中兴SBC设备黑白灰名单功能优化[精选].pptVIP

谢 谢 谢 谢 中兴SBC设备功能优化福建公司 主要内容 解决思路 课题成果 后续工作 课题背景 课题背景 SBC作为IMS网络中的边缘层接入设备，需要承担安全防火墙的角色，避免非法用户进行注册呼叫。 黑白灰名单是中兴SBC的核心技术之一，以有效保证SBC在IMS商用环境中不会因为终端雪崩、承载网抖动造成SBC设备重启，以有效的保护了核心网不受攻击。 CM-IMS商用网络发现中兴黑白灰名单功能导致正常用户IP业务受限，造成用户大规模投诉，中兴黑白名单功能存在功能缺陷。 典型案例 故障描述： 2011年9月17日15：05宁德监狱集团客户反应IMS固话全部号码无法正常呼入、呼出，并且在外部拨打的时候提示“号码尚未登录”。 处理过程： 9月17日15:05，查询IPPBX、IMS核心网及业务平台设备运行均正常，在IMS核心网及SBC侧进行消息跟踪均未收到接入设备侧发送的注册消息，因此初步分析判断为接入设备或CMNET承载网方面问题。 9月17日15：15，接入设备侧再次查看判断均无问题，为全面保障业务，先行将宁德监狱号码全部转移至莆田的SBC进行注册，经测试，注册全部成功，监狱所有号码业务恢复正常。 9月18日11:43，客户再次反馈其所有号码无法正常使用。 9月18日11：50，在SBC进行信令抓包分析，最终发现SBC收到了大量注册消息，但未转发IMS核心网，也未回复接入设备，问题故障点在SBC上。 典型案例 协调中兴厂家进行SBC侧问题定位，发现中兴SBC将用户IP列入了黑名单中。为全面保障用户业务，根据中兴研发建议，启动应急处理流程，在SBC上手动建立IP信任关系：将该点的源IP地址加入到信任域静态白名单中。随后通过一段时间观察，宁德监狱IPPBX下的所有用户业务正常。 为何SBC将用户正常IP纳入黑名单？ 为全面确认分析此次故障原因，再次组织SBC侧和接入设备侧进行全面消息抓包分析，后经全面分析，确认此次故障是由于IPPBX下挂大量SIP用户，且来自于同一IP同一端口，并且发包速率过快，导致SBC将其认为是泛洪攻击，从而将攻击源IP屏蔽，加入到黑名单所致。 原因分析及初步结论： 9月18日12：00，为全面保障业务，再次将宁德监狱号码全部转移至宁德的SBC进行注册，经测试，注册全部成功，监狱所有号码业务恢复正常。 解决思路 结合我省实际故障，全面梳理中兴SBC工作机制及接入设备工作原理，从四个方面制定预防解决措施，全面保障IMS网络和业务安全畅通。 中兴SBC黑白灰名单功能优化改进 中兴SBC实现NAT被动方式功能 预 防 措 施 接入设备注册策略规范配置 中兴SBC的OPTION检测功能关闭 课题成果——（一）黑白灰名单功能优化改进 中兴SBC黑白灰名单的概念 SBC黑白灰模块通过源地址源端口来作为名单的关键信息标识，用于对来源于某个IP地址+端口的报文进行流量控制，从而通过对报文的接收控制，达到实现系统的安全。 术语 含义 黑名单 黑名单用于标识被阻塞的用户，SBC将丢弃来自黑名单源的数据报文，SBC认为在黑名单中的用户源是非法攻击源。 灰名单 灰名单用于标识用户尚未经过认证等，尚未能被确认为可信的源。SBC可以接收灰名单源的数据，但限速相对较低。 白名单 白名单用户经过了认证或授权，SBC认为其是可信的源，SBC可以以较高速率接收来自该源的数据报文。 课题成果——（一）黑白灰名单功能优化改进 中兴SBC黑白灰名单实现基本原理 1、灰名单过程 SBC接收数据后，如果在黑白灰名单中没有，则生成对应的灰名单，并按照灰名单默认的消息速率和行为进行控制。协议上如果用户认证完成，则下发刷新灰名单的动作，将灰名单转换为白名单，此条目的属性为用户所在组的属性配置，速率等。 2、黑名单过程 黑名单阻塞特定源发送的数据流。黑名单由上层协议生成或灰名单超速或配置生成。黑名单生成时产生了日志。非法用户注册泛洪时下发黑名单，合法用户注册刷新或者呼叫长时过于频繁时下发黑名单。是否有协议报文检查，出错次数过多，下发黑名单。 课题成果——（一）黑白灰名单功能优化改进 中兴SBC黑白灰名单实现基本原理 3、白名单过程 白灰名单内用户，高于最大速率限制，则丢弃消息使消息速率不大于承诺提交速率，并转换为灰名单，根据配置亦可转换为黑名单。 课题成果——（一）黑白灰名单功能优化改进 SBC黑白灰名单工作过程 收到用户的数据包后（以源IP＋端口做为标识），此时系统会检查此用户是否在黑白灰名单中，如果在黑名单中，则阻塞用户流量；如果在白名单中并且流量未超过阀值，则流量通过，如果流量超阀