中國移動集團重點 /聯(lián)合研發(fā)項目結題匯報報告 項目名稱： 流量監(jiān)控安全技術研究 項目編號： 第 2頁 一 . 開題計劃完成情況 目 錄 二、主要研究成果 第 3頁 1.1 研究背景及目標 1.明確策略，完善標準 2. 制定適合 CMNET的安全控制方案 3.推動廠商形成具備基本功能的首批安全產品 2009 策略標準 方案制定 技術產品 項目目標 研究背景 1. 面向我公司實際網(wǎng)絡需求，研究了基于標記的流量調度方案，研究驗證，申請專利，并推動現(xiàn)網(wǎng)應用。 2. 面向實際部署需求，并結合基于標記的流量調度方案，推動產品基于單包檢測，并制定標準的通信管理接口。 3. 面向實際業(yè)務和組網(wǎng)需求，制定了集中出入口和各省網(wǎng)之間的協(xié)同工作模式和業(yè)務分類安全管控模型。 2010 應用擴展 一、 CMNET互聯(lián)出入口帶寬擁塞，流量管控迫在眉睫 二、攻擊技術迅速發(fā)展 CMNET互聯(lián)出入口帶寬擁塞，公司進行了流量控制設備的直路部署，初步緩解了基于 P2P等帶寬濫用所造成的流量擁塞。 隨著 TD-SCDMA和 TD-LTE的廣泛使用，分組域數(shù)據(jù)流量明顯上漲，終端智能化和 IP化的進展，造成了 DDoS攻擊和僵木蠕病毒等異常流量呈現(xiàn)上升和難以抑制的趨勢。 攻擊流量匯聚所造成的服務中斷已經不能通過防火墻、 IPS等安全設備控制。 2009至 2010年 DDoS所造成帶寬占用增長 1倍以上，“暴風影音”等重大事件凸顯。 隨著移動互聯(lián)網(wǎng)業(yè)務發(fā)展和新業(yè)務的產生，攻擊和病毒技術有了新的提高，黑色產業(yè)鏈成熟，攻擊類別和能力都有了新的提高。 第 4頁 1.2 主要研究內容及分工 流控系統(tǒng) 異常流量清洗 僵木蠕檢測 單層流量調度 項目總體協(xié)調工作由研究院負責： 1. 協(xié)調項目， 優(yōu)化資源 2. 把握整體技術發(fā)展方向 分流路由配置 DNS 多層流量協(xié)同 集中管控 多應用擴展 分場景路由配置 單層方案組網(wǎng)驗證 -研究院與北京公司 DNS安全監(jiān)控方法研究 -四川公司 基于標記的流量調度方案 多標記方案 -研究院負責 單包檢測方法 -研究院負責 標記與牽引共組網(wǎng) -研究院與北京公司 方案設計 -研究院負責 需求提供 -四川公司 方案驗證 -北京公司 基于業(yè)務類別流量調度由研究院牽頭負責： 省公司根據(jù)實際運營需求，進一步促進研究院技術研發(fā)，使得技術創(chuàng)新工作更有針對性 場景分類和需求由省公司負責： 研究院從技術角度提出方案建議，從總體上把握項目的研發(fā)方向 由研究院牽頭負責 由研究院牽頭負責 旁路 DNS監(jiān)控 方法 -四川公司 多層方案驗證 -北京公司 流控與異常流量互操作接口 -研究院負責 異常流量清洗統(tǒng)一管理接口 僵木蠕檢測統(tǒng)一管理接口 -研究院負責 第 5頁 1.3 開題計劃完成情況總結 (1/2) 開題要求 研究報告 方案規(guī)范 專利及其他 完成單位 11份報告 （ 15/11） 中國移動異常流量測試報告 中國移動惡意代碼檢測測試報告 互聯(lián)互通接口染色方案驗證報告 CMNET互聯(lián)互通出口異常流量防護方案 流控與異常流量清洗設備互操作方案 CMNET全網(wǎng)異常流量部署總體方案 中國移動異常流量清洗設備技術規(guī)范 中國移動惡意代碼檢測設備技術規(guī)范 中國移動異常流量清洗設備測試規(guī)范 中國移動惡意代碼檢測設備測試規(guī)范 中國移動異常流量與流控接口規(guī)范 中國移動異常流量清洗系統(tǒng)統(tǒng)一管理平臺技術規(guī)范 中國移動惡意代碼檢測系統(tǒng)統(tǒng)一管理平臺技術規(guī)范 中國移動異常流量清洗系統(tǒng)統(tǒng)一管理平臺接口規(guī)范 