网御星云流量管理方案为移动认证计费中心保驾护航

　　摘要：DDos/Dos等网络攻击给ISP/ICP和广大互联网用户造成了很大损失，作为移动互联网通讯服务提供者的中国移动，同样面临保护现有资产与未来基础设施建设的重任。采用科学有效的手段抵御网络异常流量，可以充分利用网络资源，进而提高客户服务质量。本文介绍了网御星云在中国移动全国认证计费中心工程中，如何实现防护异常流量的设计思路与具体措施。

　　1、背景与需求

　　中国移动全国认证计费中心前期工程实现了WLAN认证模块的单独建设，圆满地完成了服务奥运的任务。随着业务的发展，特别是为支持即将上市的TD+WLAN手机，以及为随后召开的上海世博会提供服务，对全国认证计费中心WLAN认证模块又提出了新的功能需求。

　　近年来，网络安全形势日益严峻，移动全国认证计费中心受到了前所未有的安全挑战。各种网络攻击方式层出不穷，木马、欺骗等技术是黑客手中的利器，而DOS/DDOS更是它们中的佼佼者。

　　DoS是指这样一种攻击手段：攻击者在一定时间内发送大量的服务请求来“轰炸”目的主机或其它网络设备，使其不能提供正常的服务。这种方式类似于某人通过不停拨打某个公司的电话来阻止其它电话打进，从而导致公司通信瘫痪。DDoS是DoS的进一步演化。DDoS引进了Client/Server机制，增加了分布式的概念。“分布”是指把较大的计算量或工作量分配给多个处理器或多个节点共同协作完成。DDoS攻击就是指攻击者控制大量的攻击源，使其同时向目标机发起的拒绝服务攻击。

　　2、解决方案

　　为保证移动全国认证计费中心网络的可用性，防御DOS/DDOS网络攻击，网御星云公司从全网的角度进行检测和统一的清洗防护。本期工程采用流量监测设备(Detector)+流量清洗设备(Guard)的组网方式。

　　本期工程组网结构图如下：

　　本期工程设备均在在CMNet出口2台路由器上进行部署。共部署一台网御星云Detector和两台Guard。本期工程采用Netflow比例抽样方式，由Detector设备发现DDoS攻击。Guard设备与Detector设备联动。在发生攻击时，Guard将到达所需保护的IP地址段(如DNS、Radius、大客户等)的流量进行牵引，清洗后再回注入路由器。本期工程共提供8G的流量清洗能力。

　　Leadsec-Guard通过网御星云独创的智能防护算法，对攻击行为进行分析和自学习，动态形成攻击特征库，可有效区分攻击流量和正常流量，防护SYN flood、UDP flood、ICMP flood等二十多种攻击，保证正常流量不受影响;Leadsec-Guard自学习异常流量过滤器采用了以下几种技术：

　　特征识别：网御星云攻防实验室长期积累攻击和攻击工具的特征，形成攻击特征库，可直接过滤网络上流行的多种攻击。

　　身份鉴别：在通信过程中，加入验证的过程，验证源地址和连接的有效性，防止伪造源地址和连接的攻击，并支持黑名单、白名单和灰名单。

　　动态过滤：支持简单包过滤、状态包过滤和动态包过滤，可以分别选用，根据源地址、目的地址、源端口、目的端口、协议进行访问控制，禁止不必要的访问。

　　智能防护：网御星云独创的智能防护算法，区别于传统的统计丢包算法，通过自学习，对一段时间内的通信进行分析，通过对多个上下文数据包的分析，区分正常流量和攻击流量，然后过滤绝大部分的攻击流量，正常流量不受影响。对UDP flood和ICMP flood有较好的防护效果，如可有效防护针对聊天服务器和视频的UDP flood攻击。

　　协议分析：检查通信过程是否符合TCP/IP协议的完整性。并对HTTP、DNS、P2P等协议进行深度分析，支持对SYN/SYN ACK/ACK flood攻击、HTTP get flood攻击、DNS query flood攻击、cc攻击的防护，支持BT、Emule等P2P协议的识别、阻断和限制。

　　连接限制：支持对IP/子网的并发连接和新建连接限制，可根据源地址、目的地址、源端口、目的端口、协议限制并发连接总数和新建连接速率限制，新建连接速率限制分为保护主机、保护服务、限制主机、限制服务四种。从连接数的角度对网络资源进行合理配置，可防止大规模攻击和蠕虫扩散的发生。并支持防扫描功能：TCP端口扫描、UDP端口扫描和ping sweep。

　　流量控制：完全硬件实现的流控，支持最大带宽、保证带宽、优先级，从带宽的角度对网络资源进行合理分配。

　　3、实施效果

　　通过部署异常流量监测系统，用户在遭受到网络攻击时，通过流量流向分析系统，可以有效的分析出攻击来源地址、攻击目的地址、网络攻击的类型等信息。通过过滤系统和分析系统的联动，具备了自动部署防范/封堵措施的手段，从而及时有效的对网络攻击进行处理。

　　从设备日志分析，当受到来自外部互联网的恶意攻击时，计费中心各业务系统仍然能正常工作，对外响应速度也未受影响。同时，计费中心的网络出口均保持了通畅，在受到大规模DDOS攻击时，攻击流量将被自动过滤掉，而正常的通信访问则能够继续进行，没有因DDOS攻击而出现通信受阻的情况，从而充分保障了计费中心网络中各种业务的顺利进行。

　　4、特色描述

　　总结本方案，具有如下特点：

　　抗攻击能力强。本次提供8Gbps攻击流量的防御，充分满足计费中心的业务需求。

　　系统高可用。设备采用双冗余电源、两台Guard设备采用双机互备。且Guard内置bypass功能。全方位冗余设计，可充分保证业务高可用性。

　　可扩展性强。本次工程提供8Gbps的清洗能力，需要扩容的时候，Guard可以通过集群的方式，最大能支持到640Gbps的清洗能力。

　　部署简单。旁路单臂部署，不改变现有网络拓扑结构。对现网应用影响较小。

　　安全性高。设备均采用https加密方式进行配置管理，Guard与Detector之间数据传输通过SSH协议实现。充分保证管理安全性。

　　网御星云公司在信息安全领域拥有众多核心技术，先后申请发明专利近40项，软件著作权近30项。主营业务涵盖网络边界安全防护、应用与数据安全防护、全网安全风险管理等方面。主要产品包括防火墙、UTM、IPSec VPN、防病毒网关、IPS、SSL VPN安全接入网关、web应用安全防护系统、安全数据交换、IDS、异常流量管理、流量优化网关、安全审计、安全管理共计13大类500余款产品，其中包括网络安全旗舰产品金刚万兆安全网关和应用安全旗舰产品SSL VPN，是国内信息安全产品线最为丰富的企业。