電信運營商安全島解決方案分析通信解決方案

1、電信運營商“安全島”解決方案分析-通信解決方案綠盟科技長期專注于如何在電信運營商網(wǎng)絡(luò)環(huán)境中抵御DDo冊常流量，根據(jù)目前的電信運營商網(wǎng)絡(luò)中的 DDoSS其他異常流量的形式，提出了構(gòu)建安全島 解決方案。應(yīng)用摘要近年來，拒絕服務(wù)攻擊的破壞力波及到越來越多依賴于互聯(lián)網(wǎng)業(yè)務(wù)的用戶， 分布式拒絕服務(wù)攻擊（DDoS）更可以利用僵尸網(wǎng)絡(luò)，發(fā)起更大規(guī)模的海量攻擊，成 為令人畏懼的攻擊方式。根據(jù)一家著名國際安全公司的統(tǒng)計表明，2006年中國成為了全球DoS攻擊的第二大目標(biāo)地區(qū)，僅次于美國，而中國在攻擊來源的分布 國家中，也排在了第二位。回顧2006年，DDoS&國內(nèi)呈現(xiàn)了越來越瘋狂的趨勢， DDoS擊已經(jīng)進(jìn)入了一

2、個新的時代。接近 1G的攻擊在各地時常發(fā)生，而 3-5G, 甚至接近10G的攻擊，都開始出現(xiàn)。當(dāng)攻擊量到達(dá)了這個程度，攻擊所造成的影 響就不再是針對具體的單個目標(biāo)了， 整條鏈路都被堵死，自然鏈路上的其他無辜 者也無法幸免，這也成為了各地電信運營商逐漸關(guān)注的問題。 在現(xiàn)今的這種攻擊 情況下，眾多依賴互聯(lián)網(wǎng)開展業(yè)務(wù)的最終用戶由于多種利益驅(qū)動的原因被DoS攻擊所威脅，無處藏身；而另一端，電信運營商承受著大流量對其基礎(chǔ)網(wǎng)絡(luò)的沖 擊，為此付出了巨大的代價。DoS攻擊還只是各類令電信運營商困擾的異常流量 問題之一，電信運營商的運維人員，在日常的繁重工作中已經(jīng)肩負(fù)了很多任務(wù)， 再加上對各類安全事件的應(yīng)對，無

3、疑使得他們的工作量與工作難度增大的許多。而當(dāng)最終的接入客戶或眾多電信IDC中的托管客戶開始抱怨網(wǎng)絡(luò)的服務(wù)質(zhì)量影響到他們的正常業(yè)務(wù)時，這種損失對于電信運營商是不言而喻的方案內(nèi)容綠盟科技長期專注于如何在電信運營商網(wǎng)絡(luò)環(huán)境中抵御DDo冊常流量，根據(jù)目前的電信運營商網(wǎng)絡(luò)中的 DDoSS其他異常流量的形式，提出了構(gòu)建安全島 解決方案，為電信運營商的眾多終端客戶形成綠色通道， 保障其業(yè)務(wù)在綠色通道 中順暢運行。“安全島”是由電信運營商在其網(wǎng)絡(luò)區(qū)域內(nèi)建立的對DDoS擊及其它安全問題具備強力抵御能力的安全區(qū)， 從而使得進(jìn)駐“安全島”的接入用戶以及托管 用戶能夠免受DDoSt擊的威脅，使得業(yè)務(wù)得以持續(xù)平穩(wěn)運行。

4、為了應(yīng)對當(dāng)今的 海量、多類型混雜的DDoSfc擊，在單一點部署單一防護(hù)設(shè)備是不可能起到有效 防護(hù)的?！鞍踩珝u”的建立力圖形成多層次的全面防護(hù)，形成自上而下的“綠色 通道”，以保證電信運營商用戶的網(wǎng)絡(luò)業(yè)務(wù)在這條綠色通道中暢行無阻，保障電 信運營商網(wǎng)絡(luò)的平穩(wěn)運行。盡管DDoSfc擊難于防范，但從另一個角度講，如果電信運營商能夠成功抵 御DDo不僅能夠保障自身網(wǎng)絡(luò)的安全，同時還可以此為契機，吸引更多的接 入或托管用戶進(jìn)入城域網(wǎng)或IDC中，并為其眾多的終端用戶提供安全方面的增值 服務(wù)。從而達(dá)到了電信運營商與終端用戶的雙贏局面。對于黑洞系統(tǒng)的“安全島”解決方案，其原則是提供“異常流量檢測+防護(hù) 過濾+數(shù)

