返回
旁路安全平台引回流技术剖析

旁路安全平台引回流技术剖析

ID:31368522

大小:111.50 KB

页数:8页

时间:2019-01-09

旁路安全平台引回流技术剖析_第1页
旁路安全平台引回流技术剖析_第2页
旁路安全平台引回流技术剖析_第3页
旁路安全平台引回流技术剖析_第4页
旁路安全平台引回流技术剖析_第5页
资源描述:

《旁路安全平台引回流技术剖析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、旁路安全平台引回流技术剖析  摘要:随着互联网DDOS安全问题的日益突出,运营商以城域网为载体的安全清洗服务受到欢迎。由于传统串接模式存在较多弊端,运营商希望构架集中部署的旁路安全平台,但旁路对引回流技术要求很高实现困难。本文详细介绍了一种特定策略组合的引回流方案,综合BGP、路由表多实例、PBR等技术,具备实施成本低、自动化程度高且易于实现的特点,为运营商构建安全平台提供了很好的技术思路。  关键词:DDOS;引回流;PBR;多实例化  中图分类号:TP393文献标识码:A文章编号:1009-3044(2016)24-0251-03  分布

2、式拒绝服务型攻击(DistributedDenialofServices,简称DDoS攻击)、应用层攻击、渗透和入侵、病毒等是目前互联网中存在的最常见、危害性最大的攻击形式。网络攻击不但会给各类互联网用户和服务提供商带来业务中断、系统瘫痪、企业机密外泄等严重后果,攻击也严重威胁到电信运营商基础设施的安全,造成网络拥塞,使客户服务质量下降。  近年来,随着互联网应用的不断增加,各类网络攻击事件的频发,用户对互联网安全开始逐渐重视,面向互联网产品提供安全防护业务的需求与日俱增。据市场研究公司Gartner最新发表的研究报告称,2013年全球基于云

3、的安全服务市场规模已达到21亿美元,预计到2016年将增长到42亿美元。8  主流DDOS攻击特征为大流量的带宽冲击,黑客调用的攻击流量甚至高达几百Gbps/s,对此企业网自身防护能力有限,需要依托于电信运营商骨干网、城域网的超大网络吞吐能力,给政企用户提供DDOS流量的封堵、清洗服务。  本文以上海电信旁路安全平台为例,剖析城域网安全平台集中部署中最关键引回流技术的实现。  1安全平台部署模式分析  1.1传统串接模式的弊端  传统部署模式在政企专线中串接专用的DDOS清洗设备或者防火墙等设备,对于企业网的内外部流量进行流特征分析、速率限制

4、、端口限制、异常报文控制等管控策略,以实现内部安全防护功能。由于串接设备无法清洗上层攻击流量,接入带宽仍会产生拥塞并影响使用,因此该类模式较适用于安全边界的内容风险管控,但不适用于DDOS大流量攻击防护。  对运营商构建安全产品而言,串接模式同样弊端较多:  1)单点故障由于防护设备串接在电信设备和客户设备之间的链路上,增加了故障点,如果防护设备出现故障,则会影响客户业务  2)成本高昂由于防护设备串接在客户链路中,因此只能为单个客户使用,不具备扩展性,造成部署成本高昂  3)升级平滑性差一旦安全设备无法满足用户新需求,需要新增、替换设备或者

5、版本变更,则需要大量用户端设备割接,对用户影响大。  1.2上海电信旁路安全平台介绍8  业界主流思路是运营商以城域网或者骨干网为单位部署统一的旁路安全平台,覆盖本地网所有Internet用户,集中提供流量分析、安全预警、黑洞路由封堵、DDOS流量清洗等安全服务,用户共享安全池能力。  旁路模式基于城域网核心层提供大带宽流量清洗能力,建设成本低,管理维护方便,易于后期能力扩充和功能延伸。平时客户流量并不经过该平台,待有攻击时再通过引流的方式将客户流量引入防护平台,清洗完成后再通过回流方式将客户流量导回至客户网络,完成整个清洗过程。  上海电信

6、旁路安全平台利用BGP引流、PBR回流模式搭建的DDOS防护平台。在管理维护上实现了网管统一开通、统一配置、统一维护的界面管理,并针对客户需求开发了客户自服务、黑洞路由API接口等创新功能。  如图1所示,目前上海电信DDOS防护平台共部署三台Cisco7609设备,定义为引流路由器角色。下挂C公司Guard和A公司TMS防护设备。每台7609分别通过4条10GE链路与4台上海电信城域网核心出口路由器相连。  清洗系统总能力达到96G,后续基于该平台可以持续扩容。  2引回流技术介绍  旁路模式关键就是用户入流量的引回流技术,作用为将攻击用户

7、的异常流量引导到旁路平台,完成安全清洗后重新送回到用户侧。  2.1基于BGP的引流技术  引流一般是采用BGP路由的方式,由防护平台广播/32的引流路由给核心路由器,将流量引导至防护平台。  如图2所示,安全平台中CISCO87609路由器作为引流路由器,与城域网核心路由器之间建立EBGP邻居关系,一旦被防护用户被DDOS流量攻击需要开启防护功能,首先通过netflow流分析系统定位用户被攻击IP地址,由引流路由器向核心路由器发布一条/32的被攻击地址路由信息,核心路由器会同时学习到用户正常的专线路由和该/32引导路由,基于明细路由原则将攻

8、击流量从核心路由器侧引导到安全平台。  由于DDOS攻击流量大部分来自于城域网外部,因此核心路由器为引回流的主要实施点,为避免下联汇聚层、业务层设备受/32路由影响

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。