NetEye網(wǎng)絡(luò)流量分析與凈化綜合解決方案

NetEye網(wǎng)絡(luò)流量分析與控制綜合解決方案Copyright2009ByNeusoftCorporationAllrightsreserved看遠(yuǎn)一步，可以做的更多東軟集團(tuán)今天的東軟安全安全總部位于北京96年進(jìn)入信息安全領(lǐng)域從業(yè)人數(shù)近1000人在北京和沈陽(yáng)分別設(shè)有軟件研發(fā)中心、硬件研發(fā)中心和專業(yè)實(shí)驗(yàn)室。覆蓋全國(guó)超過40個(gè)城市的技術(shù)服務(wù)隊(duì)伍。1996199820002001200320042005200620082009未來2007NP架構(gòu)NetEye系列網(wǎng)關(guān)產(chǎn)品開發(fā)了安全運(yùn)維平平和流量分析系統(tǒng)NTARS全新一代的高性能5200系列防火墻NTPG流量清洗系統(tǒng)與NOKIA合作，首次將國(guó)內(nèi)網(wǎng)絡(luò)安全設(shè)備打入國(guó)際市場(chǎng)成立電信產(chǎn)品部，致力于電信行業(yè)技術(shù)研究和產(chǎn)品開發(fā)繼續(xù)深入研究信息安全技術(shù)并應(yīng)用到產(chǎn)品開發(fā)中，力爭(zhēng)走在世界前列NetEyeFW3.0、IDS2.0、VPN3.0、AuditCenter作為國(guó)家計(jì)算機(jī)軟件工程中心承接國(guó)家“九五”攻關(guān)項(xiàng)目—“具有信息分析功能的防火墻”先后推出了NetEyeFW2.0、IDS、VPN等系列安全產(chǎn)品在科研項(xiàng)目的基礎(chǔ)上由完成產(chǎn)品化并投入市場(chǎng)NetEyeFW1.0NetEyeFW3.2、IDS2.2、VPN3.2、AP東軟安全發(fā)展歷程奧運(yùn)信息網(wǎng)絡(luò)安保東軟集團(tuán)做為國(guó)內(nèi)領(lǐng)先的信息安全企業(yè)和國(guó)家級(jí)應(yīng)急服務(wù)支撐單位，應(yīng)國(guó)家要求，在奧運(yùn)安保中承擔(dān)了重要的任務(wù)，派出了由專業(yè)人員組成的信息安全保障小組，協(xié)助相關(guān)單位，在奧運(yùn)會(huì)期間堅(jiān)守崗位，并獲得一致好評(píng)。奧運(yùn)信息網(wǎng)絡(luò)安保互聯(lián)網(wǎng)正在被誰使用？NetEye流量控制方案應(yīng)用場(chǎng)景分析典型案例參考如何讓冰山浮出水面格陵蘭島，瑰麗的冰山只能勉強(qiáng)將其1/10體積露出墨晶般的水面在我們身邊，龐大的網(wǎng)絡(luò)資產(chǎn)面臨著同樣的“倒一九”局面，10%的網(wǎng)絡(luò)資源支撐著90%的利潤(rùn)來源，而剩余的90%資源卻被黑暗所吞噬黑暗中潛伏著什么……？暗流涌動(dòng)泥沙俱下無論歡迎與否，互聯(lián)網(wǎng)的流量構(gòu)成只取決于使用者僅Youtube一家在2007年的視頻流量就已與2000年全球Internet總流量相當(dāng)DDoS在06年的單次攻擊峰值為2.5Gbps，07年為24Gbps，而08年則為40GbpsBotnet在中國(guó)約有200萬，數(shù)量居世界之首，約占總數(shù)的29%，但其控制端卻是美國(guó)擁有最多。