|
||||
近年來,隨著DDOS攻擊導致斷網癱瘓的事件不斷發生,相應的,對於如何防護高端網絡,維護網絡的正常流量也成為很多用戶關心的話題。
實際上,高端網絡和我們經常關注的普通企業網絡,在安全方面有很大區別,決不能照葫蘆畫瓢。我們通常所談到的高端網絡,主要是指運營商業務承載類網絡和行業客戶骨乾鏈路系統。當然,隨著業務系統的逐年擴大,部分企業網絡系統也越來越多的體現出高端網絡的特征,包括電信運營商圍繞承載網而建設的支橕類網絡也逐步加入到高端網絡陣營。由於高端網絡最根本的運維要點在於,如何向接入用戶網絡提供滿足要求的服務質量承諾,尤其是帶寬和響應延遲指標。但是,接入用戶網絡是作為一個完全的網絡對等體出現的,高端網絡無法確定該部分網絡區域究竟需要什麼樣的訪問控制策略,因此在接入鏈路近端(高端網絡側)無法設置訪問控制點。
而另一方面,傳統的安全建設都是在遠端的接入網絡內部進行的,通常由接入單位出資建設並管理。其根本宗旨也僅局限於如何保障該接入網絡不受來自其他網絡的攻擊,而從未考慮過(也無義務考慮)如何防范該接入端網絡侵害高端網絡所連接的其他網絡部分,這就導致了接入用戶網絡除了發起正常業務流量之外,各類桌面系統也同時發出大量隨機流量,如僅用作個人通信的P2P流量、易感蠕蟲病毒的傳播流量、吞噬帶寬的BT類文件傳輸流量等,這些流量通常與接入用戶網絡應用業務無關。在這種情況下,接入用戶網絡發出的網絡流量圖式是非常不確定的。高端網絡難以獲知哪些流量是正常流量、哪些流量是不受歡迎的垃圾流量。
到此,我們也就明白了高端網絡運營維護時,需要應對的主要安全問題:那就是,當接入用戶網絡鏈路充斥著大量垃圾流量的時候,高端網絡的交換能力將受到直接挑戰,這種情況對接入客戶比較關注的正常業務服務質量將造成嚴重影響。而DDOS等攻擊行為更在這一基礎上雪上加霜,最終導致了斷網和服務癱瘓的問題。
那麼應對的方式是什麼呢?由於高端網絡強調的是向接入用戶網絡提供高度穩定的網絡帶寬可用性,在高端網絡區域邊界點上進行訪問控制設備、流量限制設備部署(如防火牆、流量管理設備)將直接造成兩個負面影響:一是人為增加了單一故障點,二是把高端網絡整體穩定性直接拉低為防火牆或者DDoS過濾器等設備本身的穩定性。因此,在高端網絡上部署串聯式控制設備顯然是非常不明智的,為保證高端網絡有限的帶寬資源能夠被合理使用,高端網絡運維人員迫切需要一種旁路式的流量檢測分析系統來提供較為直觀的帶寬佔用情況監控能力。
不過需要注意的是,現有很多旁路監測系統根本無法滿足高端網絡的流量分析需求,如IDS系統無法提供高速鏈路流量實時分析處理能力和網絡管理維護概念,網絡管理系統缺乏應用層分析能力和異常行為檢測能力等,都不能滿足實際的應用需求。
如果我們關注目前在該領域已經獲得一定經驗的廠商,像國外的Arbor Networks、國內的東軟等企業的相關解決方案就會看到,對於高端網絡的防護運維監控,用戶在選擇時的重點,除了要注意大流量時的處理性能,與此同時,還應該注意系統能夠將流量分析、應用檢測、行為判定等特征與網絡運行管理傳統功能高度關聯,從安全管理與網絡管理兩個層面多管齊下,以全局性的骨乾網絡運行維護視角為實現大范圍的用戶服務質量保證提供基礎支橕。這有這樣,纔能找到高端網絡安全防護真正的解決之道。