中國移動惡意代碼檢測系統(tǒng)統(tǒng)一管理平臺接口規(guī)范 YF0912035一種流量控制系統(tǒng)和方法 研究院 2份報告 （ 2/2） 省公司異常流量現(xiàn)網(wǎng)測試報告 省網(wǎng)異常流量防護指導方案 北京公司 共計研究報告 4份，方案規(guī)范 13份，專利 1項，并推動相關產品以及現(xiàn)網(wǎng)部署 2份報告 （ 3/3） DNS防護系統(tǒng)技術規(guī)范 DNS防護系統(tǒng)測試規(guī)范 DNS防護系統(tǒng)部署方案研究 四川公司 第 6頁 一 . 開題計劃完成情況 目 錄 二、主要研究成果 第 7頁 項目主要內容 基于標記的流量調度方案 基于多層協(xié)同流量清洗方案 流量標記的方法和規(guī)則 流量調度的策略和操作 雙向檢測的路由策略 下游加流控 四層交換機 路由器端口鏡像 快速以太網(wǎng)通道 標記分配的原則和方法 多層異構流量調度分析 全標記 標記 +牽引 標記 +牽引 +靜態(tài) 流量回注策略 異常流量清洗和流控的接口 集中管控方案 多應用擴展 異常流量清洗系統(tǒng)多廠家協(xié)同管理接口 異常流量清洗系統(tǒng)多廠家協(xié)同管理接口 安全 DPI體系架構 基于不同應用類別的流量調度 用于數(shù)據(jù)中心的流量調度 基于用戶特征 基于業(yè)務特征 用于實驗室建設的流控方法 11 11 10 11 10 01 11 11 10 11 10 01 10 10 01 00000000 流 控 設 備依 據(jù) 分 類打 標 簽A類 應 用 清 洗PS域企 業(yè) 用 戶IDCDDoS流量 清 洗InternetDPI監(jiān) 測B類 應 用 清 洗C類 應 用 清 洗D類 應 用 清 洗第 8頁 2.1基于標記的流量調度方案 需求分析（ 1） 標記調度 集中管控 多層協(xié)同 應用擴展 I n t e r n e t1 8 U 清 洗 中 心3 U N e t F l o w 檢 測 中 心管 理 中 心存 儲 組攻 擊 包 數(shù) 據(jù)清 洗 前 流 量正 常 數(shù) 據(jù) 包清 洗 后 流 量P S 域8 U D P I 檢 測 中 心8 U 清 洗 中 心企 業(yè) 用 戶管 理 中 心I D C引 流 - 回 注分 光 / 鏡像C o r eI n t e r n e t2 0 U 2 0 U防 火 墻 + N A TP S 域清 洗 前 流 量清 洗 后 流 量旁路 DFI+流量牽引 旁路 DPI+流量牽引 直路全流量清清洗 適于解決小流量攻擊 較細粒度檢測 全流量串入骨干網(wǎng)絡風險較高 與既有的寬廣設備有一定的功能交叉 放在現(xiàn)有出入口方案中處在多次解數(shù)據(jù)包的重復工作 適于解決大流量攻擊 粗粒度檢測 節(jié)省成本 Netflow-based檢測中心可復用 適于解決小流量攻擊 較細粒度檢測 有一定光衰影響 與既有的寬廣設備有一定的功能交叉 放在現(xiàn)有出入口方案中處在多次解數(shù)據(jù)包的重復工作 第 9頁 2.1基于標記的流量調度方案 需求分析（ 2） 標記調度 集中管控 多層協(xié)同 應用擴展 綜上，可以看出，骨干網(wǎng)出入口不適合簡單使用直路部署方案，通過基于動態(tài)路由的牽引回注方式難以滿足需求，需要一種新方案簡化維護難度，提高效率。 NAT、虛擬化等業(yè)務方式受限制 逐鏈路部署，投資大 產生多次清洗，感受差 全流量分析，效率低 配置繁復多變，維護難 引入了新故障點 導致后果 技術難題 牽引回注缺陷 直路部署缺陷 第 10頁 2.1基于標記的流量調度方案 技術方案 標記調度 集中管控 多層協(xié)同 應用擴展 時間 固定基線（紅） 流量值（黑） 超越臨界值 超越臨界值 超越臨界值 動態(tài)基線（藍） 流量 流 控 設 備依 據(jù) 分 類打 標 簽A 類 應 用 清 洗P S 域企 業(yè) 用 戶I D CD D o S 流量 清 洗I n t e r n e tD P I 監(jiān) 測B 類 應 用 清 洗C 類 應 用 清 洗D 類 應 用 清 洗流控設備依照流量基線與實際流量進行對比，當流量不符合基線形態(tài)，就判定流量異常。 