【51CTO.com綜合報(bào)道】

1背景與需求

中國移動全國認(rèn)證計(jì)費(fèi)中心前期工程實(shí)現(xiàn)了WLAN認(rèn)證模塊的單獨(dú)建設(shè)，圓滿地完成了服務(wù)奧運(yùn)的任務(wù)。隨著業(yè)務(wù)的發(fā)展，特別是為支持即將上市的TD+WLAN手機(jī)，以及為隨后召開的上海世博會提供服務(wù)，對全國認(rèn)證計(jì)費(fèi)中心WLAN認(rèn)證模塊又提出了新的功能需求。

近年來，網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，移動全國認(rèn)證計(jì)費(fèi)中心受到了前所未有的安全挑戰(zhàn)。各種網(wǎng)絡(luò)攻擊方式層出不窮，木馬、欺騙等技術(shù)是黑客手中的利器，而DOS/DDOS更是它們中的佼佼者。

DoS是指這樣一種攻擊手段：攻擊者在一定時(shí)間內(nèi)發(fā)送大量的服務(wù)請求來"轟炸"目的主機(jī)或其它網(wǎng)絡(luò)設(shè)備，使其不能提供正常的服務(wù)。這種方式類似于某人通過不停撥打某個(gè)公司的電話來阻止其它電話打進(jìn)，從而導(dǎo)致公司通信癱瘓。DDoS是DoS的進(jìn)一步演化。DDoS引進(jìn)了Client／Server機(jī)制，增加了分布式的概念。"分布"是指把較大的計(jì)算量或工作量分配給多個(gè)處理器或多個(gè)節(jié)點(diǎn)共同協(xié)作完成。DDoS攻擊就是指攻擊者控制大量的攻擊源，使其同時(shí)向目標(biāo)機(jī)發(fā)起的拒絕服務(wù)攻擊。

2解決方案

為保證移動全國認(rèn)證計(jì)費(fèi)中心網(wǎng)絡(luò)的可用性，防御DOS/DDOS網(wǎng)絡(luò)攻擊，網(wǎng)御星云公司從全網(wǎng)的角度進(jìn)行檢測和統(tǒng)一的清洗防護(hù)。本期工程采用流量監(jiān)測設(shè)備(Detector)+流量清洗設(shè)備(Guard)的組網(wǎng)方式。

本期工程組網(wǎng)結(jié)構(gòu)圖如下：

本期工程設(shè)備均在在CMNet出口2臺路由器上進(jìn)行部署。共部署一臺網(wǎng)御星云Detector和兩臺Guard。本期工程采用Netflow比例抽樣方式，由Detector設(shè)備發(fā)現(xiàn)DDoS攻擊。Guard設(shè)備與Detector設(shè)備聯(lián)動。在發(fā)生攻擊時(shí)，Guard將到達(dá)所需保護(hù)的IP地址段（如DNS、Radius、大客戶等）的流量進(jìn)行牽引，清洗后再回注入路由器。本期工程共提供8G的流量清洗能力。

Leadsec-Guard通過網(wǎng)御星云獨(dú)創(chuàng)的智能防護(hù)算法，對攻擊行為進(jìn)行分析和自學(xué)習(xí)，動態(tài)形成攻擊特征庫，可有效區(qū)分攻擊流量和正常流量，防護(hù)SYN flood、UDP flood、ICMP flood等二十多種攻擊，保證正常流量不受影響；Leadsec-Guard自學(xué)習(xí)異常流量過濾器采用了以下幾種技術(shù)：

特征識別：網(wǎng)御星云攻防實(shí)驗(yàn)室長期積累攻擊和攻擊工具的特征，形成攻擊特征庫，可直接過濾網(wǎng)絡(luò)上流行的多種攻擊。

身份鑒別：在通信過程中，加入驗(yàn)證的過程，驗(yàn)證源地址和連接的有效性，防止偽造源地址和連接的攻擊，并支持黑名單、白名單和灰名單。

動態(tài)過濾：支持簡單包過濾、狀態(tài)包過濾和動態(tài)包過濾，可以分別選用，根據(jù)源地址、目的地址、源端口、目的端口、協(xié)議進(jìn)行訪問控制，禁止不必要的訪問。

智能防護(hù)：網(wǎng)御星云獨(dú)創(chuàng)的智能防護(hù)算法，區(qū)別于傳統(tǒng)的統(tǒng)計(jì)丟包算法，通過自學(xué)習(xí)，對一段時(shí)間內(nèi)的通信進(jìn)行分析，通過對多個(gè)上下文數(shù)據(jù)包的分析，區(qū)分正常流量和攻擊流量，然后過濾絕大部分的攻擊流量，正常流量不受影響。對UDP flood和ICMP flood有較好的防護(hù)效果，如可有效防護(hù)針對聊天服務(wù)器和視頻的UDP flood攻擊。

