城域网安全实践--广州电信

广 东 省 电 信 有 限 公 司 1 广州电信城域网 网络安全防护实践 广州电信分公司数据维护中心 2007年 5月 广 东 省 电 信 有 限 公 司 2 广州城域网 专线用户平面简图 口 120G 20G 2 20M 链路带宽 广 东 省 电 信 有 限 公 司 3 专线用户平面的需求 新产品 新市场 用户经常投诉网络慢、间歇性网络不可用。 经技术人员跟踪、分析，发现是用户受到网络 需要解决客户问题 客户需求 业务发展需求 保障客户网络服务质量 降低用户报障、投诉率 挽留客户，保存量 差异化服务 运营需求 广 东 省 电 信 有 限 公 司 4 攻击流量对网络的影响 口 120G 20G 2 20M 20个汇聚路由器下面的所有用户拥塞 2台 超过用户带宽的流量：客户网络拥塞 汇聚路由器 东 省 电 信 有 限 公 司 5 技术分析 (1) 口 120G 20G 2 20M 如果用户正常流量是 5M，黑客采用 50 相当于用户 1/10的正常流量被丢弃，业务中断。 用户自己增加防 常流量到用户之前已经被丢弃了。 必需由运营商提供服务。 广 东 省 电 信 有 限 公 司 6 技术分析 (2) 口 5 20M 50M 的攻击流量 “ 路由黑洞”的做法。 Ip 到客户的路由全部引到 保护了下面的链路带宽，但用户完全断网。而且必需实时监控，尽快恢复路由。 用户网段： 4 广 东 省 电 信 有 限 公 司 7 需要技术手段实现 网络抓包 网络运维、故障诊断的必备。一直采用端口镜像的方法，每次抓包都必需做很多配置，甚至要调线路等等。 阻挡网络 解决客户的燃眉之急 减轻运维人员工作负担，否则一个客户投诉要跟踪、分析、处理，花了很多努力也不能解决问题 差异化服务 作为新业务推出 广 东 省 电 信 有 限 公 司 8 实施方案（ 1） 口 过滤 常流量允许通过。 由 自动保护。 用户流量 +攻击流量可能超过最大能力（ 3G） 广 东 省 电 信 有 限 公 司 9 实施方案（ 2） 口 过滤 常流量允许通过。 实时检测流量情况，发现攻击时，自动启动 广 东 省 电 信 有 限 公 司 10 攻击防护工作原理 : 疏导设计 用 户 1 用 户 2 用 户 3 流 量 攻 击 目 标 1. 检测 非正常流量 2. 启 动 保 护 (自 动 /手 动 ) 5. 将正常流量重新注入 6. 到其他区域的流量没有受到影响 4 110/2 2 2 20/0 00:00:01 GP 4. 攻 击缓 解 (清 洁 ) 广 东 省 电 信 有 限 公 司 11 动态设计 法流量 + 攻击流量 到目的网段 测恶意动作和发现攻击的流量及源 /目标地址 启动 挡恶意流量 动态增加访问列表阻挡攻击 启动速率限制 合法流量 广 东 省 电 信 有 限 公 司 12 功能 攻击流量过滤的功能特性 流量分析的功能特性 报表功能 实施后效果 广 东 省 电 信 有 限 公 司 13 用户应用学习、用户应用流量特性学习功能 习用户应用 用户有哪些应用、开放哪些 户应用流量特性学习 生成 东 省 电 信 有 限 公 司 14 白名单功能 名单功能 广 东 省 电 信 有 限 公 司 15 调整阀值 需要调整为合适的阀值 阀值单位是 东 省 电 信 有 限 公 司 16 按协议特征过滤功能 包长在 1200到1490之间 还有多种过滤条件 对明显特征的攻击包，迅速进行拦截。 广 东 省 电 信 有 限 公 司 17 按包内容过滤功能 数据包里面的内容 把数据填进来即可 可以只统计 或者 要能抓出特征，即可按内容过滤 广 东 省 电 信 有 限 公 司 18 按包内容过滤功能 自动产生内容过滤表达式 广 东 省 电 信 有 限 公 司 19 抓包功能 自动抓包 手动抓包 可以对任何网段、 只要能把路由引入即可 可以定义抓包的类型，如 可以定义一次抓包的数量、抓包的采样率 广 东 省 电 信 有 限 公 司 20 抓包结果的分析功能 看看这内容！这人应该被封掉 可以用 广 东 省 电 信 有 限 公 司 21 抓包结果的分析功能 按各种需求查看 按 容 )过滤查看 广 东 省 电 信 有 限 公 司 22 报表功能 清晰 广 东 省 电 信 有 限 公 司 23 报表功能 详细 广 东 省 电 信 有 限 公 司 24 报表功能 详细 广 东 省 电 信 有 限 公 司 25 实施后效果 案例 1： 1000 攻击流量被阻挡，用户没受到影响。 广 东 省 电 信 有 限 公 司 26 实施后效果 案例 2： 2000 攻击流量被阻挡，用户没受到影响。 攻击流最高到 600M，目前还有 372目前的 8个 广 东 省 电 信 有 限 公 司 27 实施后效果 其他各种情况的攻击都会出现： 1040断的攻击等等。 广 东 省 电 信 有 限 公 司 28 实施效果 优点： 可以在上层网络进行流量过滤，减轻城域网内压力； 对于一般的攻击有一定防范作用。 广 东 省 电 信 有 限 公 司 29 实施效果（ 2） 缺点： 由于 于上网业务，特别是网吧业务，缺少成熟的模板； 如果限制过严，可能会影响网吧的某些游戏。 广 东 省 电 信 有 限 公 司 30 进一步思考 问题 1：如何主动监测，部署 1. 部署 本太大； 2. 609版本的 且需要建设一套 广 东 省 电 信 有 限 公 司 31 进一步思考 问题 2： 络里如何牵引流量？ 1. 在出口上部署还是在汇接路由器上部署？ 2. 设备投资。 3. 城域网内业务标签转发。 4. 广 东 省 电 信 有 限 公 司 32 进一步思考 问题 3：如何提高网络设备本身的抗攻击能力？ 1. . 广 东 省 电 信 有 限 公 司 33 进一步思考 问题 4：能否在省内、集团内统一要求在所有 1. 运维与业务部门需要协调 广 东 省 电 信 有 限 公 司 34 进一步思考 问题 5：能否建立一套机制，在发生网络安全事件后可以在省内产生联动、协助、配合？ 1. 例如建立一个邮件组； 2. 广 东 省 电 信 有 限 公 司 35 谢谢！