一臺(tái)Botnet的批發(fā)價(jià)不足0.8元，而且其中有很多是成色極佳的IDC托管主機(jī)BT類應(yīng)用以20%的成績(jī)屈居亞軍，這得感謝視頻的異軍突起—占據(jù)35%10%的互聯(lián)網(wǎng)用戶占用80%的帶寬，0.5%的用戶占用40%的帶寬，80%的用戶只使用帶寬的10%……可是，誰在付費(fèi)？難以把握的流量TCP：80、8080、4662、25、22、443……UDP：15000、8000、29909、6881……ICMP：Echo、EchoReply、Redirect、Dst.Unreachable……這其中，有多少我們能夠認(rèn)識(shí)？“認(rèn)識(shí)”的流量真的是象看上去的那樣嗎？哪些流量是我們所歡迎的？流量的何種狀態(tài)是正常的？對(duì)于不受歡迎的或者不正常的流量，該如何從網(wǎng)絡(luò)中剔除出去？另外，上述所有問題，請(qǐng)放置在10/100Gbps級(jí)別的環(huán)境中再考慮一次DDoS防御DDoS可通過UDP、ICMP、TCP和CC方式產(chǎn)生，不僅是安全問題，更是服務(wù)質(zhì)量考評(píng)指標(biāo)平和的DDoS可消耗目標(biāo)網(wǎng)絡(luò)50%帶寬并使應(yīng)用業(yè)務(wù)完全停頓較大的DDoS攻擊能夠達(dá)到數(shù)十G規(guī)模，可同時(shí)淹沒多個(gè)地市級(jí)運(yùn)營(yíng)商的出口鏈路甚至完全吞噬掉整個(gè)省級(jí)出口應(yīng)用業(yè)務(wù)識(shí)別分清主次。用戶購(gòu)買/建設(shè)網(wǎng)絡(luò)資源的目的可分為兩類：一是滿足其必需的關(guān)鍵應(yīng)用訪問，二是消遣類應(yīng)用。但二者對(duì)客戶滿意度的影響是截然不同的，如客戶很少會(huì)因?yàn)槠銪T下載不夠迅猛而向客服投訴總體來看，視頻、BT、P2P傳輸?shù)认差悜?yīng)用占用了50%以上的網(wǎng)絡(luò)資源，但僅為此支付了不足10%的費(fèi)用如果能夠把網(wǎng)絡(luò)流量按照應(yīng)用業(yè)務(wù)種類區(qū)分開來，適度控制消遣類流量對(duì)網(wǎng)絡(luò)資源的占用比重，那么將成倍提高現(xiàn)網(wǎng)對(duì)關(guān)鍵應(yīng)用的承載容量節(jié)約資產(chǎn)32%小用戶消遣類應(yīng)用關(guān)鍵應(yīng)用大客戶P2P、視頻、BT、電影…郵件、新聞、論壇、博客…OA、郵件、Portal……員工上網(wǎng)日趨復(fù)雜的流量控制策略控制范圍：長(zhǎng)期以來的運(yùn)維經(jīng)驗(yàn)證明，局限在出口鏈路單一位置的流量控制效果是極其有限的，網(wǎng)絡(luò)中的任何位置都應(yīng)該能夠成為流量控制策略的執(zhí)行點(diǎn)控制對(duì)象：DDoS洪水、應(yīng)用層協(xié)議濫用以及無節(jié)制的合法流量都要求進(jìn)行約束控制力度：簡(jiǎn)單的Permit/Deny是粗暴的，系統(tǒng)無權(quán)擅自拒絕合同用戶的網(wǎng)絡(luò)接入，而需要根據(jù)帶寬、時(shí)間、應(yīng)用協(xié)議性質(zhì)、成分比例、歷史基線等多種數(shù)據(jù)提供自適應(yīng)、智能化、彈性的控制處理控制性能：流量控制單元的性能和穩(wěn)定性應(yīng)與部署環(huán)境相稱，鏈路類型依賴程度低，能夠根據(jù)流量實(shí)時(shí)狀態(tài)自動(dòng)實(shí)現(xiàn)對(duì)通信會(huì)話的介入或脫離，并在網(wǎng)絡(luò)環(huán)境擴(kuò)容時(shí)充分利舊Internet流量分析行為檢測(cè)特征匹配合規(guī)檢查服務(wù)保證關(guān)鍵業(yè)務(wù)非關(guān)鍵業(yè)務(wù)SLA體系自適應(yīng)約束指令h互聯(lián)網(wǎng)正在被誰使用？