互联网数据中心(IDC)是基于Internet网络,为集中式收集、存储、处理和发送数据的设备提供运行维护的设施以及相关的服务体系。IDC提供的主要业务包括主机托管(机位、机架、VIP机房出租)、资源出租(如虚拟主机业务、数据存储服务)、系统维护(系统配置、数据备份、故障排除服务)、管理服务(如带宽管理、流量分析、负载均衡、入侵检测、系统漏洞诊断),以及其他支撑、运行服务等。

近年来,随着DDoS攻击、IDC主机感染僵尸程序、内部蠕虫传播以及IDC网站篡改等此起彼伏的IDC安全事件的出现,IDC业务客户对于安全能力愈加重视,监管部门对于IDC的安全防护体系建设也提出了明确的技术和管理要求。如何保证IDC安全运营,有效抵御各种攻击、及时发现并拦截恶意行为、降低风险损失,同时满足合规性要求,是运营商需要考虑解决的问题。

“僵木蠕”威胁是城域网中流窜最多的威胁之一,对用户及运营商的危害最大。但是由于僵尸、木马的技术发展非常快,其行为非常隐蔽,常规的IDS、防火墙等安全设备根本无法发现这些威胁。同时,运营商城域网有别于常规企业的局域网,其流量非常巨大,远远超过了常规安全设备能够承载的流量。

总体来看,运营商对于城域网僵木蠕等病毒的监测流量接入需求主要包括如下几项:1) 高速数据链路的接口转换;2) 特征流量的数据过滤;3) “僵木蠕”的检测。

方案概述

中创腾锐针对运营商城域网僵木蠕监测流量接入提供“外置”和“内置”两种解决方案,可根据需求灵活选择相关方案。

内置解决方案”-DPI采集卡   “外置解决方案”- DPI流量过滤
   
DPI智能卡内置解决方案   iDirector流量过滤方案

本方案通过iDirector 9000L系列高性能网络汇聚交换机对运营商的核心城域网100G分光链路进行速率转换,并通过五元组进行流量的动态/静态负载均衡,保证同源同宿的基础上分为多个万兆链路输出。

iDirector9000L网络汇聚交换机分流出来的10G链路直接连接内置iDapter智能DPI网卡,通过iDapter智能网卡对原始数据流量进行DPI(Deep Packet Inspection)解析,过滤掉通常不含有“僵木蠕”的很多音视频流量,iDapter智能网卡将剩余的原始流量通过PCIe总线送给“僵木蠕”的检测服务器。

由“僵木蠕”检测服务器对相关的原始流量进行流量检测。

 

本方案通过iDirector 9000L系列高性能网络汇聚交换机对运营商的核心城域网100G分光链路进行速率转换,并通过五元组进行流量的动态/静态负载均衡,保证同源同宿的基础上分为多个万兆链路输出。

iDirector9000L网络汇聚交换机分流出来的多条10G链路直接连接到iDirector7000系列网络汇聚分流交换机,通过iDirector7000系列网络汇聚分流交换机对原始数据流量进行DPI(Deep Packet Inspection)流量过滤,过滤掉通常不含有“僵木蠕”的很多音视频流量,iDirector7000汇聚分流交换机将剩余的原始流量通过10G/GE接口送给“僵木蠕”的检测服务器。

由“僵木蠕”检测服务器对相关的原始流量进行流量检测。

 

业务功能模块

内置解决方案   外置解决方案
   

1.会话管理

会话管理包括IP分片重组、TCP维护和会话管理几大模块。

会话管理主要管理发生在基于某种通信协议的应用各方之间的完整生命周期内的一系列动作和消息的交互过程,维护会话的创建(create)、结束(kill)、老化(aging)和更新(update)行为,系统按应用层五元组维护整个会话过程。对于TCP报文,还需对报文流程状态进行跟踪,对乱序、重传报文进行规整。

流管理模块以流为单位维护业务识别分析逻辑,负责与DPI引擎的交互,按照不同的条件将报文提交识别分析引擎处理。

2.识别分析

识别分析引擎完成对数据报文的深度解析,通过查找匹配关键字信息,结合会话分析,将报文归属于既定组和类型。协议识别引擎包括端口识别引擎、标签识别引擎、模式识别引擎等模块,同时还有用于提取的内容提取引擎,用于测量的内容测量引擎,用于url过滤的url过滤引擎等。

