NetEye網(wǎng)絡(luò)流量分析與凈化綜合解決方案

NetEye網(wǎng)絡(luò)流量分析與控制綜合解決方案Copyright2009ByNeusoftCorporationAllrightsreserved看遠(yuǎn)一步，可以做的更多東軟集團(tuán)今天的東軟安全安全總部位于北京96年進(jìn)入信息安全領(lǐng)域從業(yè)人數(shù)近1000人在北京和沈陽分別設(shè)有軟件研發(fā)中心、硬件研發(fā)中心和專業(yè)實驗室。覆蓋全國超過40個城市的技術(shù)服務(wù)隊伍。1996199820002001200320042005200620082009未來2007NP架構(gòu)NetEye系列網(wǎng)關(guān)產(chǎn)品開發(fā)了安全運維平平和流量分析系統(tǒng)NTARS全新一代的高性能5200系列防火墻NTPG流量清洗系統(tǒng)與NOKIA合作，首次將國內(nèi)網(wǎng)絡(luò)安全設(shè)備打入國際市場成立電信產(chǎn)品部，致力于電信行業(yè)技術(shù)研究和產(chǎn)品開發(fā)繼續(xù)深入研究信息安全技術(shù)并應(yīng)用到產(chǎn)品開發(fā)中，力爭走在世界前列NetEyeFW3.0、IDS2.0、VPN3.0、AuditCenter作為國家計算機(jī)軟件工程中心承接國家“九五”攻關(guān)項目—“具有信息分析功能的防火墻”先后推出了NetEyeFW2.0、IDS、VPN等系列安全產(chǎn)品在科研項目的基礎(chǔ)上由完成產(chǎn)品化并投入市場NetEyeFW1.0NetEyeFW3.2、IDS2.2、VPN3.2、AP東軟安全發(fā)展歷程奧運信息網(wǎng)絡(luò)安保東軟集團(tuán)做為國內(nèi)領(lǐng)先的信息安全企業(yè)和國家級應(yīng)急服務(wù)支撐單位，應(yīng)國家要求，在奧運安保中承擔(dān)了重要的任務(wù)，派出了由專業(yè)人員組成的信息安全保障小組，協(xié)助相關(guān)單位，在奧運會期間堅守崗位，并獲得一致好評。奧運信息網(wǎng)絡(luò)安?；ヂ?lián)網(wǎng)正在被誰使用？NetEye流量控制方案應(yīng)用場景分析典型案例參考如何讓冰山浮出水面格陵蘭島，瑰麗的冰山只能勉強(qiáng)將其1/10體積露出墨晶般的水面在我們身邊，龐大的網(wǎng)絡(luò)資產(chǎn)面臨著同樣的“倒一九”局面，10%的網(wǎng)絡(luò)資源支撐著90%的利潤來源，而剩余的90%資源卻被黑暗所吞噬黑暗中潛伏著什么……？暗流涌動泥沙俱下無論歡迎與否，互聯(lián)網(wǎng)的流量構(gòu)成只取決于使用者僅Youtube一家在2007年的視頻流量就已與2000年全球Internet總流量相當(dāng)DDoS在06年的單次攻擊峰值為2.5Gbps，07年為24Gbps，而08年則為40GbpsBotnet在中國約有200萬，數(shù)量居世界之首，約占總數(shù)的29%，但其控制端卻是美國擁有最多。一臺Botnet的批發(fā)價不足0.8元，而且其中有很多是成色極佳的IDC托管主機(jī)BT類應(yīng)用以20%的成績屈居亞軍，這得感謝視頻的異軍突起—占據(jù)35%10%的互聯(lián)網(wǎng)用戶占用80%的帶寬，0.5%的用戶占用40%的帶寬，80%的用戶只使用帶寬的10%……可是，誰在付費？難以把握的流量TCP：80、8080、4662、25、22、443……UDP：15000、8000、29909、6881……ICMP：Echo、EchoReply、Redirect、Dst.Unreachable……這其中，有多少我們能夠認(rèn)識？“認(rèn)識”的流量真的是象看上去的那樣嗎？哪些流量是我們所歡迎的？