NetEye流量控制方案應(yīng)用場(chǎng)景分析典型案例參考NetEye流量控制方案目標(biāo)定位動(dòng)態(tài)過濾凈化運(yùn)營(yíng)商/ISP園區(qū)網(wǎng)/IDC行業(yè)/企業(yè)網(wǎng)精確溯源定位數(shù)百G性能保證分層檢測(cè)：DFI、DPI分級(jí)檢測(cè)、逐級(jí)過濾分級(jí)防御：鏈路層隔離、網(wǎng)絡(luò)層拒絕、應(yīng)用層凈化、

QoS管理多元監(jiān)控：流量流向、流量合法性、網(wǎng)絡(luò)設(shè)備狀態(tài)、路由表變化自動(dòng)響應(yīng)：ICA智能調(diào)度、自適應(yīng)學(xué)習(xí)翔實(shí)數(shù)據(jù)：流量流向、流量成分、流量模型、異常檢測(cè)、應(yīng)用識(shí)別、溯源定位運(yùn)營(yíng)商/ISP：高帶寬、分布式、DDoS防御、流量流向、成分分析園區(qū)網(wǎng)/IDC：異常定位、末端隔離、DDoS、應(yīng)用識(shí)別、QoS策略、入侵防御行業(yè)/企業(yè)網(wǎng)：流量統(tǒng)計(jì)、TopN、綜合運(yùn)管、應(yīng)用凈化、入侵防御NetEye流量控制技術(shù)框架分級(jí)檢測(cè)：流量流向動(dòng)態(tài)基線復(fù)合檢測(cè)顯著DDoS應(yīng)用識(shí)別協(xié)議濫用超限傳輸分級(jí)防御：批量拋棄協(xié)議識(shí)別應(yīng)用凈化差別服務(wù)動(dòng)態(tài)調(diào)節(jié)：流量牽引策略分發(fā)彈性控制正常流量QoS差別化服務(wù)DPI應(yīng)用識(shí)別/凈化DDoS應(yīng)用層協(xié)議濫用DFI檢測(cè)/響應(yīng)/抑制批量拋棄NTARSNTPGConsole：NTARS系統(tǒng)：NTPG系統(tǒng)：NetEye方案構(gòu)成概述NTARS檢測(cè)處理層目標(biāo)網(wǎng)絡(luò)層NTPG凈化陣列總控制臺(tái)ConsoleDFIDPISNMP應(yīng)用凈化監(jiān)控整體流量狀態(tài)批量DDoS防護(hù)鎖定可疑流量并剝離異常溯源定位應(yīng)用業(yè)務(wù)識(shí)別入侵防御凈化流量管理控制數(shù)據(jù)匯總分析策略協(xié)調(diào)分發(fā)NTARS流量檢測(cè)處理NTARS(NetworkTrafficAnalyse&ResponseSystem)網(wǎng)絡(luò)流量分析與響應(yīng)系統(tǒng)是東軟公司面向高帶寬網(wǎng)絡(luò)領(lǐng)域推出的流量分析與動(dòng)態(tài)響應(yīng)系統(tǒng)，不僅具備一般網(wǎng)絡(luò)流量分析系統(tǒng)的儀表功能，而且更加突出異常流量分析和自動(dòng)響應(yīng)抑制能力NTARS關(guān)注DoS/DDoS攻擊、P2P通信等網(wǎng)絡(luò)濫用行為，可對(duì)此進(jìn)行策略阻斷或?qū)⑵錉恳罝PI環(huán)節(jié)。