方案概述

随着互联网技术的发展,包括互联网数据中心、数据专线接入、城域网宽带服务在内的数据通讯业务在全部通讯业务中所占比例在逐渐提高。数据业务的服务质量直接影响运营商以及企业的整体服务形象,为适应激烈的市场竞争的环境,需要提高数据业务的整体服务水平。

为及时发现互联网网络中的蠕虫、木马、僵尸网络和安全攻击等异常流量,并对异常流量进行响应控制,保证网络的安全运行,需要在互联网出口部署异常流量清洗系统,对流量型拒绝服务攻击(DoS/DDoS等)进行清洗、过滤,降低或消除大流量攻击对网络设备和业务系统的压力,保证网络以及业务系统的正常运行。

科服科技携手国内最具DDoS攻防实力的安全厂商绿盟科技,为客户提供从流量检测,流量清洗,统一管理,三位一体的DDoS智能解决方案,将DDoS等异常流量攻击进行实时自动清洗,保障客户业务的可持续稳定运行。

优势

科服科技抗拒绝服务攻击解决方案提供了业界领先的DDoS防护能力,通过多种机制的分析检测机制以及灵活的部署方式,成熟的产品和有效的攻击阻断技术,保障合法流量的正常传输,提供业务系统的可持续运营和有效完整性,具有极为重要的意义。

1、 流量感知;(攻击流量检测,数据统计分析)

2、 海量清洗;(高性能运算,集群可扩展)

3、 防护效用;(防护目标覆盖性,防护系统可用性)

4、 可控可管;(集群设备管理,集中策略分发)

5、 应用防护;(DNS防护,Http应用防护,CC防护)


方案详述

1) 三位一体解决方案

绿盟科技推出了三位一体的异常流量清洗解决方案,可满足电信运营商对大型Anti-DDoS系统“可管理、可运营”的需求。该解决方案由异常流量检测系统(NSFOCUS NTA)、异常流量净化系统(NSFOCUS ADS)及管理和取证系统(NSFOCUS ADS-M)组成。解决方案由三类组件产品构成:

NSFOCUS ADS(绿盟抗拒绝服务攻击产品)——作为绿盟流量清洗产品系列中的关键设备,其中NSFOCUS ADS提供了单台最大10G的DDoS线速防护能力,通过部署NSFOCUS ADS设备,可以对网络中的DDoS攻击流量进行清除,同时保证正常流量的通过。NSFOCUS ADS设备可以通过旁路方式部署在网络中,同时利用万兆级别的NSFOCUS ADS组成的多台设备的集群,防护容量可以高达数十G,提高整个系统抵御海量DDoS攻击的能力。

NSFOCUS NTA(绿盟网络流量分析产品)——绿盟流量清洗产品系列中第二类设备,称之为NSFOCUS NTA,该设备主要应用于异常流量检测,需要和NSFOCUS ADS设备配合工作。NSFOCUS NTA设备可以应用Netflow等方式对流量数据进行采集,并对采集到的数据进行深入分析。一旦发现异常的网络流量,NSFOCUS NTA会根据预先由系统管理员定义的方式触发NOC(Network Operation Center)控制台报警或自动联动异常流量净化系统进行流量的牵引和净化。

NSFOCUS ADS-M(绿盟抗拒绝服务攻击综合管理产品)——绿盟流量清洗产品系列中第三类设备,称之为NSFOCUS ADS-M,负责收集来源于不同网络位置的多个NSFOCUS ADS设备的状态数据,进行关联分析和处理;基于防护群组、流量群组等逻辑对象进行高效的业务用户分组防护管理,并分别提供类型丰富的报表;对于网络不同节点的防护/监控产品进行集中的配置管理和权限分配;为攻击溯源提供抓包取证的功能。除此之外,NSFOCUS ADS-M更提供用户自服务系统,满足运营商利用DDoS做增值服务的需要。

