背景介紹

隨著計(jì)算機(jī)網(wǎng)絡(luò)與信息化技術(shù)的高速發(fā)展，越來越多的企業(yè)、政府構(gòu)建了自己的互聯(lián)網(wǎng)絡(luò)信息化系統(tǒng)，在網(wǎng)絡(luò)帶來高效和快捷的同時(shí)，網(wǎng)絡(luò)攻擊的多樣化發(fā)展和帶寬的爆發(fā)式增長(zhǎng)對(duì)網(wǎng)絡(luò)安全產(chǎn)品的處理性能和防護(hù)的精準(zhǔn)性提出了更高的要求。

某移動(dòng)通信公司所在地，有常住800多萬人口，下轄八個(gè)分公司，擁有員工近2500多人，其網(wǎng)絡(luò)無縫覆蓋整個(gè)地區(qū)。為了更好的給用戶提供快捷、高速的網(wǎng)絡(luò)接入服務(wù)，該移動(dòng)公司在城域網(wǎng)上的兩條鏈路出口鏈接CMNET，出口帶寬分別增加為10G與10G。盡管增加了網(wǎng)絡(luò)帶寬，卻不能完全保障用戶接入網(wǎng)絡(luò)的質(zhì)量。依據(jù)管理經(jīng)驗(yàn)判斷，該移動(dòng)公司整個(gè)網(wǎng)絡(luò)中存在大量的蠕蟲病毒、網(wǎng)絡(luò)探測(cè)掃描、DOS/DDoS攻擊以及P2P類流量，導(dǎo)致網(wǎng)絡(luò)帶寬被無用的消耗，也極大的影響用戶網(wǎng)絡(luò)接入速度。

加之管理員也缺乏對(duì)整個(gè)網(wǎng)絡(luò)中網(wǎng)絡(luò)流量的構(gòu)成、應(yīng)用流的指向以及終端用戶網(wǎng)絡(luò)行為進(jìn)行管控，導(dǎo)致網(wǎng)絡(luò)中蠕蟲病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡(luò)、DDoS攻擊、垃圾郵件、網(wǎng)絡(luò)資源濫用(P2P下載、IM即時(shí)通訊、網(wǎng)游)肆虐。尤其是，這些混合威脅的風(fēng)險(xiǎn)，給用戶的信息網(wǎng)絡(luò)造成了嚴(yán)重的破壞。能否在如此大流量的背景下，及時(shí)發(fā)現(xiàn)并阻斷網(wǎng)絡(luò)入侵行為，保證網(wǎng)絡(luò)系統(tǒng)的安全和正常運(yùn)行已經(jīng)成為該移動(dòng)公司所面臨的主要問題。