同時(shí)，NTARS提供流量流向、熱點(diǎn)統(tǒng)計(jì)、成分分析、溯源定位、等網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)NTARS保護(hù)目標(biāo)不局限于如內(nèi)網(wǎng)服務(wù)器等有形資產(chǎn)，更加關(guān)注以網(wǎng)絡(luò)使用效率、服務(wù)質(zhì)量保證(SLA)為代表的無形資產(chǎn)關(guān)注所有應(yīng)該關(guān)注的本地網(wǎng)絡(luò)：IP地址范圍ASInternet邊界：路由器/分組及接口AS自治域：AS的描述信息路由器：路由設(shè)備及分組網(wǎng)絡(luò)接口及分組客戶及分組：IP地址范圍需要邊界描述子網(wǎng)及分組：IP地址范圍需要邊界描述SNMP相關(guān)定義：設(shè)備網(wǎng)管IP地址SNMP團(tuán)體字流量流向全面分析流量流向，內(nèi)容成分：路由器接口客戶子網(wǎng)檢測(cè)規(guī)則自動(dòng)報(bào)表分發(fā)：日、周、月、季、年全局、路由器、接口、客戶、子網(wǎng)、檢測(cè)規(guī)則流量流向、內(nèi)容成分、性能監(jiān)控、BGP基于內(nèi)部鑒權(quán)機(jī)制提供多接收者的分類發(fā)送DFI、DPI分級(jí)檢測(cè)檢測(cè)規(guī)則：IP地址協(xié)議端口路由設(shè)備TOS/FLAGNext-hop平均幀長(zhǎng)引用基線(總體、IP)關(guān)聯(lián)響應(yīng)策略應(yīng)用定義：應(yīng)用名稱傳輸協(xié)議端口信息基線描述(bps、pps)：固定基線動(dòng)態(tài)基線(閥值、容差、極限、延遲)DPI統(tǒng)計(jì)檢測(cè)(bps、pps)：基于會(huì)話關(guān)系的一對(duì)多、多對(duì)一、多對(duì)多的統(tǒng)計(jì)檢測(cè)針對(duì)IP、協(xié)議、應(yīng)用、狀態(tài)的自定義統(tǒng)計(jì)檢測(cè)已知攻擊特征庫(kù)的檢測(cè)NTPG流量?jī)艋c管理NTPG(NetworkTrafficPurifyingGateway)網(wǎng)絡(luò)流量?jī)艋W(wǎng)關(guān)可對(duì)高帶寬流量中夾雜的DDoS、P2P通信(如BT、Emule、MultiMedia等)提供應(yīng)用識(shí)別、過濾凈化以及全面的入侵防御保護(hù)，保證主導(dǎo)業(yè)務(wù)的安全運(yùn)行NTPG陣列保護(hù)路徑

傳統(tǒng)協(xié)議，HTTP，F(xiàn)TP，POP3等流媒體協(xié)議，RTSP，Web視頻等P2P協(xié)議，eMule，迅雷，Bittorrent等IM協(xié)議，MSN，QQ，IRC等網(wǎng)絡(luò)電話，H.323，SIP，H.248等網(wǎng)絡(luò)電視，PPLive，迅雷看看等網(wǎng)絡(luò)游戲，WOW，QQGame等股票交易，招商證券，同花順等數(shù)據(jù)庫(kù)，MSSQL，MySQL等加密協(xié)議，SSH，GRE等其他，RRS閱讀，IPfragment等全網(wǎng)流量?jī)?nèi)容統(tǒng)計(jì)應(yīng)用定義：應(yīng)用名稱傳輸協(xié)議端口信息基線描述(bps、pps)：固定基線動(dòng)態(tài)基線(閥值、容差、極限、延遲)DPI統(tǒng)計(jì)檢測(cè)(bps、pps)：基于會(huì)話關(guān)系的一對(duì)多、多對(duì)一、多對(duì)多的統(tǒng)計(jì)檢測(cè)針對(duì)IP、協(xié)議、應(yīng)用、狀態(tài)的自定義統(tǒng)計(jì)檢測(cè)已知攻擊特征庫(kù)的檢測(cè)減輕的攻擊限流保護(hù)復(fù)合檢測(cè)多種數(shù)據(jù)源ICA重點(diǎn)解決了以下課題：DPI檢測(cè)范圍局限D(zhuǎn)PI檢測(cè)性能低下DFI檢測(cè)深度缺陷異常檢測(cè)結(jié)論片面流量控制范圍局限無法追溯異常來源ICA自動(dòng)抑制AS65500AS64000EBGPEBGPASD