流量的何種狀態(tài)是正常的？對于不受歡迎的或者不正常的流量，該如何從網(wǎng)絡(luò)中剔除出去？另外，上述所有問題，請放置在10/100Gbps級別的環(huán)境中再考慮一次DDoS防御DDoS可通過UDP、ICMP、TCP和CC方式產(chǎn)生，不僅是安全問題，更是服務(wù)質(zhì)量考評指標(biāo)平和的DDoS可消耗目標(biāo)網(wǎng)絡(luò)50%帶寬并使應(yīng)用業(yè)務(wù)完全停頓較大的DDoS攻擊能夠達(dá)到數(shù)十G規(guī)模，可同時淹沒多個地市級運營商的出口鏈路甚至完全吞噬掉整個省級出口應(yīng)用業(yè)務(wù)識別分清主次。用戶購買/建設(shè)網(wǎng)絡(luò)資源的目的可分為兩類：一是滿足其必需的關(guān)鍵應(yīng)用訪問，二是消遣類應(yīng)用。但二者對客戶滿意度的影響是截然不同的，如客戶很少會因為其BT下載不夠迅猛而向客服投訴總體來看，視頻、BT、P2P傳輸?shù)认差悜?yīng)用占用了50%以上的網(wǎng)絡(luò)資源，但僅為此支付了不足10%的費用如果能夠把網(wǎng)絡(luò)流量按照應(yīng)用業(yè)務(wù)種類區(qū)分開來，適度控制消遣類流量對網(wǎng)絡(luò)資源的占用比重，那么將成倍提高現(xiàn)網(wǎng)對關(guān)鍵應(yīng)用的承載容量節(jié)約資產(chǎn)32%小用戶消遣類應(yīng)用關(guān)鍵應(yīng)用大客戶P2P、視頻、BT、電影…郵件、新聞、論壇、博客…OA、郵件、Portal……員工上網(wǎng)日趨復(fù)雜的流量控制策略控制范圍：長期以來的運維經(jīng)驗證明，局限在出口鏈路單一位置的流量控制效果是極其有限的，網(wǎng)絡(luò)中的任何位置都應(yīng)該能夠成為流量控制策略的執(zhí)行點控制對象：DDoS洪水、應(yīng)用層協(xié)議濫用以及無節(jié)制的合法流量都要求進(jìn)行約束控制力度：簡單的Permit/Deny是粗暴的，系統(tǒng)無權(quán)擅自拒絕合同用戶的網(wǎng)絡(luò)接入，而需要根據(jù)帶寬、時間、應(yīng)用協(xié)議性質(zhì)、成分比例、歷史基線等多種數(shù)據(jù)提供自適應(yīng)、智能化、彈性的控制處理控制性能：流量控制單元的性能和穩(wěn)定性應(yīng)與部署環(huán)境相稱，鏈路類型依賴程度低，能夠根據(jù)流量實時狀態(tài)自動實現(xiàn)對通信會話的介入或脫離，并在網(wǎng)絡(luò)環(huán)境擴(kuò)容時充分利舊Internet流量分析行為檢測特征匹配合規(guī)檢查服務(wù)保證關(guān)鍵業(yè)務(wù)非關(guān)鍵業(yè)務(wù)SLA體系自適應(yīng)約束指令h互聯(lián)網(wǎng)正在被誰使用？NetEye流量控制方案應(yīng)用場景分析典型案例參考NetEye流量控制方案目標(biāo)定位動態(tài)過濾凈化運營商/ISP園區(qū)網(wǎng)/IDC行業(yè)/企業(yè)網(wǎng)精確溯源定位數(shù)百G性能保證分層檢測：DFI、DPI分級檢測、逐級過濾分級防御：鏈路層隔離、網(wǎng)絡(luò)層拒絕、應(yīng)用層凈化、

