互联网骨干直联点安全方案探讨.PDF

系统与方案 Systems Solutions 互联网骨干直联点安全方案探讨 吴一波 汤林超 中讯邮电咨询设计院 郑州 450007 摘　要 互联网骨干直联点建设提高了国内多家互联单位的互访质量，惠及每一位网民，也随之带来更多的网络安 全问题。文章从网络监管、攻击防护和流量监控多层次提出直联点的整体安全解决方案，针对各系统提出具体的功 能要求和技术实现方式，其中网络监管实现工信部对于骨干直联点的信息监管和安全责任判定，攻击防护和流量监 控系统过滤和控制了网络中大多数的不良信息，上述方案在多个直联点建设中实际进行了功能模块和设备的部署。 实际成果表明，文中提出的安全解决方案实施简单、防护效率较高、投资较节省、对互联网骨干直联点起到有效防 护作用。 关键词 互联网直联点；网络安全；流量监控；DDoS攻击；流量识别 带战略。 1 骨干互联网直联点网络安全背景分析 1.2 骨干直联点安全需求 国家互联网骨干直联点的增多 对网间信息安全提 1.1 骨干互联网直联点引入背景 ， 出了更高的要求 主要体现在以下3点 近年来，我国互联网高速发展，与国民经济发展和 ， 。 人民生产生活的关系日益密切。同时互联网新业务的不 1) 对网间监管提 出更高的要求。从 国家利益出 发 工信部应对骨干网直联点进行安全监管 在发生安 断涌现使得用户对互联网网络质量的要求也越来越高。 ， ， 然而长期以来，我国的互联网网间互联一直保持着以北 全事件时可以进行事件的定位、溯源和责任判定。 2) 随着互联节点增多 需配套建设DDoS攻击防御 京、上海和广州3个骨干直联点为主，北上广3大交换 ， 中心为辅的格局，存在较大的安全隐患；同时受网间互 系统。直联点建设为DDoS攻击提供了更多的通路，需 联架构和带宽的影响 互通质量问题也比较突出 针对 要在各新建节点配套建设DDoS的防御系统，防止DDoS ， 。 日益严峻的互联互通问题，工信部多次研讨解决办法， 攻击导致电信运营商业务中断，网间访问质量下降。 制定了 西增东扩 多层次 立体化 网间互联架构 3 ) 需进一步对网间流量进行分析和监控 ，降低 “ 、 、 ” 优化调整总体方案和新增骨干直联点实施方案，以及相 P2P、VoIP等流量占用大量资源。P2P流量占用大量网 应的管理办法，并于20 13年组织完成了新增国家级骨 络资源，但对运营商业务并不产生收益，需要对P2P流 量进行抑制 使带宽优先保证浏览类流量的转发 另外 干直联点的申报评审工作 包括成都 武汉 西安 沈 ， 。 ， 、 、 、 阳 南京 重庆 郑州在内的7个城市获批成为新的国 大量VoIP业务存在监管不严，对运营商业务也有一定的 、 、 、 [1] 影响 骨干网直联点应具备抑制这类业务的技术手段 家