協(xié)議分析：檢查通信過程是否符合TCP/IP協(xié)議的完整性。并對HTTP、DNS、P2P等協(xié)議進(jìn)行深度分析，支持對SYN/SYN ACK/ACK flood攻擊、HTTP get flood攻擊、DNS query flood攻擊、cc攻擊的防護(hù)，支持BT、Emule等P2P協(xié)議的識別、阻斷和限制。

連接限制：支持對IP/子網(wǎng)的并發(fā)連接和新建連接限制，可根據(jù)源地址、目的地址、源端口、目的端口、協(xié)議限制并發(fā)連接總數(shù)和新建連接速率限制，新建連接速率限制分為保護(hù)主機(jī)、保護(hù)服務(wù)、限制主機(jī)、限制服務(wù)四種。從連接數(shù)的角度對網(wǎng)絡(luò)資源進(jìn)行合理配置，可防止大規(guī)模攻擊和蠕蟲擴(kuò)散的發(fā)生。并支持防掃描功能：TCP端口掃描、UDP端口掃描和ping sweep。

流量控制：完全硬件實(shí)現(xiàn)的流控，支持最大帶寬、保證帶寬、優(yōu)先級，從帶寬的角度對網(wǎng)絡(luò)資源進(jìn)行合理分配。

3實(shí)施效果

通過部署異常流量監(jiān)測系統(tǒng)，用戶在遭受到網(wǎng)絡(luò)攻擊時(shí)，通過流量流向分析系統(tǒng)，可以有效的分析出攻擊來源地址、攻擊目的地址、網(wǎng)絡(luò)攻擊的類型等信息。通過過濾系統(tǒng)和分析系統(tǒng)的聯(lián)動，具備了自動部署防范/封堵措施的手段，從而及時(shí)有效的對網(wǎng)絡(luò)攻擊進(jìn)行處理。

從設(shè)備日志分析，當(dāng)受到來自外部互聯(lián)網(wǎng)的惡意攻擊時(shí)，計(jì)費(fèi)中心各業(yè)務(wù)系統(tǒng)仍然能正常工作，對外響應(yīng)速度也未受影響。同時(shí)，計(jì)費(fèi)中心的網(wǎng)絡(luò)出口均保持了通暢，在受到大規(guī)模DDOS攻擊時(shí)，攻擊流量將被自動過濾掉，而正常的通信訪問則能夠繼續(xù)進(jìn)行，沒有因DDOS攻擊而出現(xiàn)通信受阻的情況，從而充分保障了計(jì)費(fèi)中心網(wǎng)絡(luò)中各種業(yè)務(wù)的順利進(jìn)行。

4特色描述

總結(jié)本方案，具有如下特點(diǎn)：

·抗攻擊能力強(qiáng)。本次提供8Gbps攻擊流量的防御，充分滿足計(jì)費(fèi)中心的業(yè)務(wù)需求。

·系統(tǒng)高可用。設(shè)備采用雙冗余電源、兩臺Guard設(shè)備采用雙機(jī)互備。且Guard內(nèi)置bypass功能。全方位冗余設(shè)計(jì)，可充分保證業(yè)務(wù)高可用性。

·可擴(kuò)展性強(qiáng)。本次工程提供8Gbps的清洗能力，需要擴(kuò)容的時(shí)候，Guard可以通過集群的方式，最大能支持到640Gbps的清洗能力。

·部署簡單。旁路單臂部署，不改變現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。對現(xiàn)網(wǎng)應(yīng)用影響較小。

·安全性高。設(shè)備均采用https加密方式進(jìn)行配置管理，Guard與Detector之間數(shù)據(jù)傳輸通過SSH協(xié)議實(shí)現(xiàn)。充分保證管理安全性。

網(wǎng)御星云公司在信息安全領(lǐng)域擁有眾多核心技術(shù)，先后申請發(fā)明專利近40項(xiàng)，軟件著作權(quán)近30項(xiàng)。主營業(yè)務(wù)涵蓋網(wǎng)絡(luò)邊界安全防護(hù)、應(yīng)用與數(shù)據(jù)安全防護(hù)、全網(wǎng)安全風(fēng)險(xiǎn)管理等方面。主要產(chǎn)品包括防火墻、UTM、IPSec VPN、防病毒網(wǎng)關(guān)、IPS、SSL VPN安全接入網(wǎng)關(guān)、web應(yīng)用安全防護(hù)系統(tǒng)、安全數(shù)據(jù)交換、IDS、異常流量管理、流量優(yōu)化網(wǎng)關(guān)、安全審計(jì)、安全管理共計(jì)13大類500余款產(chǎn)品，其中包括網(wǎng)絡(luò)安全旗艦產(chǎn)品金剛?cè)f兆安全網(wǎng)關(guān)和應(yīng)用安全旗艦產(chǎn)品SSL VPN，是國內(nèi)信息安全產(chǎn)品線最為豐富的企業(yè)。