QoS管理多元監(jiān)控：流量流向、流量合法性、網(wǎng)絡(luò)設(shè)備狀態(tài)、路由表變化自動響應(yīng)：ICA智能調(diào)度、自適應(yīng)學(xué)習(xí)翔實數(shù)據(jù)：流量流向、流量成分、流量模型、異常檢測、應(yīng)用識別、溯源定位運營商/ISP：高帶寬、分布式、DDoS防御、流量流向、成分分析園區(qū)網(wǎng)/IDC：異常定位、末端隔離、DDoS、應(yīng)用識別、QoS策略、入侵防御行業(yè)/企業(yè)網(wǎng)：流量統(tǒng)計、TopN、綜合運管、應(yīng)用凈化、入侵防御NetEye流量控制技術(shù)框架分級檢測：流量流向動態(tài)基線復(fù)合檢測顯著DDoS應(yīng)用識別協(xié)議濫用超限傳輸分級防御：批量拋棄協(xié)議識別應(yīng)用凈化差別服務(wù)動態(tài)調(diào)節(jié)：流量牽引策略分發(fā)彈性控制正常流量QoS差別化服務(wù)DPI應(yīng)用識別/凈化DDoS應(yīng)用層協(xié)議濫用DFI檢測/響應(yīng)/抑制批量拋棄NTARSNTPGConsole：NTARS系統(tǒng)：NTPG系統(tǒng)：NetEye方案構(gòu)成概述NTARS檢測處理層目標(biāo)網(wǎng)絡(luò)層NTPG凈化陣列總控制臺ConsoleDFIDPISNMP應(yīng)用凈化監(jiān)控整體流量狀態(tài)批量DDoS防護(hù)鎖定可疑流量并剝離異常溯源定位應(yīng)用業(yè)務(wù)識別入侵防御凈化流量管理控制數(shù)據(jù)匯總分析策略協(xié)調(diào)分發(fā)NTARS流量檢測處理NTARS(NetworkTrafficAnalyse&ResponseSystem)網(wǎng)絡(luò)流量分析與響應(yīng)系統(tǒng)是東軟公司面向高帶寬網(wǎng)絡(luò)領(lǐng)域推出的流量分析與動態(tài)響應(yīng)系統(tǒng)，不僅具備一般網(wǎng)絡(luò)流量分析系統(tǒng)的儀表功能，而且更加突出異常流量分析和自動響應(yīng)抑制能力NTARS關(guān)注DoS/DDoS攻擊、P2P通信等網(wǎng)絡(luò)濫用行為，可對此進(jìn)行策略阻斷或?qū)⑵錉恳罝PI環(huán)節(jié)。同時，NTARS提供流量流向、熱點統(tǒng)計、成分分析、溯源定位、等網(wǎng)絡(luò)運行數(shù)據(jù)NTARS保護(hù)目標(biāo)不局限于如內(nèi)網(wǎng)服務(wù)器等有形資產(chǎn)，更加關(guān)注以網(wǎng)絡(luò)使用效率、服務(wù)質(zhì)量保證(SLA)為代表的無形資產(chǎn)關(guān)注所有應(yīng)該關(guān)注的本地網(wǎng)絡(luò)：IP地址范圍ASInternet邊界：路由器/分組及接口AS自治域：AS的描述信息路由器：路由設(shè)備及分組網(wǎng)絡(luò)接口及分組客戶及分組：IP地址范圍需要邊界描述子網(wǎng)及分組：IP地址范圍需要邊界描述SNMP相關(guān)定義：設(shè)備網(wǎng)管IP地址SNMP團(tuán)體字流量流向全面分析流量流向，內(nèi)容成分：路由器接口客戶子網(wǎng)檢測規(guī)則自動報表分發(fā)：日、周、月、季、年全局、路由器、接口、客戶、子網(wǎng)、檢測規(guī)則流量流向、內(nèi)容成分、性能監(jiān)控、BGP基于內(nèi)部鑒權(quán)機(jī)制提供多接收者的分類發(fā)送DFI、DPI分級檢測檢測規(guī)則：IP地址協(xié)議端口路由設(shè)備TOS/FLAGNext-hop平均幀長引用基線(總體、IP)關(guān)聯(lián)響應(yīng)策略應(yīng)用定義：應(yīng)用名稱傳輸協(xié)議端口信息基線描述(bps、pps)：固定基線動態(tài)基線(閥值、容差、極限、延遲)DPI統(tǒng)計檢測(bps、pps)：基于會話關(guān)系的一對多、多對一、多對多的統(tǒng)計檢測針對IP、協(xié)議、應(yīng)用、狀態(tài)的自定義統(tǒng)計檢測已知攻擊特征庫的檢測NTPG流量凈化與管理NTPG(NetworkTrafficPurifyingGateway)網(wǎng)絡(luò)流量凈化網(wǎng)關(guān)可對高帶寬流量中夾雜的DDoS、P2P通信(如BT、Emule、MultiMedia等)提供應(yīng)用識別、過濾凈化以及全面的入侵防御保護(hù)，保證主導(dǎo)業(yè)務(wù)的安全運行NTPG陣列保護(hù)路徑