環(huán)境分析

通過對(duì)該移動(dòng)信息網(wǎng)絡(luò)中數(shù)據(jù)包的進(jìn)一步分析，發(fā)現(xiàn)其主要威脅來源如下：

• 首先，通過抓取用戶的網(wǎng)絡(luò)環(huán)境中的報(bào)文發(fā)現(xiàn)，存在大量的DNS域名解析請(qǐng)求，通過分析這些請(qǐng)求解析的域名大多數(shù)都是無效域名。根據(jù)實(shí)時(shí)抓包的數(shù)據(jù)判斷，應(yīng)該是某些攻擊軟件隨機(jī)生成的網(wǎng)絡(luò)上根本不存在的域名。當(dāng)攻擊軟件向網(wǎng)絡(luò)中的DNS服務(wù)器發(fā)送域名解析請(qǐng)求時(shí)，移動(dòng)的DNS服務(wù)器會(huì)自動(dòng)查找是否有對(duì)應(yīng)的緩存，如果查找不到并且該域名無法直接由服務(wù)器解析的時(shí)候，該DNS 服務(wù)器會(huì)向其上層DNS服務(wù)器遞歸查詢域名信息。這些大量無效的域名連續(xù)性請(qǐng)求，給服務(wù)器帶來了很大的負(fù)載，無法向正常的請(qǐng)求返回DNS查詢結(jié)果，直接導(dǎo)致網(wǎng)絡(luò)無法訪問，給用戶造成極大的困擾。
• 其次，在該網(wǎng)絡(luò)中存在大量的無效IP地址和無效的服務(wù)請(qǐng)求，從整個(gè)報(bào)文分析，這些IP地址都是在進(jìn)行掃描或者探測(cè)主機(jī)的漏洞，利用偽造的IP地址，對(duì)該網(wǎng)絡(luò)中服務(wù)器進(jìn)行弱點(diǎn)和漏洞探測(cè)。在技術(shù)人員專門對(duì)該網(wǎng)絡(luò)中特定的服務(wù)器進(jìn)行定點(diǎn)排查發(fā)現(xiàn)，一些主機(jī)在短時(shí)間內(nèi)對(duì)外進(jìn)行了大量的TCP連接請(qǐng)求，而這些請(qǐng)求的目標(biāo)端口相同，數(shù)據(jù)包大小和數(shù)據(jù)包中的內(nèi)容也很相似，更為重要的是目標(biāo)IP地址和目標(biāo)服務(wù)都無法得到應(yīng)答，通過進(jìn)一步分析，是該用戶網(wǎng)絡(luò)中存在大量的網(wǎng)絡(luò)蠕蟲。這些蠕蟲攻擊大肆掠奪性的占用網(wǎng)絡(luò)帶寬資源，不僅嚴(yán)重干擾整個(gè)網(wǎng)絡(luò)的正常運(yùn)行，還直接影響了正常用戶的網(wǎng)絡(luò)接入質(zhì)量，造成寶貴的帶寬資源浪費(fèi)。
•  再次，無法有效預(yù)警和控制突發(fā)性網(wǎng)絡(luò)流量異常，讓網(wǎng)絡(luò)管理員無所適從;從網(wǎng)絡(luò)流中分析，可以明顯的看出存在ICMP掃描攻擊和TCP掃描攻擊，但這不是引起網(wǎng)絡(luò)異常的主要原因。在節(jié)假日或者某些特定的政府會(huì)議期間，網(wǎng)絡(luò)訪問流量的指向以及網(wǎng)絡(luò)中應(yīng)用流的變化和網(wǎng)絡(luò)中混雜的各種DOS/DDOS攻擊流，讓網(wǎng)絡(luò)運(yùn)營的技術(shù)人員無法全面了解這些流量細(xì)分的種類，只能被動(dòng)的依靠經(jīng)驗(yàn)進(jìn)行主觀判斷，無法對(duì)其中非正常的流量進(jìn)行有效的干預(yù)和控制。
• 最后，缺失了對(duì)于終端用戶接入網(wǎng)絡(luò)行為的監(jiān)查與過濾;盡管對(duì)于主干網(wǎng)絡(luò)運(yùn)營的技術(shù)人員而言，并不需要對(duì)終端用戶進(jìn)行上網(wǎng)行為的控制，但卻需要了解終端用戶網(wǎng)絡(luò)行為的構(gòu)成。一方面，可分析總結(jié)用戶網(wǎng)絡(luò)訪問行為的喜好，便于對(duì)用戶行為進(jìn)行深度分析，以便提供更好的服務(wù);另一方面，可對(duì)終端用戶所產(chǎn)生的網(wǎng)絡(luò)攻擊流量進(jìn)行有效的阻斷和取證定位。

實(shí)施部署

天融信在該移動(dòng)城域網(wǎng)邊界兩個(gè)出口處分別部署天融信的擎天萬兆入侵防御系統(tǒng)，用于該移動(dòng)的城域網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵防御與監(jiān)測(cè)。將入口的數(shù)據(jù)流經(jīng)分光器后，引流到天融信入侵防御系統(tǒng)網(wǎng)絡(luò)探測(cè)引擎，進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)流的清洗。

具體部署如下：

圖：擎天萬兆TopIDP部署圖

實(shí)施效果

用戶網(wǎng)絡(luò)中通過部署擎天萬兆TopIDP，在線對(duì)流經(jīng)的數(shù)據(jù)報(bào)文進(jìn)行4~7層信息的深度檢測(cè)阻斷，達(dá)到了以下效果：

