背景介绍
随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,在网络带来高效和快捷的同时,网络攻击的多样化发展和带宽的爆发式增长对网络安全产品的处理性能和防护的精准性提出了更高的要求。
某移动通信公司所在地,有常住800多万人口,下辖八个分公司,拥有员工近2500多人,其网络无缝覆盖整个地区。为了更好的给用户提供快捷、高速的网络接入服务,该移动公司在城域网上的两条链路出口链接CMNET,出口带宽分别增加为10G与10G。尽管增加了网络带宽,却不能完全保障用户接入网络的质量。依据管理经验判断,该移动公司整个网络中存在大量的蠕虫病毒、网络探测扫描、DOS/DDoS攻击以及P2P类流量,导致网络带宽被无用的消耗,也极大的影响用户网络接入速度。
加之管理员也缺乏对整个网络中网络流量的构成、应用流的指向以及终端用户网络行为进行管控,导致网络中蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P下载、IM即时通讯、网游)肆虐。尤其是,这些混合威胁的风险,给用户的信息网络造成了严重的破坏。能否在如此大流量的背景下,及时发现并阻断网络入侵行为,保证网络系统的安全和正常运行已经成为该移动公司所面临的主要问题。
环境分析
通过对该移动信息网络中数据包的进一步分析,发现其主要威胁来源如下:
- 首先,通过抓取用户的网络环境中的报文发现,存在大量的DNS域名解析请求,通过分析这些请求解析的域名大多数都是无效域名。根据实时抓包的数据判断,应 该是某些攻击软件随机生成的网络上根本不存在的域名。当攻击软件向网络中的DNS服务器发送域名解析请求时,移动的DNS服务器会自动查找是否有对应的缓 存,如果查找不到并且该域名无法直接由服务器解析的时候,该DNS 服务器会向其上层DNS服务器递归查询域名信息。这些大量无效的域名连续性请求,给服务器带来了很大的负载,无法向正常的请求返回DNS查询结果,直接导 致网络无法访问,给用户造成极大的困扰。
- 其次,在该网络中存在大量的无效IP地址和无效的服务请求,从整个报文分析,这些IP地址都是在进行扫描或者探测主机的漏洞,利用伪造的IP地址,对该网 络中服务器进行弱点和漏洞探测。在技术人员专门对该网络中特定的服务器进行定点排查发现,一些主机在短时间内对外进行了大量的TCP连接请求,而这些请求 的目标端口相同,数据包大小和数据包中的内容也很相似,更为重要的是目标IP地址和目标服务都无法得到应答,通过进一步分析,是该用户网络中存在大量的网 络蠕虫。这些蠕虫攻击大肆掠夺性的占用网络带宽资源,不仅严重干扰整个网络的正常运行,还直接影响了正常用户的网络接入质量,造成宝贵的带宽资源浪费。
- 再次,无法有效预警和控制突发性网络流量异常,让网络管理员无所适从;从网络流中分析,可以明显的看出存在ICMP扫描攻击和TCP扫描攻击,但这不是引 起网络异常的主要原因。在节假日或者某些特定的政府会议期间,网络访问流量的指向以及网络中应用流的变化和网络中混杂的各种DOS/DDOS攻击流,让网 络运营的技术人员无法全面了解这些流量细分的种类,只能被动的依靠经验进行主观判断,无法对其中非正常的流量进行有效的干预和控制。
- 最后,缺失了对于终端用户接入网络行为的监查与过滤;尽管对于主干网络运营的技术人员而言,并不需要对终端用户进行上网行为的控制,但却需要了解终端用户 网络行为的构成。一方面,可分析总结用户网络访问行为的喜好,便于对用户行为进行深度分析,以便提供更好的服务;另一方面,可对终端用户所产生的网络攻击 流量进行有效的阻断和取证定位。
实施部署
天融信在该移动城域网边界两个出口处分别部署天融信的擎天万兆入侵防御系统,用于该移动的城域网络的网络入侵防御与监测。将入口的数据流经分光器后,引流到天融信入侵防御系统网络探测引擎,进行网络数据流的清洗。
具体部署如下:
图:擎天万兆TopIDP部署图
实施效果
用户网络中通过部署擎天万兆TopIDP,在线对流经的数据报文进行4~7层信息的深度检测阻断,达到了以下效果:
- 用户网络中的DNS服务器持续稳定的维持了快速域名请求应答和解析,有效的避免了DNS Flood攻击。擎天万兆TopIDP通过分解DNS解析和DNS攻击过程,构建了DNS Flood攻击防御模型,采用基于快速定位的溯本追源技术,不仅可以快速探测到DDOS攻击行为发生,而且还可以在攻击发生时准确定位并追踪到攻击源,只 阻断攻击源而不影响正常访问流量,可以有效的对网络中DNS异常包、DNSReqFlood和DNSReplyqFlood攻击进行防御。尤其是,还可以 满足在IPv6环境中工作。