路由器根據(jù)標記，進行策略路由，將流量進行分發(fā)。 安全設備 安全設備 標記流量 分發(fā)流量 無標記流量返回 已決策 0跳采用流控專有接口輸出 1跳之內可使用 VLAN標識 2跳以上須使用 TOS/DSCP 標記規(guī)劃 第 11頁 2.1基于標記的流量調度方案 雙向檢測 標記調度 集中管控 多層協(xié)同 應用擴展 1）下游增加流控設備 2）路由器換為四層交機 依據(jù)端口號 區(qū)分業(yè)務并分流 3）啟動路由器端口鏡像 在路由器的 上下游端口， 對源 /目的 IP， 以及 port進行 hash，根據(jù) hash值確定 回來的流量 發(fā)往哪個端 口。 3） EtherChannel 1）判斷準確但增加 網(wǎng)元，增加投資 2）判斷較準，無需增 加網(wǎng)元但需增加投資 3）回流準確但需增加 路由器端口，增加安全 設備處理能力 4）無需增加網(wǎng)元，無 需增加安全設備處理能 力，判斷較準 全流量鏡像 安全設備 第 12頁 2.2 基于多層協(xié)同流量清洗方案 總體方案 標記調度 集中管控 多層協(xié)同 應用擴展 如果使用兩位預留位就可以達到多層拒絕服務攻擊過濾的目的 使用多層拒絕服務攻擊防護方案可以避免單點防護投資過大的問題 安全運維模式可能會有調整，安全策略的維護將專業(yè)性更強，數(shù)據(jù)專業(yè)的安全運維能力將加大。 需要指出的是用戶側可能存在基于染色的攻擊或繞開安全控制，只需將凡是來自用戶側的攜帶染色標記的流量過濾即可解決 其他運營商 互聯(lián)出口標記 骨干網(wǎng)層防護 城域網(wǎng)層防護 接入網(wǎng)層防護 11 11 10 11 10 01 11 11 10 11 10 01 10 10 01 00000000 第 13頁 2.2 基于多層協(xié)同流量清洗方案 分場景策略 一級應用場景 二級應用場景 骨干層，互聯(lián)出口，安全級別最高級，流量檢測及清洗設備要求大顆粒、高精度，高性能； 大區(qū)級省網(wǎng)出口、城域網(wǎng)出口，安全級別較高，流量檢測及清洗設備要求大顆粒、高精度，高性能； 直轄市及普通省網(wǎng)出口，安全級別一般，流控及清洗設備精度及處理能力要求低于前兩種場景； 分大區(qū) 分地市 安全級別 防 DDos攻擊四種典型應用場景 三級應用場景 四級應用場景 互聯(lián)點 直轄市 地市級出口，安全級別一般，可以按需考慮部署流控及清洗設備； 防 DDOS攻擊 五種關鍵元素 標記調度 集中管控 多層協(xié)同 應用擴展 第 14頁 2.2 基于多層協(xié)同流量清洗方案 標記規(guī)劃 使用預留位解決清洗問題 復用 QoS進行協(xié)議分類，并利用其它位創(chuàng)建小類 共同規(guī)劃 CMNet省網(wǎng) 核心路由器 業(yè)務接入控制點 業(yè)務接入控制點 BRAS SR BRAS SR 業(yè)務接入控制點用戶側 QoS配置 流分類 標記（安全） 限速 核心路由器上行接口 QoS配置 隊列調度 &擁塞控制 流量清洗 核心路由器和業(yè)務接入控制點網(wǎng)絡側 QoS配置 隊列調度 &擁塞避免 專有協(xié)議安全控制 二層接入網(wǎng)絡 根據(jù) 802.1p優(yōu)先級進行隊列調度 將 DSCP優(yōu)先級映射到 802.1p優(yōu)先級 標記調度 集中管控 多層協(xié)同 應用擴展 待決策 第 15頁 2.2 基于多層協(xié)同流量清洗方案 標記分配 類別 DSCP VLAN PRI EXP PRI 隊列調度 擁塞避免 業(yè)務類型（參考） CS7 56 7 7 PQ Tail drop 業(yè)務信令（如 