企業安全大討論之保護企業的網絡流量

DDoS攻擊是近年來導致網絡癱瘓和斷網事件的主要罪魁禍首，甚至在百度貼吧上還存在“流量吧”，經常有人在上面交易“DDoS木馬”，企圖控制網絡流量。

高端網絡的精髓

中國移動通信集團公司某工作人員說，在如今P2P、IM盛行的時代，對於局域網的流量管理、抑制、監測、溯源可謂八字箴言;而對於骨干網絡流量的管理，其精髓在於監測和溯源。

而如何追本溯源、應對和管理網絡異常流量呢?該內部人士介紹，對於異常流量管理這場遭遇戰，可以說在電信行業早已打響，這可以追溯到2004年前後。經過近5年的發展，攻防的招術也幾經變化，對於我們來說，從最初的串接式設備，諸如防火牆、DDoS過濾器;到網絡設備管理手段，如ACL列表、手動調整QoS流量整形策略，都不能很好的對網絡流量以及異常流量進行抑制、監測和溯源。

實際上，高端網絡和用戶經常關注的普通企業網絡，在安全方面有很大區別，決不能照葫蘆畫瓢。東軟網絡安全產品營銷中心副總經理李青山說，用戶通常所談到的高端網絡，主要是指運營商業務承載類網絡和行業客戶骨干鏈路系統。當然，隨著業務系統的逐年擴大，部分企業網絡系統也越來越多的體現出高端網絡的特征，包括電信運營商圍繞承載網而建設的支撐類網絡也逐步加入到高端網絡陣營。

由於高端網絡最根本的運維要點在於，如何向接入用戶網絡提供滿足要求的服務質量承諾，尤其是帶寬和響應延遲指標。但是，接入用戶網絡是作為一個完全的網絡對等體出現的，高端網絡無法確定該部分網絡區域究竟需要什麼樣的訪問控制策略，因此在接入鏈路近端(高端網絡側)無法設置訪問控制點。

而另一方面，傳統的安全建設都是在遠端的接入網絡內部進行的，通常由接入單位出資建設並管理。其根本宗旨也僅局限於如何保障該接入網絡不受來自其他網絡的攻擊，而從未考慮過。

如何防范該接入端網絡侵害高端網絡所連接的其他網絡部分，這就導致了接入用戶網絡除了發起正常業務流量之外，各類桌面系統也同時發出大量隨機流量，如僅用作個人通信的P2P流量、易感蠕蟲病毒的傳播流量、吞噬帶寬的BT類文件傳輸流量等，這些流量通常與接入用戶網絡應用業務無關。

在這種情況下，接入用戶網絡發出的網絡流量圖式是非常不確定的。高端網絡難以獲知哪些流量是正常流量、哪些流量是不受歡迎的垃圾流量。

至此，我們也就明白了高端網絡運營維護時，需要應對的主要安全問題：那就是，當接入用戶網絡鏈路充斥著大量垃圾流量的時候，高端網絡的交換能力將受到直接挑戰，這種情況對接入客戶比較關注的正常業務服務質量將造成嚴重影響。而DDoS等攻擊行為更在這一基礎上雪上加霜，最終導致了斷網和服務癱瘓的問題。

安全管理+網絡管理

由於高端網絡強調的是向接入用戶網絡提供高度穩定的網絡帶寬可用性，在高端網絡區域邊界點上進行訪問控制設備、流量限制設備部署(如防火牆、流量管理設備)將直接造成兩個負面影響：一是人為增加了單一故障點，二是把高端網絡整體穩定性直接拉低為防火牆或者DDoS過濾器等設備本身的穩定性。因此，在高端網絡上部署串聯式控制設備顯然是非常不明智的，

為保證高端網絡有限的帶寬資源能夠被合理使用，高端網絡運維人員迫切需要一種旁路式的流量檢測分析系統來提供較為直觀的帶寬占用情況監控能力。

不過需要注意的是，現有很多旁路監測系統根本無法滿足高端網絡的流量分析需求，如IDS系統無法提供高速鏈路流量實時分析處理能力和網絡管理維護概念，網絡管理系統缺乏應用層分析能力和異常行為檢測能力等，都不能滿足實際的應用需求。

如果我們關注目前在該領域已經獲得一定經驗的廠商，像國外的Arbor Networks、國內的東軟等企業的相關解決方案就會看到，對於高端網絡的防護運維監控，用戶在選擇時的重點，除了要注意大流量時的處理性能，與此同時，還應該注意系統能夠將流量分析、應用檢測、行為判定等特征與網絡運行管理傳統功能高度關聯。

從安全管理與網絡管理兩個層面雙管齊下，以全局性的骨干網絡運行維護視角為實現大范圍的用戶服務質量保證提供基礎支撐。這有這樣，才能找到高端網絡安全防護真正的解決之道。