2) 部署方式

绿盟科技的抗拒绝服务解决方案采用了业内先进的智能检测算法,对DDoS攻击进行专业的判断和识别,并进一步实时清除攻击流量。无论中小企业,还是数据中心,或是电信运营商网络,绿盟科技都提供相应环境下的抗拒绝服务的应用部署方式。

串行部署方式。针对少量服务器或出口带宽较小的企业内部网,绿盟抗拒绝服务产品提供串行部署方式,通过ADS设备透明地“串联”在网络入口端,对DDoS攻击进行检测、分析和阻断。部署拓扑图如下所示:

旁路部署方式。针对IDC、ICP或运营商关键业务系统,绿盟抗拒绝服务系统提供了基于流量牵引技术的旁路部署方式。通常,流量监测设备NTA部署在网络任意位置,ADS设备“旁路”部署在网络入口。NTA设备主要对网络入口的流量提供监控功能,及时检测DDoS攻击的类型和来源。当发现DDoS攻击发生时,NTA设备会及时通知ADS设备,随后由ADS设备启动流量牵引机制,从路由器或交换机处分流可疑流量至ADS设备,在完成DDoS攻击的过滤后,ADS再将“干净”的流量注入回网络当中。在这个过程中ADS-M系列的管理系统参与整体协调和记录管理。部署拓扑图如下所示:


3) 系统特性

精准的攻击流量识别。绿盟抗拒绝服务系统应用了自主研发的抗拒绝服务攻击算法,在对网络数据报文进行概率统计的基础上,针对不同种类的DDoS攻击采用不同的算法(例如流量建模、反欺骗、协议栈行为模式分析、特定应用防护、用户行为模式分析、动态指纹识别等)进行识别,从而准确地区分出恶意的DDoS报文和正常访问的网络数据报文。另一方面,产品采用的攻击检测和识别的算法效率非常之高,可以承受各类大流量DDoS的攻击,以Syn Flood防护为例,连接维持率和新发起连接可用率都可达100%——其效率远远超过了Syn-cookie和Random-drop等算法。

强大的攻击防护能力。基于绿盟科技自主研发的独特的防护算法,绿盟抗拒绝服务攻击系统可高效防护各种类型的DDoS攻击,如下:

系统可以防护各种传输层的拒绝服务攻击,如SYN Flood,SYN-ACK Flood,ACK Flood,FIN/RST Flood ,UDP Flood,ICMP Flood,IP Fragment Flood、Stream flood等;系统可以防护HTTP get /post flood 攻击,慢速攻击,TCP连接耗尽攻击,TCP空连接攻击等来自web的安全威胁;系统可针对DNS服务攻击,游戏服务攻击、音视频服务攻击等危害更大的应用层拒绝服务攻击进行有效防护;系统能够对利用各种代理服务器如CDN,WAP网关等发起的DDoS攻击进行防护;系统能够有效的防护利用各种annoymous攻击工具和僵尸工具发起的DDoS攻击。

NSFOCUS ADS系统提供了流量限制特性,用于应对突发的流量异常变化。系统还提供了访问控制列表(ACL)功能,可以让管理员直接设置黑白名单,简化对一些特定应用的控制难度。另外,深层包检查规则允许管理员根据攻击包的源/目的IP,源/目的协议端口,以及协议类型或Tcp Flag/ICMP Type/ICMP Code等特征字节定义模版,进行快速防护。

针对运营商网络中客户众多、且对DDoS防护需求不同的特点,ADS设备提供防护群组功能,对用户加以区分,并对不同的用户组提供细粒度的防护策略。同时,为了降低运维的成本,ADS设备能够对防护对象中各种服务的流量进行自动学习,并根据学习的结果生成防护策略。

由于当前黑客技术发展越来越迅速,所以新的DDoS攻击技术也日新月益。绿盟科技拥有一支强大的安全技术研究队伍,专职于安全攻击及防护技术的研究,能够及时跟踪并发现互联网上新出现的DDoS攻击类型。基于绿盟Anti-¬DDoS系统本身很强的扩展性,当新的攻击类型出现时,绿盟抗拒绝服务攻击系统能够在一周之内迅速升级,以保证客户网络在新的攻击之下的安全性。