IMS信令） CS6 48 6 6 PQ Tail drop 網(wǎng)絡控制信息 EF 46 5 5 PQ Tail drop 集團客戶實時語音類（如 IMS語音） AF41 34 4 4 WRR/WFQ WRED 集團客戶視頻和流媒體類（如IMS視頻和多媒體業(yè)務） AF31 26 3 3 WRR/WFQ WRED 集團客戶虛擬專網(wǎng)業(yè)務 AF21 18 2 2 WRR/WFQ WRED 預留 AF11 10 1 1 WRR/WFQ WRED 預留 BE 0 0 0 WRR/WFQ WRED 個人互聯(lián)網(wǎng)業(yè)務、集團客戶互聯(lián)網(wǎng)業(yè)務 1st CC 1 0 0 n/a WRED 第一級異常流量清洗 2nd cc 7 0 0 WRR/WFQ WRED 第二級異常流量清洗 標記調度 集中管控 多層協(xié)同 應用擴展 第 16頁 2.2 基于多層協(xié)同流量清洗方案 現(xiàn)網(wǎng)驗證 基于標記分流 B r e a k i n g P o in t E l i t e終 端服 務 器A D S 標記調度 集中管控 多層協(xié)同 應用擴展 多層協(xié)同流量清洗方案驗證 單層協(xié)同流量清洗方案驗證 基于標記分流 BGP牽引 基于標記分流 BGP牽引 靜態(tài)路由 根據(jù)北京公司現(xiàn)網(wǎng)驗證， ADS使用完全與現(xiàn)網(wǎng)一致的配置，采取多級 DSCP標記，模擬了出入口、省骨干網(wǎng)和接入網(wǎng)多級多策略的流量牽引調度。策略包括基于標記的分流、 BGP路由牽引和靜態(tài)路由等三種不同規(guī)則。驗證結果符合預期，未出現(xiàn)多次清洗和流量調度不準確情況。 回注流量DSCP標記還原為“ 0” 回注方式 第 17頁 2.2 基于多層協(xié)同流量清洗方案 與流控接口 標記調度 集中管控 多層協(xié)同 應用擴展 日志類型字串 含義 Severity SeverityValue 備注 divert_start 清洗指令 Notice 5 流控系統(tǒng) -流量清洗系統(tǒng) threshold_update 目標值更新 Notice 5 流控系統(tǒng) -流量清洗系統(tǒng) divert_status 清洗狀態(tài) Notice 5 流量清洗系統(tǒng) -流控系統(tǒng) divert_running 清洗進行中 Notice 5 流量清洗系統(tǒng) -流控系統(tǒng) confirm 確認消息 Notice 5 雙方 divert_start（ DST， TSD） confirm 清洗指令 目標更新 threshold_update（ DST， TSD） confirm 清洗開始 divert_status （ STA， AFg） confirm 清洗遇忙 divert_running （ CAP， DOID） confirm 停止新任務 響應中斷 confirm confirm 停止標記 待決策 接口消息 消息處理流程 第 18頁 2.3 集中管控方案 總體方案（ 1） 多 標記調度 集中管控 多層協(xié)同 應用擴展 安全態(tài)勢特征數(shù)據(jù)庫 統(tǒng)一安全策略控制平臺 IP信譽 數(shù)據(jù)包特征 用戶行為特征 網(wǎng)絡行為特征 待檢測數(shù)據(jù)特征 統(tǒng)一安全態(tài)勢分析平臺 安全態(tài)勢評價模型 事件趨勢預測模型 Internet WLAN 3G/LTE LAN PON 個人 客戶 家庭 客戶 集團 客戶 BRAS GGSN DPI設備 接入層 承載層 終端 流控 Web Cache CDN 流量清洗 不良信息 僵尸 /木馬 流控 彩信計費 應用層 P2P Cache 流控 云安全平臺 蜜網(wǎng)系統(tǒng) 客戶安全組 AD攻防平臺 FW IPS IDS Security Client 網(wǎng)絡用戶行為分析平臺 全網(wǎng)控制策略部署平臺 接受控制策略 上報安全態(tài)勢 接受用戶模板 待決策 第 19頁 2.3 集中管控方案 總體方案（ 2） 多 標記調度 集中管控 多層協(xié)同 應用擴展 多 點感知，多層感知是面對未來復雜安全環(huán)境的重要技術特征。 