城域网安全加固及流量清洗安全解决方案.pdfVIP

城域网安全加固及流量清洗安全解决方案 1 城域网网络安全分析 1.1 概述 城域网面临的安全风险非常多，从安全层次上看，主要有两个层次的安全风险。第一个 层次是网络的存活性问题，在这个层次主要是要利用城域网给用户提供可靠、安全的网络构 架，可以在 IP 网络上提供各种业务。第二个层次就是要保证给接入用户提供最好最合理的 接入体验，因为现在的互联网业务逐步的复杂化，各种业务层出不穷，通过合理的技术手段 满足不同接入用户的不同业务需求是这个层次安全解决方案的主要目的。 1.2 网络存活性问题 这个层面最主要的安全问题就是流量性攻击，最重要的流量性攻击就是 DDoS 攻击，因 为在这个层面最需要解决的问题就是 DDoS 攻击和防御，缓解城域网带宽的压力。 从运营商的角度考虑，这个层面的安全防御是最重要的，因为通过这个层次的安全防范 可以缓解运营商的带宽压力，满足基础承载的需要。传统的安全防御实际上都是由企业自身 来进行的，例如在 Internet 的连接位置放置防火墙设备，在 IDC 中心放置防火墙设备。由 于现在 DDoS攻击的流量非常大，导致了企业自身对 DDoS 的防御已经无能为力了，因为很多 DDoS 发起的流量攻击，已经会导致城域网基础网络的不安全，带宽严重占用，甚至已经堵 塞了整个的城域网的出口，因此影响的已经不是被攻击的一个用户，而是整个城域网的用户。 1.3 业务可控性问题 现在造成城域网安全问题造成的最大麻烦就是带宽和用户体验之间的矛盾，如果城域网 带宽无限大，DDoS 攻击等任何问题实际上都不会危害到城域网本身，正是由于也不能无限 制的扩展带宽，造成了 DDoS 等安全问题成为了运营商头痛的问题（为 DDoS 流量扩带宽相当 于花钱买垃圾）。从根本上说，一切针对运营商安全的解决方案都是加强对非法流量的打击、 增强用户体验、将有限的带宽用在最合理的业务上为目标的。 过去互联网上运行的业务非常少（主要以 WEB 为主），而现在已经发生了很大的变化， P2P、VOIP、蠕虫病毒、DDoS 攻击等技术使得 IP 互联网复杂化，在这样的背景下，加强运 营商对业务的控制能力就显得非常必要，因为只有这样，运营商才可以更好的管理互联网， 更能从这样的变化中获得更丰厚的利润，否则不停的扩充带宽只会为 ICP 带来更好的生存空 间，而运营商永远只是一个管道提供者。 在这个层次的问题主要涉及技术就是 DPI（深度报文检测），只有采用 DPI 技术才可以 清楚的区分 IP 互联网中的不同业务，才有可能针对不同业务采用不同的处理策略，包括资 费、带宽、控制、Qos 等。这个层面的安全要求实际上是运营商的一个长期潜在需求，是一 个随时发展的技术，精细运营方面运营商现在最迫切的需求是针对 P2P、非法 VOIP 等业务 的控制力度。 2 城域网安全加固及流量清洗解决方案的定位 华为集成安全解决方案，通过对上述两个层面的安全解决方案，给整个城域网的安全进 行了加固，可以全面的缓解城域网的安全问题。 针对城域网的安全问题提出我们的集成解决方案，包含两个层次的安全：以打击 DDos 攻击流量为主的异常流量清洗方案、以安全精品服务为重点的安全宽带方案。 上述集成解决方案包含几个技术重点：以 DDoS 防御为重点的流量清洗技术、以深度检 测技术为核心的城域网流量分析系统、对非法业务的控制手段等，华为是现阶段业界唯一一 家能提供全面的城域网安全集成方案的厂家。 3 主要功能和特点 3.1 安全主要功能 华为城域网安全加固及流量清洗解决方案，可以全面解决城域网的不同安全问题，总体 上看，解决的思路是：“对攻击流量清洗，对非法业务要控”，通过全面的技术手段对城域网 中的不安全因素进行过滤和加固，用来保证城域网的安全，通过这样一套系统可以全面的保 护城域网。 3.1.1 清洗系统 清洗系统相当于城域网的一个攻击流量的应急中心，当 DDOS 等攻击发生的时候，检测 系统自动会发现攻击行为，自动的把攻击流量牵引到清洗中心进行清洗，完全过滤掉攻击流 量使得攻击流量无法进入到城域网的内部。 3.1.2 增值安全宽带 该安全解决方案可以做为安全增值服务来提供，因为运营商只要在整个城域网层面满足 了带宽的需求，按照现在的运营模式，可以要求用户自己通过部署防火墙设备来解决企业网 自己的安全问题。而在运营网这个层次统一解决了安全问题，就相当于把过去需