路由注入CNTPG網(wǎng)關(guān)引導(dǎo)流量B

檢測(cè)命中IBGP凈化流量AS65000NetEye流量管理方案技術(shù)優(yōu)勢(shì)從全局角度來掌控網(wǎng)絡(luò)的能力。NetEye不局限于某條鏈路或者某個(gè)會(huì)話的狀態(tài)，而是把評(píng)價(jià)標(biāo)準(zhǔn)及防護(hù)策略覆蓋到整個(gè)網(wǎng)絡(luò)系統(tǒng)中的L2~L7層面中多層次、分布式集中部署模式。支持Console、Controller、Collector、NTPG多種產(chǎn)品角色，支持多級(jí)結(jié)構(gòu)并提供統(tǒng)一流量監(jiān)控服務(wù)，并提供嚴(yán)格的權(quán)限控制快速、高效的ROI盈利能力。用戶不僅能夠獲得安全防護(hù)效益，更可從中得到可量化的安全增值業(yè)務(wù)收入DFI和DPI雙重機(jī)制。具備DFI、DPI多重能力并由ICA驅(qū)動(dòng)調(diào)節(jié)，能夠保證流量分析的橫向幅度和縱向深度更具實(shí)際意義的ICA?自動(dòng)響應(yīng)。能夠自動(dòng)對(duì)異常流量作出智能響應(yīng)，快速緩解異常流量影響，大幅度降低管理員作業(yè)負(fù)擔(dān)并提高系統(tǒng)防護(hù)力度任意多個(gè)檢測(cè)/響應(yīng)點(diǎn)的支持能力。能夠同時(shí)對(duì)網(wǎng)絡(luò)中多個(gè)關(guān)鍵位置提供檢測(cè)/響應(yīng)防護(hù)，在大中型網(wǎng)絡(luò)中具備更高的性價(jià)比異常流量溯源能力?？蓪惓Ａ髁烤_定位到地域位置/所有者、網(wǎng)絡(luò)層路徑、交換機(jī)物理端口，便于管理員進(jìn)行快速的人工干預(yù)產(chǎn)品榮譽(yù)互聯(lián)網(wǎng)正在被誰使用？NetEye流量控制方案應(yīng)用場(chǎng)景分析典型案例參考多層次、分布式部署多級(jí)部署ConsoleControllerCollector權(quán)限控制機(jī)制總公司:集中監(jiān)控、策略下發(fā)、審核省分公司:數(shù)據(jù)上報(bào)、分發(fā)策略地市:處理Flow、執(zhí)行策略內(nèi)嵌ICA技術(shù)寬幅數(shù)據(jù)采集范圍:Flow,SNMP,SPAN,在多種數(shù)據(jù)源之間自動(dòng)協(xié)調(diào)智能觸發(fā)異常抑制指令場(chǎng)景一：IP承載網(wǎng)網(wǎng)絡(luò)環(huán)境：電信運(yùn)營(yíng)商IP承載網(wǎng)省級(jí)出口及各地市省內(nèi)骨干主要需求：流量流向分析、異常流量檢測(cè)、自動(dòng)響應(yīng)抑制方案簡(jiǎn)述：采用“1+N”模式，通過多臺(tái)設(shè)備對(duì)總出口鏈路及所轄各地市節(jié)點(diǎn)進(jìn)行流量分析，構(gòu)建分布式流量監(jiān)控體系，并對(duì)全局所有流量數(shù)據(jù)的匯總檢測(cè)與分析呈報(bào)場(chǎng)景二：計(jì)算資源集中區(qū)域網(wǎng)絡(