• 用戶網(wǎng)絡(luò)中的DNS服務(wù)器持續(xù)穩(wěn)定的維持了快速域名請(qǐng)求應(yīng)答和解析，有效的避免了DNS Flood攻擊。擎天萬兆TopIDP通過分解DNS解析和DNS攻擊過程，構(gòu)建了DNS Flood攻擊防御模型，采用基于快速定位的溯本追源技術(shù)，不僅可以快速探測(cè)到DDOS攻擊行為發(fā)生，而且還可以在攻擊發(fā)生時(shí)準(zhǔn)確定位并追蹤到攻擊源，只阻斷攻擊源而不影響正常訪問流量，可以有效的對(duì)網(wǎng)絡(luò)中DNS異常包、DNSReqFlood和DNSReplyqFlood攻擊進(jìn)行防御。尤其是，還可以滿足在IPv6環(huán)境中工作。
• 有效的阻斷了網(wǎng)絡(luò)蠕蟲的攻擊和擴(kuò)散蔓延，保障了用戶可用帶寬的有效性。天融信擎天萬兆TopIDP內(nèi)置了100多萬種專門針對(duì)網(wǎng)絡(luò)蠕蟲的指紋庫，可以有效的對(duì)各種流行的網(wǎng)絡(luò)蠕蟲進(jìn)行阻斷，尤其是對(duì)于移動(dòng)接入用戶，還可以檢測(cè)和阻斷最新的手機(jī)病毒。為運(yùn)營商提供了一種“智能手機(jī)”安全接入互連網(wǎng)的新型增值業(yè)務(wù)模式。
• 精細(xì)劃分了網(wǎng)絡(luò)中的各種流量，通過異常流量分析模型和異常流量自學(xué)習(xí)模型，使管理員更加便捷的掌握網(wǎng)絡(luò)情況。TopIDP具備智能自學(xué)習(xí)功能，管理員只需要設(shè)定好學(xué)習(xí)的時(shí)間，TopIDP就可以自動(dòng)對(duì)網(wǎng)絡(luò)中流量進(jìn)行分類，對(duì)各種網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用流的流向在整個(gè)網(wǎng)絡(luò)中所占的比例，建立比對(duì)模型，自動(dòng)設(shè)定符合網(wǎng)絡(luò)實(shí)際情況的標(biāo)準(zhǔn)動(dòng)態(tài)基線，不需要管理員憑經(jīng)驗(yàn)去判斷，減少主觀人為因素造成的設(shè)置不當(dāng)。當(dāng)網(wǎng)絡(luò)中流量超過該基線時(shí)，TopIDP可以自動(dòng)向管理員報(bào)警，或者自動(dòng)進(jìn)行阻斷，管理員可以快捷對(duì)突發(fā)網(wǎng)絡(luò)異常狀態(tài)下控管。
• 實(shí)時(shí)對(duì)接入用戶的網(wǎng)絡(luò)行為進(jìn)行監(jiān)查，尤其是對(duì)終端網(wǎng)絡(luò)攻擊行為，可以進(jìn)行單獨(dú)精細(xì)的統(tǒng)計(jì)，便于管理員進(jìn)行有效的監(jiān)控和阻斷。TopIDP內(nèi)置有600多萬條URL網(wǎng)站濾庫、可以有效對(duì)色情、政治敏感等網(wǎng)站進(jìn)行屏蔽;同時(shí)，擁有3600多條攻擊規(guī)則和100多種應(yīng)用識(shí)別庫，對(duì)終端進(jìn)行可控的細(xì)粒度監(jiān)查。

結(jié)論

通過部署天融信擎天萬兆TopIDP，有效的避免了各種混合攻擊，保護(hù)了用戶的網(wǎng)絡(luò)帶寬資源，增強(qiáng)了用戶在移動(dòng)互連接入市場(chǎng)的競(jìng)爭(zhēng)優(yōu)勢(shì)，保障了用戶接入的安全。

關(guān)于天融信擎天萬兆TopIDP

天融信網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)TopIDP將并行處理技術(shù)成功融入天融信自主知識(shí)產(chǎn)權(quán)的安全操作系統(tǒng)TOS(Topsec Operating System)系統(tǒng)，集成多項(xiàng)發(fā)明專利，形成了先進(jìn)的多核架構(gòu)技術(shù)體系。在此基礎(chǔ)上的TopIDP產(chǎn)品具有高速的數(shù)據(jù)并行檢測(cè)處理和轉(zhuǎn)發(fā)能力，能夠勝任高速網(wǎng)絡(luò)的安全防護(hù)要求。

此種設(shè)計(jì)所帶來的益處是十分明顯的。無論內(nèi)網(wǎng)中的真實(shí)主機(jī)還是虛擬服務(wù)器通過何種渠道感染木馬，在產(chǎn)生破壞行為時(shí)，勢(shì)必要通過外網(wǎng)進(jìn)行數(shù)據(jù)傳輸。而通常網(wǎng)關(guān)安全產(chǎn)品防外不防內(nèi)的安全策略下，無法將威脅有效的進(jìn)行阻止。而正反向的安全策略設(shè)置可以有效避免此類問題的發(fā)生。當(dāng)受控的僵尸主機(jī)在向外發(fā)出攻擊或傳輸敏感數(shù)據(jù)時(shí)，TopIDP會(huì)第一時(shí)間發(fā)現(xiàn)并進(jìn)行阻斷，同時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警告，以便于進(jìn)一步對(duì)威脅進(jìn)行處理，在根源上解決了僵尸木馬在內(nèi)部網(wǎng)絡(luò)中的危害。

