NetEye网络流量分析与净化综合解决方案

NetEye网络流量分析与控制综合解决方案Copyright2009ByNeusoftCorporationAllrightsreserved看远一步，可以做的更多东软集团今天的东软安全安全总部位于北京96年进入信息安全领域从业人数近1000人在北京和沈阳分别设有软件研发中心、硬件研发中心和专业实验室。覆盖全国超过40个城市的技术服务队伍。1996199820002001200320042005200620082009未来2007NP架构NetEye系列网关产品开发了安全运维平平和流量分析系统NTARS全新一代的高性能5200系列防火墙NTPG流量清洗系统与NOKIA合作，首次将国内网络安全设备打入国际市场成立电信产品部，致力于电信行业技术研究和产品开发继续深入研究信息安全技术并应用到产品开发中，力争走在世界前列NetEyeFW3.0、IDS2.0、VPN3.0、AuditCenter作为国家计算机软件工程中心承接国家“九五”攻关项目—“具有信息分析功能的防火墙”先后推出了NetEyeFW2.0、IDS、VPN等系列安全产品在科研项目的基础上由完成产品化并投入市场NetEyeFW1.0NetEyeFW3.2、IDS2.2、VPN3.2、AP东软安全发展历程奥运信息网络安保东软集团做为国内领先的信息安全企业和国家级应急服务支撑单位，应国家要求，在奥运安保中承担了重要的任务，派出了由专业人员组成的信息安全保障小组，协助相关单位，在奥运会期间坚守岗位，并获得一致好评。奥运信息网络安保互联网正在被谁使用？NetEye流量控制方案应用场景分析典型案例参考如何让冰山浮出水面格陵兰岛，瑰丽的冰山只能勉强将其1/10体积露出墨晶般的水面在我们身边，庞大的网络资产面临着同样的“倒一九”局面，10%的网络资源支撑着90%的利润来源，而剩余的90%资源却被黑暗所吞噬黑暗中潜伏着什么……？暗流涌动泥沙俱下无论欢迎与否，互联网的流量构成只取决于使用者仅Youtube一家在2007年的视频流量就已与2000年全球Internet总流量相当DDoS在06年的单次攻击峰值为2.5Gbps，07年为24Gbps，而08年则为40GbpsBotnet在中国约有200万，数量居世界之首，约占总数的29%，但其控制端却是美国拥有最多。一台Botnet的批发价不足0.8元，而且其中有很多是成色极佳的IDC托管主机BT类应用以20%的成绩屈居亚军，这得感谢视频的异军突起—占据35%10%的互联网用户占用80%的带宽，0.5%的用户占用40%的带宽，80%的用户只使用带宽的10%……可是，谁在付费？难以把握的流量TCP：80、8080、4662、25、22、443……UDP：15000、8000、29909、6881……ICMP：Echo、EchoReply、Redirect、Dst.Unreachable……这其中，有多少我们能够认识？“认识”的流量真的是象看上去的那样吗？哪些流量是我们所欢迎的？流量的何种状态是正常的？对于不受欢迎的或者不正常的流量，该如何从网络中剔除出去？另外，上述所有问题，请放置在10/100Gbps级别的环境中再考虑一次DDoS防御DDoS可通过UDP、ICMP、TCP和CC方式产生，不仅是安全问题，更是服务质量考评指标平和的DDoS可消耗目标网络50%带宽并使应用业务完全停顿较大的DDoS攻击能够达到数十G规模，可同时淹没多个地市级运营商的出口链路甚至完全吞噬掉整个省级出口应用业务识别分清主次。用户购买/建设网络资源的目的可分为两类：一是满足其必需的关键应用访问，二是消遣类应用。但二者对客户满意度的影响是截然不同的，如客户很少会因为其BT下载不够迅猛而向客服投诉总体来看，视频、BT、P2P传输等消遣类应用占用了50%以上的网络资源，但仅为此支付了不足10%的费用如果能够把网络流量按照应用业务种类区分开来，适度控制消遣类流量对网络资源的占用比重，那么将成倍提高现网对关键应用的承载容量节约资产32%小用户消遣类应用关键应用大客户P2P、视频、BT、电影…邮件、新闻、论坛、博客…OA、邮件、Portal……员工上网日趋复杂的流量控制策略控制范围：长期以来的运维经验证明，局限在出口链路单一位置的流量控制效果是极其有限的，网络中的任何位置都应该能够成为流量控制策略的执行点控制对象：DDoS洪水、应用层协议滥用以及无节制的合法流量都要求进行约束控制力度：简单的Permit/Deny是粗暴的，系统无权擅自拒绝合同用户的网络接入，而需要根据带宽、时间、应用协议性质、成分比例、历史基线等多种数据提供自适应、智能化、弹性的控制处理控制性能：流量控制单元的性能和稳定性应与部署环境相称，链路类型依赖程度低，能够根据流量实时状态自动实现对通信会话的介入或脱离，并在网络环境扩容时充分利旧Internet流量分析行为检测特征匹配合规检查服务保证关键业务非关键业务SLA体系自适应约束指令h互联网正在被谁使用？NetEye流量控制方案应用场景分析典型案例参考NetEye流量控制方案目标定位动态过滤净化运营商/ISP园区网/IDC行业/企业网精确溯源定位数百G性能保证分层检测：DFI、DPI分级检测、逐级过滤分级防御：链路层隔离、网络层拒绝、应用层净化、