通過對終端、接入、承載和應用部署分布式感知點，感知網(wǎng)絡行為、應用內容和用戶行為等多層信息，達到網(wǎng)絡和信息安全的全面監(jiān)控。 多 點控制，多級控制是未來多網(wǎng)融合電信運營商復雜網(wǎng)絡控制技術的發(fā)展方向。 通過在網(wǎng)絡側出入口等集中位置和終端側可控軟件模塊部署分布式控制點，可以達到安全控制策略精細化和防御縱深一體化，完成全網(wǎng)監(jiān)控。 一 點決策，一處維護是降低網(wǎng)絡 OPEX和加強網(wǎng)絡集中管控的重要舉措。 通過在網(wǎng)絡側統(tǒng)一部署安全態(tài)勢分析和策略控制平臺，可以達到全網(wǎng)安全狀態(tài)和趨勢準確呈現(xiàn)和預測，安全策略及時下發(fā)，完成全網(wǎng)態(tài)勢監(jiān)控。 用戶行為 應用內容 網(wǎng)絡行為 流量清洗 不良信息 僵尸 /木馬 流控 云安全平臺 蜜網(wǎng)系統(tǒng) AD攻防平臺 感知 控制 客戶安全組 各模塊現(xiàn)狀 各模塊演進 流控 調度 &染色 先驗感知 云安全平臺 AD攻防平臺 蜜網(wǎng)系統(tǒng) 態(tài)勢感知 流量控制 流量清洗 不良信息 僵尸 /木馬 客戶安全組 對流量染色，各模塊按照染色選取流量 第 20頁 2.3 集中管控方案 僵木蠕現(xiàn)網(wǎng)部署方案 多 標記調度 集中管控 多層協(xié)同 應用擴展 Internet WLAN 3G/LTE LAN PON 個人 客戶 家庭 客戶 集團 客戶 BRAS GGSN DPI設備 接入層 承載層 終端 流控 Web Cache CDN 流量清洗 不良信息 僵尸 /木馬 流控 彩信計費 應用層 P2P Cache 流控 互聯(lián)出入口 1 僵木蠕只進行獨立檢測，可通過全流量分光、部分流量鏡像等方式進行數(shù)據(jù)采集，并進行全部或部分流量的監(jiān)控 2 僵木蠕檢測后通過發(fā)干擾包或與流量清洗設備配合過濾惡意流量 3 形成統(tǒng)一的安全態(tài)勢分析系統(tǒng)，協(xié)同Cache、不良信息檢測工作 已決策 第 21頁 2.3 集中管控方案 僵木蠕檢測原理 多 標記調度 集中管控 多層協(xié)同 應用擴展 監(jiān)控服務器 檢測服務器 僵木蠕特征庫 Internet CMnet 日志數(shù)據(jù) 云安全平臺 IPS 特征檢測 防病毒網(wǎng)關 目前共測試五個廠家產品，主要分為三類技術，現(xiàn)網(wǎng)流量情況較適合前兩種。 IP信譽 + + + 第 22頁 2.4 集中管控方案 統(tǒng)一管理平臺部署和接口 A 省 干A 廠 商 流 量 清 洗 系 統(tǒng)C M N E TB 省 干B 廠 商 流 量 清 洗 系 統(tǒng)C 廠 商 流 量 清 洗 系 統(tǒng)C 省 干集 團 統(tǒng) 一 管 理 中 心流 量 策 略 管 理 、 流 量 查 詢 統(tǒng) 計清 洗設 備清 洗設 備清 洗設 備統(tǒng)一管理平臺 （ FTP Client） 下級管理系統(tǒng) （ FTP Server） 統(tǒng)一管理平臺 （ Syslog Server） 下級管理系統(tǒng) （ Syslog Client） 分布式管理模型和接口 統(tǒng)一管理平臺部署示意圖 已決策 為適應不同廠家分別建設北、上、廣三個不同出入口的需求，集團統(tǒng)一建設管理中心集中管理異常流量清洗和僵木蠕檢測系統(tǒng)，使用 FTP模式完成報表的收集， Syslog模式完成告警的實時采集，并統(tǒng)一呈現(xiàn)。 