- 有效的阻断了网络蠕虫的攻击和扩散蔓延,保障了用户可用带宽的有效性。天融信擎天万兆TopIDP内置了100多万种专门针对网络蠕虫的指纹库,可以有效 的对各种流行的网络蠕虫进行阻断,尤其是对于移动接入用户,还可以检测和阻断最新的手机病毒。为运营商提供了一种“智能手机”安全接入互连网的新型增值业 务模式。
- 精细划分了网络中的各种流量,通过异常流量分析模型和异常流量自学习模型,使管理员更加便捷的掌握网络情况。TopIDP具备智能自学习功能,管理员只需 要设定好学习的时间,TopIDP就可以自动对网络中流量进行分类,对各种网络协议、网络应用流的流向在整个网络中所占的比例,建立比对模型,自动设定符 合网络实际情况的标准动态基线,不需要管理员凭经验去判断,减少主观人为因素造成的设置不当。当网络中流量超过该基线时,TopIDP可以自动向管理员报 警,或者自动进行阻断,管理员可以快捷对突发网络异常状态下控管。
- 实时对接入用户的网络行为进行监查,尤其是对终端网络攻击行为,可以进行单独精细的统计,便于管理员进行有效的监控和阻断。TopIDP内置有600多万 条URL网站滤库、可以有效对色情、政治敏感等网站进行屏蔽;同时,拥有3600多条攻击规则和100多种应用识别库,对终端进行可控的细粒度监查。
结论
通过部署天融信擎天万兆TopIDP,有效的避免了各种混合攻击,保护了用户的网络带宽资源,增强了用户在移动互连接入市场的竞争优势,保障了用户接入的安全。
关于天融信擎天万兆TopIDP
天融信网络卫士入侵防御系统TopIDP将并行处理技术成功融入天融信自主知识产权的安全操作系统TOS(Topsec Operating System)系统,集成多项发明专利,形成了先进的多核架构技术体系。在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力,能够胜任高速网络的安全防护要求。
此种设计所带来的益处是十分明显的。无论内网中的真实主机还是虚拟服务器通过何种渠道感染木马,在产生破坏行为时,势必要通过外网进行数据传输。而 通常网关安全产品防外不防内的安全策略下,无法将威胁有效的进行阻止。而正反向的安全策略设置可以有效避免此类问题的发生。当受控的僵尸主机在向外发出攻 击或传输敏感数据时,TopIDP会第一时间发现并进行阻断,同时会向网络管理员发出警告,以便于进一步对威胁进行处理,在根源上解决了僵尸木马在内部网 络中的危害。
TopIDP采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类 超过3000种网络攻击行为,有效保护用户网络IT服务资源,使其免受各种外部攻击侵扰。TopIDP产品能够阻断或限制P2P下载、网络视频、网络游戏 等各种网络带宽滥用行为,确保网络业务通畅。TopIDP产品还提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全网威胁分 析。
TopIDP产品全系列采用多核处理器硬件平台,基于先进的新一代并行处理技术架构,内置处理器动态负载均衡专利技术,实现了对网络数据流的高性能 实时检测和防御。TopIDP产品采用基于目标主机的流检测引擎,可即时处理IP分片和TCP流重组,有效阻断各种逃逸检测的攻击手段。天融信公司内部的 攻防专业实验室通过与厂商和国家权威机构的合作,不断跟踪、挖掘和分析新出现的各种漏洞信息,并将研究成果直接应用于产品,保障了TopIDP产品检测的 全面、准确和及时有效。
TopIDP产品除入侵防御功能外,还具有智能协议识别、P2P流量控制、网络病毒防御、上网行为管理、恶意网站过滤、内网监控和web安全防御等 功能,是集多种功能为一体的综合性内容安全设备,为用户提供了完整的立体式网络安全防护。与市场上同类入侵防御产品相比,TopIDP产品具有更高的检测 性能、更精准的检测能力、更细的控制粒度、更丰富的安全功能、更完善的支持和服务保障,体现了最新的内容安全设备和解决方案发展方向。
产品功能
TOPIDP为2U标准机箱,前面板带有四个3.5英寸硬盘槽位和三个可更换不同接口的网络接口槽位。最高可支 持6个万兆(SFP+)或12个千兆 10/100/1000Mbps自适应电口和12个SFP千兆光纤网络接口。并且具备Web图形化、SSH和串口Console,和支持网管平台集中管理 的功能。主要特点如下:
- 12核多级并发处理,应用层处理性能超10Gbps。
- 时实病毒查杀、。
- 大容量、全线速转发。
- 电信级可靠性。
- 全网安全控制,构建完整可信的网络平台。
- 通畅的无缝切换,大于二十万小时的平均无故障间隔时间。
- 丰富的网络协议支持,支持IPv6协议。
- 提供强大的访问控制和地址转换功。