为多平台的整合。首先，ServiceProtector-sensor对 网络流量的捕获、行为建模和分析、异常样本采集;其次， ServiceProtector-controller对异常流量的定义、记录、告警和配置的分发，将 信息传送到NetXplorer;第三步，NetXplorer将清洗流量的特征信息发送给 NetEnforcer等流量清洗的DPI平台。如果攻击流量来自用户接入，则SMP和 NetXplorer将协作绑定用户信息和IP地址，实现对异常流量的用户的隔离。 具体流程如下图: 3.4.2面对来自用户的攻击清洗过程 SP-Senser对用户流量的捕获、行为建模和分析、异常样本采集，SP-Controller对WORM/DOS/SPAM等攻击的辨识和定位。SP-Controller触发NetXplorer与SMP进行联动，将用户和IP进行捆绑分析，并且创建新的策略在NE上实现对异常用户流量的过滤和速率限制。而异常用户的流量则在NetEnforcer上被精准的剥离开。即便用户反复更换IP地址，依旧不能逃离被清洗的命运。 第 11 页 共 13 页 3.4.3面对来自外部的攻击清洗过程 SP-Senser对用户流量的捕获、行为建模和分析、异常样本采集，SP-Controller对DOS/DDOS/WORM和零天攻击等的辨识和定位。SP-Controller触发NetXplorer，并且创建新的策略在NE上实现对异常用户流量的过滤和速率限制。而异常的流量则在NetEnforcer上被精准的剥离开。 第 12 页 共 13 页