傳統(tǒng)協(xié)議，HTTP，F(xiàn)TP，POP3等流媒體協(xié)議，RTSP，Web視頻等P2P協(xié)議，eMule，迅雷，Bittorrent等IM協(xié)議，MSN，QQ，IRC等網(wǎng)絡(luò)電話，H.323，SIP，H.248等網(wǎng)絡(luò)電視，PPLive，迅雷看看等網(wǎng)絡(luò)游戲，WOW，QQGame等股票交易，招商證券，同花順等數(shù)據(jù)庫，MSSQL，MySQL等加密協(xié)議，SSH，GRE等其他，RRS閱讀，IPfragment等全網(wǎng)流量內(nèi)容統(tǒng)計應(yīng)用定義：應(yīng)用名稱傳輸協(xié)議端口信息基線描述(bps、pps)：固定基線動態(tài)基線(閥值、容差、極限、延遲)DPI統(tǒng)計檢測(bps、pps)：基于會話關(guān)系的一對多、多對一、多對多的統(tǒng)計檢測針對IP、協(xié)議、應(yīng)用、狀態(tài)的自定義統(tǒng)計檢測已知攻擊特征庫的檢測減輕的攻擊限流保護(hù)復(fù)合檢測多種數(shù)據(jù)源ICA重點解決了以下課題：DPI檢測范圍局限D(zhuǎn)PI檢測性能低下DFI檢測深度缺陷異常檢測結(jié)論片面流量控制范圍局限無法追溯異常來源ICA自動抑制AS65500AS64000EBGPEBGPASD

路由注入CNTPG網(wǎng)關(guān)引導(dǎo)流量B

檢測命中IBGP凈化流量AS65000NetEye流量管理方案技術(shù)優(yōu)勢從全局角度來掌控網(wǎng)絡(luò)的能力。NetEye不局限于某條鏈路或者某個會話的狀態(tài)，而是把評價標(biāo)準(zhǔn)及防護(hù)策略覆蓋到整個網(wǎng)絡(luò)系統(tǒng)中的L2~L7層面中多層次、分布式集中部署模式。支持Console、Controller、Collector、NTPG多種產(chǎn)品角色，支持多級結(jié)構(gòu)并提供統(tǒng)一流量監(jiān)控服務(wù)，并提供嚴(yán)格的權(quán)限控制快速、高效的ROI盈利能力。用戶不僅能夠獲得安全防護(hù)效益，更可從中得到可量化的安全增值業(yè)務(wù)收入DFI和DPI雙重機(jī)制。具備DFI、DPI多重能力并由ICA驅(qū)動調(diào)節(jié)，能夠保證流量分析的橫向幅度和縱向深度更具實際意義的ICA?自動響應(yīng)。能夠自動對異常流量作出智能響應(yīng)，快速緩解異常流量影響，大幅度降低管理員作業(yè)負(fù)擔(dān)并提高系統(tǒng)防護(hù)力度任意多個檢測/響應(yīng)點的支持能力。能夠同時對網(wǎng)絡(luò)中多個關(guān)鍵位置提供檢測/響應(yīng)防護(hù)，在大中型網(wǎng)絡(luò)中具備更高的性價比異常流量溯源能力?？蓪惓Ａ髁烤_定位到地域位置/所有者、網(wǎng)絡(luò)層路徑、交換機(jī)物理端口，便于管理員進(jìn)行快速的人工干預(yù)產(chǎn)品榮譽(yù)互聯(lián)網(wǎng)正在被誰使用？