城域网安全实践广州电信.ppt

《城域网安全实践广州电信.ppt》由会员分享，可在线阅读，更多相关《城域网安全实践广州电信.ppt（36页珍藏版）》请在三一办公上搜索。

1、1,广州电信城域网网络安全防护实践,广州电信分公司数据维护中心2007年5月,2,广州城域网专线用户平面简图,ChinaNet/CN2,出口,120G,20G,2-4G,420M,链路带宽,3,专线用户平面的需求,新产品新市场,用户经常投诉网络慢、间歇性网络不可用。经技术人员跟踪、分析，发现是用户受到网络DDoS攻击造成。需要解决客户问题,客户需求,业务发展需求,保障客户网络服务质量降低用户报障、投诉率挽留客户，保存量差异化服务,运营需求,4,攻击流量对网络的影响,ChinaNet/CN2,出口,120G,20G,2-4G,420M,20G以上流量：一个汇聚路由器下面的所有用户拥塞2-4G以上

2、流量：一台SR下面所有用户拥塞超过用户带宽的流量：客户网络拥塞,汇聚路由器,SR,5,技术分析(1),ChinaNet/CN2,出口,120G,20G,2-4G,420M,如果用户正常流量是5M，黑客采用50M的攻击流攻击用户。相当于用户1/10的正常流量被丢弃，业务中断。用户自己增加防DDoS设备没有意义，正常流量到用户之前已经被丢弃了。必需由运营商提供服务。,6,技术分析(2),ChinaNet/CN2,出口,520M,50M 的攻击流量,“路由黑洞”的做法。Ip route 218.19.47.0 255.255.255.0 null0把到客户的路由全部引到null0上。保护了下面的链路

3、带宽，但用户完全断网。而且必需实时监控，尽快恢复路由。,用户网段：218.19.47.0/24,7,需要技术手段实现,网络抓包网络运维、故障诊断的必备。一直采用端口镜像的方法，每次抓包都必需做很多配置，甚至要调线路等等。阻挡网络DDoS攻击解决客户的燃眉之急减轻运维人员工作负担，否则一个客户投诉要跟踪、分析、处理，花了很多努力也不能解决问题差异化服务作为新业务推出,8,实施方案（1）,ChinaNet/CN2,出口,Guard：过滤DDoS攻击流量，正常流量允许通过。由Guard实时监控用户流量，并自动保护。,用户流量+攻击流量可能超过最大能力（3G）,9,实施方案（2）,ChinaNet/C

4、N2,出口,Guard：过滤DDoS攻击流量，正常流量允许通过。,Detector：实时检测流量情况，发现攻击时，自动启动Guard进行保护。,10,攻击防护工作原理:疏导设计,用户1,用户2,用户3,Internet,Legitimate Traffic正常流量,攻击目标,2.启动保护(自动/手动),RemoteHealthInjection（RHI）,3.将流量转移到Guard模块,5.将正常流量重新注入,6.到其他区域的流量没有受到影响,O 192.168.3.0/24 110/2 via 100.0.0.3,2d11h,GigabitEthernet2B 192.168.3.128/3

5、2 20/0 via 20.0.0.2,00:00:01 192.168.3.128=zone,10.0.0.2=Guard Module,20.0.0.2=MSFC,BGP announce,11,Guard清洁原理:动态设计,ActiveVerification,StatisticalAnalysis,Layer 7Analysis,Rate Limiting,合法流量+攻击流量 到目的网段,Dynamic&Static Filters,启动anti-spoofing阻挡恶意流量,动态增加访问列表阻挡攻击,启动速率限制,合法流量,12,功能,攻击流量过滤的功能特性流量分析的功能特性报表功能