TopIDP采用在線部署方式，能夠?qū)崟r(shí)檢測(cè)和阻斷包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務(wù)、木馬、蠕蟲、系統(tǒng)漏洞等在內(nèi)的11大類超過3000種網(wǎng)絡(luò)攻擊行為，有效保護(hù)用戶網(wǎng)絡(luò)IT服務(wù)資源，使其免受各種外部攻擊侵?jǐn)_。TopIDP產(chǎn)品能夠阻斷或限制P2P下載、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲等各種網(wǎng)絡(luò)帶寬濫用行為，確保網(wǎng)絡(luò)業(yè)務(wù)通暢。TopIDP產(chǎn)品還提供了詳盡的攻擊事件記錄、各種統(tǒng)計(jì)報(bào)表，并以可視化方式動(dòng)態(tài)展示，實(shí)現(xiàn)實(shí)時(shí)的全網(wǎng)威脅分析。

TopIDP產(chǎn)品全系列采用多核處理器硬件平臺(tái)，基于先進(jìn)的新一代并行處理技術(shù)架構(gòu)，內(nèi)置處理器動(dòng)態(tài)負(fù)載均衡專利技術(shù)，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的高性能實(shí)時(shí)檢測(cè)和防御。TopIDP產(chǎn)品采用基于目標(biāo)主機(jī)的流檢測(cè)引擎，可即時(shí)處理IP分片和TCP流重組，有效阻斷各種逃逸檢測(cè)的攻擊手段。天融信公司內(nèi)部的攻防專業(yè)實(shí)驗(yàn)室通過與廠商和國家權(quán)威機(jī)構(gòu)的合作，不斷跟蹤、挖掘和分析新出現(xiàn)的各種漏洞信息，并將研究成果直接應(yīng)用于產(chǎn)品，保障了TopIDP產(chǎn)品檢測(cè)的全面、準(zhǔn)確和及時(shí)有效。

TopIDP產(chǎn)品除入侵防御功能外，還具有智能協(xié)議識(shí)別、P2P流量控制、網(wǎng)絡(luò)病毒防御、上網(wǎng)行為管理、惡意網(wǎng)站過濾、內(nèi)網(wǎng)監(jiān)控和web安全防御等功能，是集多種功能為一體的綜合性內(nèi)容安全設(shè)備，為用戶提供了完整的立體式網(wǎng)絡(luò)安全防護(hù)。與市場(chǎng)上同類入侵防御產(chǎn)品相比，TopIDP產(chǎn)品具有更高的檢測(cè)性能、更精準(zhǔn)的檢測(cè)能力、更細(xì)的控制粒度、更豐富的安全功能、更完善的支持和服務(wù)保障，體現(xiàn)了最新的內(nèi)容安全設(shè)備和解決方案發(fā)展方向。

產(chǎn)品功能

TOPIDP為2U標(biāo)準(zhǔn)機(jī)箱，前面板帶有四個(gè)3.5英寸硬盤槽位和三個(gè)可更換不同接口的網(wǎng)絡(luò)接口槽位。最高可支持6個(gè)萬兆(SFP+)或12個(gè)千兆10/100/1000Mbps自適應(yīng)電口和12個(gè)SFP千兆光纖網(wǎng)絡(luò)接口。并且具備Web圖形化、SSH和串口Console，和支持網(wǎng)管平臺(tái)集中管理的功能。主要特點(diǎn)如下：

1. 12核多級(jí)并發(fā)處理，應(yīng)用層處理性能超10Gbps。
2. 時(shí)實(shí)病毒查殺、。
3. 大容量、全線速轉(zhuǎn)發(fā)。
4. 電信級(jí)可靠性。
5. 全網(wǎng)安全控制，構(gòu)建完整可信的網(wǎng)絡(luò)平臺(tái)。
6. 通暢的無縫切換，大于二十萬小時(shí)的平均無故障間隔時(shí)間。
7. 豐富的網(wǎng)絡(luò)協(xié)議支持，支持IPv6協(xié)議。
8. 提供強(qiáng)大的訪問控制和地址轉(zhuǎn)換功。