NetEye流量控制方案應(yīng)用場景分析典型案例參考多層次、分布式部署多級部署ConsoleControllerCollector權(quán)限控制機(jī)制總公司:集中監(jiān)控、策略下發(fā)、審核省分公司:數(shù)據(jù)上報、分發(fā)策略地市:處理Flow、執(zhí)行策略內(nèi)嵌ICA技術(shù)寬幅數(shù)據(jù)采集范圍:Flow,SNMP,SPAN,在多種數(shù)據(jù)源之間自動協(xié)調(diào)智能觸發(fā)異常抑制指令場景一：IP承載網(wǎng)網(wǎng)絡(luò)環(huán)境：電信運營商IP承載網(wǎng)省級出口及各地市省內(nèi)骨干主要需求：流量流向分析、異常流量檢測、自動響應(yīng)抑制方案簡述：采用“1+N”模式，通過多臺設(shè)備對總出口鏈路及所轄各地市節(jié)點進(jìn)行流量分析，構(gòu)建分布式流量監(jiān)控體系，并對全局所有流量數(shù)據(jù)的匯總檢測與分析呈報場景二：計算資源集中區(qū)域網(wǎng)絡(luò)環(huán)境：大型商業(yè)化IDC機(jī)構(gòu)、行業(yè)客戶數(shù)據(jù)中心主要需求：異常流量檢測、流量流向分析、異常流量清洗過濾方案簡述：采用NTPG凈化網(wǎng)關(guān)，可根據(jù)業(yè)務(wù)應(yīng)用動態(tài)調(diào)整網(wǎng)絡(luò)服務(wù)質(zhì)量，構(gòu)建按需介入的DDoS防范及應(yīng)用凈化陣列。互聯(lián)網(wǎng)正在被誰使用？NetEye流量控制方案主要技術(shù)指標(biāo)應(yīng)用場景分析典型案例參考典型案例中國移動通信研究院營口網(wǎng)通福建移動BOSS系統(tǒng)遼寧網(wǎng)通IP承載網(wǎng)遼寧鐵通本溪鋼鐵企業(yè)網(wǎng)安徽電力國家互聯(lián)網(wǎng)應(yīng)急中心中國聯(lián)通安徽建行天津煙草福建移動福建移動福建移動項目圍繞BOSS系統(tǒng)展開，實施節(jié)點覆蓋烏山、金山和湖東三個節(jié)點。項目以BOSS區(qū)域作為基本核心域，對整合后的內(nèi)網(wǎng)、互聯(lián)網(wǎng)和外網(wǎng)邊界作為訪問控制點進(jìn)行安全建設(shè)；建設(shè)內(nèi)容包括互聯(lián)網(wǎng)/外網(wǎng)邊界防病毒、內(nèi)網(wǎng)邊界訪問控制、核心區(qū)域/互聯(lián)網(wǎng)IDS、核心區(qū)域異常流量分析與響應(yīng)等功能單元，并以此為基礎(chǔ)構(gòu)建BOSS安全管理中心系統(tǒng)，同時采購配套的安全評估及安全加固服務(wù)；本項目的工程范圍主要以BOSS系統(tǒng)網(wǎng)絡(luò)區(qū)域為邊界，并兼顧對內(nèi)網(wǎng)、互聯(lián)網(wǎng)、外網(wǎng)之間的通信行為進(jìn)行安全防護(hù)；本項目是NTARS在中移動業(yè)務(wù)支撐系統(tǒng)的典型案例。中移動研究院中移動研究院中移動通信研究院的NTARS部署網(wǎng)絡(luò)完全模擬了省移動公司的CMNET出口，是一個完全的生產(chǎn)承載網(wǎng)；部署目的：為CMNET出口流量提供實時分析和自動響應(yīng)功能；流量采集點：CMNET邊界接入路由器(2臺)、核心交換機(jī)(2臺)、下聯(lián)省網(wǎng)的邊界接入路由器(1臺)、虛擬省網(wǎng)骨干路由器(1臺)；數(shù)據(jù)采集方式：NetFlowv5/v9、cFlowd、Sflow、NetStream、SPAN鏡像、SNMPPolling/Trap、Syslog；本項目是NTARS在中移動生產(chǎn)承載網(wǎng)中的典型案例。國家互聯(lián)網(wǎng)應(yīng)急中心

33套NTARS系統(tǒng)部屬于國內(nèi)各省市并通過120套收集器分別監(jiān)控各省移動、各省電信、各省聯(lián)通等主要運營