6、实施后效果,13,用户应用学习、用户应用流量特性学习功能,Construct Policies：学习用户应用用户有哪些应用、开放哪些TCP、UDP端口,Tune Thresholds：用户应用流量特性学习生成police,14,白名单功能,Bypass Filters：白名单功能,DNS服务器IP地址可以直接通过,15,调整阀值,需要调整为合适的阀值,阀值单位是pps,16,按协议特征过滤功能,UDP包,包长在1200到1490之间,Drop掉,还有多种过滤条件对明显特征的攻击包，迅速进行拦截。,17,按包内容过滤功能,数据包里面的内容,把数据填进来即可,把数据填进来即可,可以只统计或者dro

7、p,只要能抓出特征，即可按内容过滤,18,按包内容过滤功能,自动产生内容过滤表达式,19,抓包功能,自动抓包手动抓包可以对任何网段、ip进行抓包只要能把路由引入即可可以定义抓包的类型，如forwarded、replied、dropped可以定义一次抓包的数量、抓包的采样率,20,抓包结果的分析功能,看看这内容！这人应该被封掉,可以用FTP导出，用EtherReal查看,21,抓包结果的分析功能,按各种需求查看,按filter和pattern(内容)过滤查看,22,报表功能,清晰,23,报表功能,详细,24,报表功能,详细,25,实施后效果,案例1：10M带宽用户遭受了400M的攻击攻击流量被阻

8、挡，用户没受到影响。,26,实施后效果,案例2：20M带宽用户遭受了600M的攻击攻击流量被阻挡，用户没受到影响。,攻击流最高到600M，目前还有37M的攻击流，2M的正常流目前的dynamic filters是58个,27,实施后效果,其他各种情况的攻击都会出现：10M的持续攻击、40M的单ip过来的持续攻击、间断的攻击等等。,28,实施效果,优点：可以在上层网络进行流量过滤，减轻城域网内压力；对于一般的攻击有一定防范作用。,29,实施效果（2）,缺点：由于UDP协议无连接特性，Guard无法对抗大量的UDP攻击；Guard的长处是为服务提供商提供安全服务，对于上网业务，特别是网吧业务，缺少

9、成熟的模板；如果限制过严，可能会影响网吧的某些游戏。,30,进一步思考,问题1：如何主动监测，部署Detector还是Netflow Collector？部署Detector的问题是SR多，成本太大；Netflow的问题是目前7609版本的Netflow支撑能力不强，而且需要建设一套Netflow Collector系统。,31,进一步思考,问题2：Guard部署在哪里合适，在MPLS 网络里如何牵引流量？在出口上部署还是在汇接路由器上部署？设备投资。城域网内业务标签转发。,32,进一步思考,问题3：如何提高网络设备本身的抗攻击能力？Cisco设备的Control Plane Policy,3

10、3,进一步思考,问题4：能否在省内、集团内统一要求在所有SR上进行源地址校验？运维与业务部门需要协调,34,进一步思考,问题5：能否建立一套机制，在发生网络安全事件后可以在省内产生联动、协助、配合？例如建立一个邮件组；,35,谢谢！,MajpjMVcyzj21HLfrvy96dv02lPPfYgxUS7IYmZkyEmZ0kGeYZS3bpLCkYH1lt4EK7CxmUX3ijoYSOer7ZuaVWYgz4EpZrUirVpMzzvNtf1XZw5oswSXOtFaejnOcmfE1lZgnN1RSXg8wLCG8CVQ3XPJMvodPFWcpiYJgZazNSEPNIaklYSu7qS

11、d1UpaxmZDlpN9zW7kljfsLCLi26Yv109ffbnDH8LbUN1G6ACURQ39eG12KHL9tXsZ1jzgoCK8g1kuNOh5eFvcmVT5ZYVQt9zk3rp3qLnf02FovEXxVRxjCcFRNppiJljNiOuk6fONnyX7fyGg7sXZ49BmCN5oy9VesHpKzdjTKwjrkCEQCFDehVmGax3lrOEbw63VscA3YSijtUKoCyiLzAlVRp7l4QgPNHxvJFFDyjUVN3oHlMah0XBd4uTbkfPIhHtw0evPmYOrdhEDoPwvYhzlGplU1AU9mpyiCXH8gpP

12、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,