luò)環(huán)境：大型商業(yè)化IDC機(jī)構(gòu)、行業(yè)客戶數(shù)據(jù)中心主要需求：異常流量檢測(cè)、流量流向分析、異常流量清洗過濾方案簡(jiǎn)述：采用NTPG凈化網(wǎng)關(guān)，可根據(jù)業(yè)務(wù)應(yīng)用動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)服務(wù)質(zhì)量，構(gòu)建按需介入的DDoS防范及應(yīng)用凈化陣列?；ヂ?lián)網(wǎng)正在被誰使用？NetEye流量控制方案主要技術(shù)指標(biāo)應(yīng)用場(chǎng)景分析典型案例參考典型案例中國(guó)移動(dòng)通信研究院營(yíng)口網(wǎng)通福建移動(dòng)BOSS系統(tǒng)遼寧網(wǎng)通IP承載網(wǎng)遼寧鐵通本溪鋼鐵企業(yè)網(wǎng)安徽電力國(guó)家互聯(lián)網(wǎng)應(yīng)急中心中國(guó)聯(lián)通安徽建行天津煙草福建移動(dòng)福建移動(dòng)福建移動(dòng)項(xiàng)目圍繞BOSS系統(tǒng)展開，實(shí)施節(jié)點(diǎn)覆蓋烏山、金山和湖東三個(gè)節(jié)點(diǎn)。項(xiàng)目以BOSS區(qū)域作為基本核心域，對(duì)整合后的內(nèi)網(wǎng)、互聯(lián)網(wǎng)和外網(wǎng)邊界作為訪問控制點(diǎn)進(jìn)行安全建設(shè)；建設(shè)內(nèi)容包括互聯(lián)網(wǎng)/外網(wǎng)邊界防病毒、內(nèi)網(wǎng)邊界訪問控制、核心區(qū)域/互聯(lián)網(wǎng)IDS、核心區(qū)域異常流量分析與響應(yīng)等功能單元，并以此為基礎(chǔ)構(gòu)建BOSS安全管理中心系統(tǒng)，同時(shí)采購(gòu)配套的安全評(píng)估及安全加固服務(wù)；本項(xiàng)目的工程范圍主要以BOSS系統(tǒng)網(wǎng)絡(luò)區(qū)域?yàn)檫吔纾⒓骖檶?duì)內(nèi)網(wǎng)、互聯(lián)網(wǎng)、外網(wǎng)之間的通信行為進(jìn)行安全防護(hù)；本項(xiàng)目是NTARS在中移動(dòng)業(yè)務(wù)支撐系統(tǒng)的典型案例。中移動(dòng)研究院中移動(dòng)研究院中移動(dòng)通信研究院的NTARS部署網(wǎng)絡(luò)完全模擬了省移動(dòng)公司的CMNET出口，是一個(gè)完全的生產(chǎn)承載網(wǎng)；部署目的：為CMNET出口流量提供實(shí)時(shí)分析和自動(dòng)響應(yīng)功能；流量采集點(diǎn)：CMNET邊界接入路由器(2臺(tái))、核心交換機(jī)(2臺(tái))、下聯(lián)省網(wǎng)的邊界接入路由器(1臺(tái))、虛擬省網(wǎng)骨干路由器(1臺(tái))；數(shù)據(jù)采集方式：NetFlowv5/v9、cFlowd、Sflow、NetStream、SPAN鏡像、SNMPPolling/Trap、Syslog；本項(xiàng)目是NTARS在中移動(dòng)生產(chǎn)承載網(wǎng)中的典型案例。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心

33套NTARS系統(tǒng)部屬于國(guó)內(nèi)各省市并通過120套收集器分別監(jiān)控各省移動(dòng)、各省電信、各省聯(lián)通等主要運(yùn)營(yíng)