海量的攻击防护性能。根据型号不同,电信级高端NSFOCUS ADS系统分别采用先进的多核处理器及NP+ASIC硬件构架。单台设备最高可具有40G流量的线速分析和DDoS攻击防护能力。多台ADS集群后,可以使得整体防护集群的容量和处理性能进一步提升。系统可以依据攻击的目的、流量、类型等多种因素进行流量牵引,拥有对更大规模、更复杂的DDoS攻击防御的能力。即使电信运营商或者大型企业在面临最严重的DDoS攻击威胁时也能提供最佳的防护实践。另一方面,基于保障全网可用性的思路,系统采用了主机识别和流量牵引等多种技术,在过滤攻击流量的同时,确保了正常流量不受影响,从而保证了网络服务的品质。

灵活的应用部署方式。由于客户网络环境和规模不同,绿盟抗拒绝服务攻击系统也包含了多种产品形态和部署方式,包括串联、串联集群、旁路以及旁路集群等不同方式,不同的部署方式和对各类网络协议的支持使得NSFOCUS ADS系统能够适应各种复杂的网络环境,为独立服务器、中小企业或是大型企业,以及电信运营商网络提供代价最小的应用方案,便于系统的部署和管理。

针对大型IDC、ICP及运营商骨干网出口的旁路部署模型可实现针对防护对象的“按需防护”,在发现流量的可疑特征后,系统采用动态流量牵引技术将去往受保护区域或主机的流量的下一跳重定向到流量净化设备上,而不影响去往其它区域或主机的流量转发路径。当可疑流量经过防护设备的识别并剥离出有害数据流后,干净的流量将被注回原来的网络中并抵达原来的目的地。为了适应复杂的运营商和大型企业网络环境,并满足便于部署、对现网环境影响小等实际需求,系统提供了丰富的流量牵引和回注特性以便在现网中选择实施。

友好的系统及报表管理。配合NSFOCUS ADS-M系列管理设备进行旁路部署应用时,系统可以提供直观而便利的设备运行监控、策略配置、报表生成和抓包取证等管理:分级分权管理特性,使得网络工程师、安全管理员和客户可以看到不同级别的实时统计信息和监控、报表内容。攻击报表提供了对攻击事件、攻击类型、攻击特征、攻击来源等信息的详细记录,一方面便于管理员实时监控攻击发生情况,另一方面还可以提供历史信息,对攻击行为进行追踪与取证。系统还提供了诸如流量监控报表、日志信息通告和攻击历史报表等工具,便于最终使用者根据攻击情况来实时调整防护策略。

独特的增值业务管理。结合NSFOCUS ADS-M系列的管理产品,系统可提供特有的运营维护和自服务系统的增值服务平台,从而获取服务收益。运营商藉此对有强烈防护需求的大客户(网吧、证券、珠宝商场、电力、政府、酒店、IPTV提供商等)提供安全防护增值服务,而大客户可通过登录本系统开放的自服务界面,查看自己的实时网络流量、应用协议分布情况、攻击防护等关键业务信息。该平台,一方面提高了大客户对其系统安全状况的感知度;另一方面提升客户服务质量和内涵。

IPv4&v6双栈支持。目前IPv6网络被更广泛地部署,针对Ipv6网络的攻击也将越来越频繁而常见,绿盟科技积极接应客户需求,产品支持IPv6&v4双栈协议,解除客户后顾之忧。

专业的攻击支持经验。基于绿盟科技自2002年以来抗拒绝服务商用产品多年的商用案例和服务支持积累的丰富经验,绿盟科技服务专家可提供快速的现场防御支持及攻击防御咨询/部署/培训等服务,不仅帮助客户建立坚固的防御系统、提供防御支撑,还帮助客户建立起专业的攻击防御团队。