系统提供对互联网(含移动互联网)原始报文进行业务分类和识别的能力。原理上,业务识别是基于DPI软件引擎,通过业务规则库导入的方式实现的。同时,业务识别率和识别准确性可以通过更新业务规则库得到不断地提升,以适应层出不穷的互联网应用。

3.报文转发

1)指定协议报文的转发

通过命令行或配置可指定转发某些协议的全量报文,例如:可指定HTTP报文的全量转出。流量经协议识别确认后直接进行转发。

2)指定用户报文的转发

基于用户的七元组进行全力报文的转发。

3)指定应用报文的转发

通过命令行或配置可指定转发某些应用的全量报文,例如:可指定OTT业务报文的全量转出。流量经DPI识别确认后直接进行转发。

4.OAM管理

1)命令行控制台

用于管理、配置系统运行的基本参数和转发配置,查看系统状态和相关统计信息。

2)自维护告警

以告警方式上报设备的运行状态,如端口状态、处理能力超过性能规格等。

 

1.IPv4/IPv6 六元组过滤分流

支持输入面板接口+ IPv4/IPv6 五元组(源IP+目的IP+源端口+目的端口+协议)规则匹配,匹配后的策略可以是转发、丢弃或负载均衡等。

系统共支持8 组IPv4 和IPv6 规则集,每组规则集最大2048 条规则,每个面板接口最大只能配置一组IPv4 和一组IPv6 规则集。

2.按照VLANID 分流

支持原始包的VLAN ID 规则匹配,匹配后的策略可以是转发、丢弃或负载均衡等。规则集同IPv4,每组规则最大可配1024 条规则。

3.基于DPI过滤

iDirector可以对数据包的净荷部份内容进行深度分析,识别各种应用层协议的流量,从而执行基于应用流量的灵活导向,精确定制输出接口的流量类型,从而满足各类分析和监测设备的协议分析、数据挖掘、安全监控等需求。

   

3.报文转发

1)指定协议报文的转发

通过命令行或配置可指定转发某些协议的全量报文,例如:可指定HTTP报文的全量转出。流量经协议识别确认后直接进行转发。

2)指定用户报文的转发

基于用户的七元组进行全力报文的转发。

3)指定应用报文的转发

通过命令行或配置可指定转发某些应用的全量报文,例如:可指定OTT业务报文的全量转出。流量经DPI识别确认后直接进行转发。

4.OAM管理

1)命令行控制台

用于管理、配置系统运行的基本参数和转发配置,查看系统状态和相关统计信息。

2)自维护告警

以告警方式上报设备的运行状态,如端口状态、处理能力超过性能规格等。

 

部署方案

方案一   方案二
   

内置iDapter 320提升通用服务器的处理性能,减少通用服务器的配置数量。采用此方案的优势如下:

1.不改变现有方案拓扑

2.高性能一体机-内置DPI智能网卡

3.统一管理

4.减少通用服务器数量

5.性价比高

 

通过iDirector智能DPI流量过滤器去掉无效流量,减少业务分析系统的硬件数量,降低部署成本,提高处理效率。采用此方案的优势如下:

1.现有“僵木蠕”检测服务器无须任何改动

2.方案部署灵活

3.减少通用服务器数量

4.性价比高

 

应用场景

典型应用场景(一)   典型应用场景(二)
   

 

iDapter 320为半高卡,不需要主动散热,也不需要额外的电源输入,可以方便插入到各种标准服务器平台中。
 

 

iDirector系列智能DPI流量过滤器为标准1U设备,可基于个性化的过滤策略对网络数据流量进行去冗分类、去粗取精,降低部署成本,提高处理效率。
产品技术     |     解决方案      |     技术支持      |     渠道政策      |      法律声明      |     人才招聘      |     联系我们
公司地址:北京市海淀区宝盛南路1号奥北科技园20号楼207-208
Copyright © 2018 北京中创腾锐技术有限公司 保留一切权利      京ICP备18008119号-1