多 標記調度 集中管控 多層協(xié)同 應用擴展 第 23頁 2.4 多應用擴展方案 應用分類安全管控 標記調度 集中管控 多層協(xié)同 應用擴展 發(fā)熱門診 掛號室 分診臺 A科 B科 C科 流 控 設 備依 據(jù) 分 類打 標 簽A 類 應 用 清 洗P S 域企 業(yè) 用 戶I D CD D o S 流量 清 洗I n t e r n e tD P I 監(jiān) 測B 類 應 用 清 洗C 類 應 用 清 洗D 類 應 用 清 洗出院 DDoS流量清洗 流控設備標記（染色） 路由器分流 精細化檢測 安全流量 基于標記的異常流量管控可面向復雜的應用，按照業(yè)務應用分類提供專業(yè)化的安全管控手段。 待決策 第 24頁 2.4 多應用擴展方案 DDoS結合應用分類管控 標記調度 集中管控 多層協(xié)同 應用擴展 運營商網(wǎng)絡 Internet 安全管控體系 異常流量清洗 管理中心 正常數(shù)據(jù)流 流量超限 DNS應用安全設備 DPI DPI DSCP： 111100 DNS應用數(shù)據(jù) DSCP： 000100 DSCP： 000100 DSCP： 000000 DSCP： 000100 待決策 數(shù)據(jù)標記變化 DDoS位 業(yè)務位 通過改變標記策略，可以同時實現(xiàn) DDoS防護和特定業(yè)務應用防護，并使得二者無沖突。 第 25頁 2.4 多應用擴展方案 方案優(yōu)勢 標記調度 集中管控 多層協(xié)同 應用擴展 IP TCP/UPD APPLICATION IP TCP/UPD APPLICATION IP TCP/UPD APPLICATION IP TCP/UPD APPLICATION IP TCP/UPD APPLICATION IP TCP/UPD APPLICATION IP TCP/UPD APPLICATION IP TCP/UPD APPLICATION DDoS 流控 安全設備 安全設備 傳統(tǒng)組網(wǎng)： DDoS設備需要檢查 IP+TCP/UDP層，以發(fā)現(xiàn) Flood 攻擊，檢測應用層以判斷是否有應用層 DDoS攻擊； 流控設備需要檢測所有層次，以精確判斷流量類 型 ； IPS設備需檢測所有層次，判斷業(yè)務類型，以檢 測蠕蟲等流量； 本研究方案 DDoS設備只檢測 IP+TCP/UDP層以發(fā)現(xiàn)流量型攻擊。 流控設備需要檢測所有層次，以精確判斷流量類型 ； 安全設備僅負責檢測 Application層次，精細化檢測安全威脅 在 DDoS層減少了對應用層的判斷；在安全設備層面去了對 IP, TCP/UDP層，以及應用類型的判斷，同時進行精細化的安全 防護。 DDoS 流控 第 26頁 2.4 多應用擴展方案 數(shù)據(jù)中心的安全管控（ 1） 標記調度 集中管控 多層協(xié)同 應用擴展 數(shù)據(jù)中心 B 數(shù)據(jù)中心 A 防火墻隔離 集中數(shù)據(jù)中心 李躍總裁 2010年總經理培訓班講稿第 20頁 傳統(tǒng)的防火墻基于 IP的安全控制策略已經成為阻礙數(shù)據(jù)中心集中化的技術瓶頸。推動云計算和虛擬化的發(fā)展，集中化數(shù)據(jù)中心的迫切需求，要求新的安全控制技術的出現(xiàn)。 第 27頁 2.4 多應用擴展方案 數(shù)據(jù)中心的安全管控（ 2） 標記調度 集中管控 多層協(xié)同 應用擴展 27 基于用戶的安全控制 基于業(yè)務特征的安全控制 針對數(shù)據(jù)中心融合需求，探索研究基于用戶和業(yè)務特征等方式的安全控制技術，以簡化防火墻部署體系，提高數(shù)據(jù)資源訪問效率。 