5、據(jù)分析與抓包取證”的整體方案；從部署上進(jìn)行分層次防護(hù)，達(dá)到“面” 防護(hù)，而非只針對單“點”的服務(wù)模式。從而在 DoS防御的同時為電信運營商提 供了更多增值業(yè)務(wù)設(shè)計的可能，電信運營商的業(yè)務(wù)設(shè)計，可以把握以下幾點：核心網(wǎng)絡(luò)的防護(hù)是抗拒絕服務(wù)業(yè)務(wù)的基礎(chǔ)： 集群部署保護(hù)核心網(wǎng)絡(luò)，業(yè)務(wù)支 撐系統(tǒng)重點防護(hù)，從而形成強抗打擊能力的“安全島”，吸引更多的用戶進(jìn)駐安 全島中托管，開展業(yè)務(wù)。區(qū)分客戶的需求是業(yè)務(wù)設(shè)計的路標(biāo)：需要為不同價值的客戶提供差異化服務(wù)， 根據(jù)客戶業(yè)務(wù)類型、流量大小、攻擊類型、網(wǎng)絡(luò)結(jié)構(gòu)、客戶重要程度提供不同的 服務(wù)質(zhì)量，進(jìn)行不同類型業(yè)務(wù)設(shè)計。而黑洞系統(tǒng)能夠依據(jù)用戶群組功能來提供這 種用戶區(qū)分的

6、手段，使得電信運營商可以靈活設(shè)計防護(hù)策略，對不同類型的用戶 提供不同的防護(hù)模版與參數(shù)配置。 更可根據(jù)用戶購買的不同服務(wù)水平，提供相應(yīng) 的防護(hù)水平。預(yù)警、分析和取證是業(yè)務(wù)模型中重要部分： 通過Probe設(shè)備完成預(yù)警，通過黑洞DataCenter進(jìn)行集中的事件告警與分析，并完成取證的過程。從而在 DDoS 實時防護(hù)的同時，提供了更多的增值服務(wù)設(shè)計空間，為最終客戶提供更多的分析 與防護(hù)依據(jù)。DataCenter在提供靈活實時監(jiān)控與防護(hù)效果分析的同時，更可為 電信運營商提供詳細(xì)的防護(hù)效果報表。進(jìn)一步，安全島中抗拒絕服務(wù)只是第一步， 而更多的入侵檢測與防護(hù)、異常流量分析、安全評估與加固的加入，必將使得電

7、信運營商能夠建立起更為全面與 實際的防護(hù)體系技術(shù)路線DDoSC擊發(fā)展到今天的規(guī)模與形態(tài)，在整個城域網(wǎng)甚至從骨干層開始的 DDoSC擊防護(hù)工作，不能寄希望于在一點能夠解決所有的問題，而應(yīng)建立多層 次的梯度防護(hù)，在不同的防護(hù)層次完成不同的任務(wù)。很顯然，在骨干網(wǎng)、城域網(wǎng) 中對海量DDoSffi行凈化的需求與在某個IDC機房對某個重要客戶的服務(wù)器的應(yīng) 用層DoS防護(hù)需求是不同的。在骨干網(wǎng)以及城域網(wǎng)骨干層上，我們首先要做到的是對海量DDoS擊的凈化，以保證電信運營商核心鏈路的暢通與帶寬利用率， 而不能苛求在此層面上將 所有針對具體目標(biāo)的混合攻擊流全部過濾干凈， 而是要找到鏈路可用率與防護(hù)效 果的平衡點。

8、尤其對于一些小流量的應(yīng)用層攻擊，可放過由下層的防護(hù)設(shè)備進(jìn)行 保護(hù)（防護(hù)的等級可通過在黑洞設(shè)備上的參數(shù)進(jìn)行設(shè)定 ）；由于在此層面上需要應(yīng)對的流量極大，因此基于旁路部署的集群能力成為了抗DDo繇統(tǒng)不可缺少的功在大客戶接入層以及大型IDC層面，對被攻擊目標(biāo)的完全保護(hù)是必然的要求大客戶接入的防護(hù)可在城域網(wǎng)各個節(jié)點處進(jìn)行，可在重要大客戶處單獨部署 Probe設(shè)備，對大客戶入口處的流量進(jìn)行獨享式的細(xì)粒度檢測。在IDC層面可采用旁路及串聯(lián)多種方式部署黑洞，以達(dá)到對DDoSfc擊細(xì)粒度的全面防御?？紤]到大型IDC中的鏈路帶寬及服務(wù)器數(shù)量，也可進(jìn)行黑洞系統(tǒng)的集群部署。其他抗拒絕服務(wù)不僅僅是采購幾臺設(shè)備就可以完成的工作，用戶所能得到的，不應(yīng)只是產(chǎn)品，而應(yīng)是一套可操作的解決方案，包括從部署方案到運行維護(hù)，再到 應(yīng)急響應(yīng)步驟等一系列的問題處理方法，這樣才能夠真正做到迅速、有條理而又便捷地應(yīng)對攻擊事件。綠盟科技為安全島方案定制的4大類，10個子級別的安全服務(wù)內(nèi)容，涵蓋了從監(jiān)控(Monitor)、預(yù)警(Alter)、防護(hù)(Protect)、響應(yīng) (Response)的安全支持服務(wù)過程，使得電信運營商用戶能夠切實有效的運行安全 島方案。對于安全產(chǎn)品來說，其背后的廠商對安全問題的研究能力、服務(wù)能力不可忽視。DDoSC擊的發(fā)展從最初的利用系統(tǒng)漏洞，到現(xiàn)在流行的利用網(wǎng)絡(luò)協(xié)議的缺 陷進(jìn)行的流量