企業(yè)安全討論 如何保護好網(wǎng)絡流量

申請免費試用、咨詢電話：400-8352-114

DDoS攻擊是近年來導致網(wǎng)絡癱瘓和斷網(wǎng)事件的主要罪魁禍首，甚至在百度貼吧上還存在“流量吧”，經(jīng)常有人在上面交易“DDoS木馬”，企圖控制網(wǎng)絡流量。

高端網(wǎng)絡的精髓

中國移動通信集團公司某工作人員說，在如今P2P、IM盛行的時代，對于局域網(wǎng)的流量管理、抑制、監(jiān)測、溯源可謂八字箴言;而對于骨干網(wǎng)絡流量的管理，其精髓在于監(jiān)測和溯源。

而如何追本溯源、應對和管理網(wǎng)絡異常流量呢?該內(nèi)部人士介紹，對于異常流量管理這場遭遇戰(zhàn)，可以說在電信行業(yè)早已打響，這可以追溯到2004年前后。經(jīng)過近5年的發(fā)展，攻防的招術也幾經(jīng)變化，對于我們來說，從最初的串接式設備，諸如防火墻、DDoS過濾器;到網(wǎng)絡設備管理手段，如ACL列表、手動調(diào)整 QoS流量整形策略，都不能很好的對網(wǎng)絡流量以及異常流量進行抑制、監(jiān)測和溯源。

實際上，高端網(wǎng)絡和用戶經(jīng)常關注的普通企業(yè)網(wǎng)絡，在安全方面有很大區(qū)別，決不能照葫蘆畫瓢。東軟網(wǎng)絡安全產(chǎn)品營銷中心副總經(jīng)理李青山說，用戶通常所談到的高端網(wǎng)絡，主要是指運營商業(yè)務承載類網(wǎng)絡和行業(yè)客戶骨干鏈路系統(tǒng)。當然，隨著業(yè)務系統(tǒng)的逐年擴大，部分企業(yè)網(wǎng)絡系統(tǒng)也越來越多的體現(xiàn)出高端網(wǎng)絡的特征，包括電信運營商圍繞承載網(wǎng)而建設的支撐類網(wǎng)絡也逐步加入到高端網(wǎng)絡陣營。

由于高端網(wǎng)絡最根本的運維要點在于，如何向接入用戶網(wǎng)絡提供滿足要求的服務質(zhì)量承諾，尤其是帶寬和響應延遲指標。但是，接入用戶網(wǎng)絡是作為一個完全的網(wǎng)絡對等體出現(xiàn)的，高端網(wǎng)絡無法確定該部分網(wǎng)絡區(qū)域究竟需要什么樣的訪問控制策略，因此在接入鏈路近端(高端網(wǎng)絡側(cè)) 無法設置訪問控制點。

而另一方面，傳統(tǒng)的安全建設都是在遠端的接入網(wǎng)絡內(nèi)部進行的，通常由接入單位出資建設并管理。其根本宗旨也僅局限于如何保障該接入網(wǎng)絡不受來自其他網(wǎng)絡的攻擊，而從未考慮過。

如何防范該接入端網(wǎng)絡侵害高端網(wǎng)絡所連接的其他網(wǎng)絡部分，這就導致了接入用戶網(wǎng)絡除了發(fā)起正常業(yè)務流量之外，各類桌面系統(tǒng)也同時發(fā)出大量隨機流量，如僅用作個人通信的P2P流量、易感蠕蟲病毒的傳播流量、吞噬帶寬的BT類文件傳輸流量等，這些流量通常與接入用戶網(wǎng)絡應用業(yè)務無關。

在這種情況下，接入用戶網(wǎng)絡發(fā)出的網(wǎng)絡流量圖式是非常不確定的。高端網(wǎng)絡難以獲知哪些流量是正常流量、哪些流量是不受歡迎的垃圾流量。

至此，我們也就明白了高端網(wǎng)絡運營維護時，需要應對的主要安全問題：那就是，當接入用戶網(wǎng)絡鏈路充斥著大量垃圾流量的時候，高端網(wǎng)絡的交換能力將受到直接挑戰(zhàn)，這種情況對接入客戶比較關注的正常業(yè)務服務質(zhì)量將造成嚴重影響。而DDoS等攻擊行為更在這一基礎上雪上加霜，最終導致了斷網(wǎng)和服務癱瘓的問題。

安全管理+網(wǎng)絡管理

由于高端網(wǎng)絡強調(diào)的是向接入用戶網(wǎng)絡提供高度穩(wěn)定的網(wǎng)絡帶寬可用性，在高端網(wǎng)絡區(qū)域邊界點上進行訪問控制設備、流量限制設備部署(如防火墻、流量管理設備)將直接造成兩個負面影響：一是人為增加了單一故障點，二是把高端網(wǎng)絡整體穩(wěn)定性直接拉低為防火墻或者DDoS過濾器等設備本身的穩(wěn)定性。因此，在高端網(wǎng)絡上部署串聯(lián)式控制設備顯然是非常不明智的，

為保證高端網(wǎng)絡有限的帶寬資源能夠被合理使用，高端網(wǎng)絡運維人員迫切需要一種旁路式的流量檢測分析系統(tǒng)來提供較為直觀的帶寬占用情況監(jiān)控能力。

不過需要注意的是，現(xiàn)有很多旁路監(jiān)測系統(tǒng)根本無法滿足高端網(wǎng)絡的流量分析需求，如IDS系統(tǒng)無法提供高速鏈路流量實時分析處理能力和網(wǎng)絡管理維護概念，網(wǎng)絡管理系統(tǒng)缺乏應用層分析能力和異常行為檢測能力等，都不能滿足實際的應用需求。

如果我們關注目前在該領域已經(jīng)獲得一定經(jīng)驗的廠商，像國外的Arbor Networks、國內(nèi)的東軟等企業(yè)的相關解決方案就會看到，對于高端網(wǎng)絡的防護運維監(jiān)控，用戶在選擇時的重點，除了要注意大流量時的處理性能，與此同時，還應該注意系統(tǒng)能夠?qū)⒘髁糠治?、應用檢測、行為判定等特征與網(wǎng)絡運行管理傳統(tǒng)功能高度關聯(lián)。

從安全管理與網(wǎng)絡管理兩個層面雙管齊下，以全局性的骨干網(wǎng)絡運行維護視角為實現(xiàn)大范圍的用戶服務質(zhì)量保證提供基礎支撐。這有這樣，才能找到高端網(wǎng)絡安全防護真正的解決之道。（IT專家網(wǎng)）