待決策 第 28頁 2.4 多應用擴展方案 面向實驗室建設方案 標記調度 集中管控 多層協(xié)同 應用擴展 WLAN AP 無線 PS域 無線 CS域 有線網(wǎng)絡接入 流控設備 路由器 互聯(lián)網(wǎng) AIX windows Linux 主機 互聯(lián)網(wǎng)應用 電信網(wǎng)應用 CS域核心網(wǎng) SMS MMS FW IDS IPS 防病毒 服務器 安全設備 逃逸目標 FW IPS AV WAF +-+-+-+-+-+-+-+-+ | DS5 | DS4 | DS3 | DS2 | DS1 | DS0 | / | / | +-+-+-+-+-+-+-+-+ 1 1 1 0 0 0 實驗室建設示意圖 流控標記策略 表示數(shù)據(jù)流穿過 FW， IPS和防病毒網(wǎng)關 路由器流控入方向策略： DSCP31FW； DSCP15IPS; DSCP7AV;DSCP3WAF; DSCP1DSCP0 根據(jù)不同入端口置位如 FW： DSCP1 基于標記的流量控制方案的應用前景廣泛，該建設方案可以使得實驗室環(huán)境中，對環(huán)境的改變轉變?yōu)閷α骺卦O備標記的改變，使得自動化的攻防研究成為可能。 第 29頁 2.4多應用擴展 DNS安全防護（ 1） 四川公司 CMNet域名解析系統(tǒng)采用緩存和授權分開組網(wǎng)模式，前端采用兩臺 Cisco 5550防火墻作為 DNS系統(tǒng)安全防護及訪問控制。 DNS安全實時監(jiān)測平臺為旁路的方式部署，通過鏡像數(shù)據(jù)方式抓取前端 8508上所有數(shù)據(jù)包進行分析，監(jiān)測平臺根據(jù)預設規(guī)則加以處理，對監(jiān)控的異常 IP通過通信口不防火墻和 DNS服務器進行聯(lián)勱處理。 這種部署結構適用于丌同網(wǎng)絡的 DNS系統(tǒng)，丌影響 DNS系統(tǒng)的運行。 標記調度 集中管控 多層協(xié)同 應用擴展 系統(tǒng)組網(wǎng)圖 已決策 第 30頁 2.4 多應用擴展 - DNS安全防護（ 2） 預警環(huán)節(jié)： 分析海量 DNS請求攻擊，建立一套對異常請求攻擊的預警模型，包括 DNS解析總量及失敗量模型 、 單個域名解析請求增量模型 。 啟動環(huán)節(jié)： 系統(tǒng)實時關注 DNS服務器運行狀態(tài)，系統(tǒng)設定適當?shù)膯陾l件，當 DNS服務器符合達到一定壓力時，啟勱 DNS保護處理流程，對發(fā)起攻擊的 IP進行封堵。 封堵環(huán)節(jié)： 系統(tǒng)建立單一 IP單位時間域名請求話務模型，通過模型可判斷提取發(fā)起異常解析請求的 IP地址。當某 IP在單位時間的請求量驟增并達到設定條件，列入僵尸庫，根據(jù)請求總量大小，按序封堵。 保護環(huán)節(jié)： 在封堵過程中，系統(tǒng)同時實時關注防火墻負載情況，當防火墻符合達到一定壓力時，停止添加阻斷策略，防止防火墻因過載導致退服風險，對防火墻及整個網(wǎng)絡起到智能保護作用。 還原環(huán)節(jié)： 當攻擊結束， DNS服務器負載逐步恢復到正常狀態(tài)后，系統(tǒng)根據(jù)智能化策略老化機制，撤除防火墻上的阻斷策略，使得整個網(wǎng)絡運行狀態(tài)恢復到攻擊發(fā)生前的原始正常狀態(tài)。 預警 啟動 封堵 保護 還原 標記調度 集中管控 多層協(xié)同 應用擴展 海量 DNS請求的安全防護機制 第 31頁 2.4 多應用擴展 - DNS安全防護（ 3） 緩存投毒保護模型： 在 DNS遞歸請求時，對于發(fā)往同一個遞歸 DNS服務器的一個請求，正常的情況只產生 1個回應包。當在 10秒內收到來自該 IP地址的多個相同事務 ID的回應包時，說明這個請求鏈路之間被緩存投毒，系統(tǒng)將實時告警，并自勱登陸緩存服務器進行數(shù)據(jù)清除。由于緩存數(shù)據(jù)清理后， DNS服務器通過遞歸重新獲取該域名的 IP列表，達到域名保護作用。 解析 DNS請求包 與回應包 否 DNS域名 緩存