QoS管理多元监控：流量流向、流量合法性、网络设备状态、路由表变化自动响应：ICA智能调度、自适应学习翔实数据：流量流向、流量成分、流量模型、异常检测、应用识别、溯源定位运营商/ISP：高带宽、分布式、DDoS防御、流量流向、成分分析园区网/IDC：异常定位、末端隔离、DDoS、应用识别、QoS策略、入侵防御行业/企业网：流量统计、TopN、综合运管、应用净化、入侵防御NetEye流量控制技术框架分级检测：流量流向动态基线复合检测显著DDoS应用识别协议滥用超限传输分级防御：批量抛弃协议识别应用净化差别服务动态调节：流量牵引策略分发弹性控制正常流量QoS差别化服务DPI应用识别/净化DDoS应用层协议滥用DFI检测/响应/抑制批量抛弃NTARSNTPGConsole：NTARS系统：NTPG系统：NetEye方案构成概述NTARS检测处理层目标网络层NTPG净化阵列总控制台ConsoleDFIDPISNMP应用净化监控整体流量状态批量DDoS防护锁定可疑流量并剥离异常溯源定位应用业务识别入侵防御净化流量管理控制数据汇总分析策略协调分发NTARS流量检测处理NTARS(NetworkTrafficAnalyse&ResponseSystem)网络流量分析与响应系统是东软公司面向高带宽网络领域推出的流量分析与动态响应系统，不仅具备一般网络流量分析系统的仪表功能，而且更加突出异常流量分析和自动响应抑制能力NTARS关注DoS/DDoS攻击、P2P通信等网络滥用行为，可对此进行策略阻断或将其牵引至DPI环节。同时，NTARS提供流量流向、热点统计、成分分析、溯源定位、等网络运行数据NTARS保护目标不局限于如内网服务器等有形资产，更加关注以网络使用效率、服务质量保证(SLA)为代表的无形资产关注所有应该关注的本地网络：IP地址范围ASInternet边界：路由器/分组及接口AS自治域：AS的描述信息路由器：路由设备及分组网络接口及分组客户及分组：IP地址范围需要边界描述子网及分组：IP地址范围需要边界描述SNMP相关定义：设备网管IP地址SNMP团体字流量流向全面分析流量流向，内容成分：路由器接口客户子网检测规则自动报表分发：日、周、月、季、年全局、路由器、接口、客户、子网、检测规则流量流向、内容成分、性能监控、BGP基于内部鉴权机制提供多接收者的分类发送DFI、DPI分级检测检测规则：IP地址协议端口路由设备TOS/FLAGNext-hop平均帧长引用基线(总体、IP)关联响应策略应用定义：应用名称传输协议端口信息基线描述(bps、pps)：固定基线动态基线(阀值、容差、极限、延迟)DPI统计检测(bps、pps)：基于会话关系的一对多、多对一、多对多的统计检测针对IP、协议、应用、状态的自定义统计检测已知攻击特征库的检测NTPG流量净化与管理NTPG(NetworkTrafficPurifyingGateway)网络流量净化网关可对高带宽流量中夹杂的DDoS、P2P通信(如BT、Emule、MultiMedia等)提供应用识别、过滤净化以及全面的入侵防御保护，保证主导业务的安全运行NTPG阵列保护路径

传统协议，HTTP，FTP，POP3等流媒体协议，RTSP，Web视频等P2P协议，eMule，迅雷，Bittorrent等IM协议，MSN，QQ，IRC等网络电话，H.323，SIP，H.248等网络电视，PPLive，迅雷看看等网络游戏，WOW，QQGame等股票交易，招商证券，同花顺等数据库，MSSQL，MySQL等加密协议，SSH，GRE等其他，RRS阅读，IPfragment等全网流量内容统计应用定义：应用名称传输协议端口信息基线描述(bps、pps)：固定基线动态基线(阀值、容差、极限、延迟)DPI统计检测(bps、pps)：基于会话关系的一对多、多对一、多对多的统计检测针对IP、协议、应用、状态的自定义统计检测已知攻击特征库的检测减轻的攻击限流保护复合检测多种数据源ICA重点解决了以下课题：DPI检测范围局限DPI检测性能低下DFI检测深度缺陷异常检测结论片面流量控制范围局限无法追溯异常来源ICA自动抑制AS65500AS64000EBGPEBGPASD

路由注入CNTPG网关引导流量B

检测命中IBGP净化流量AS65000NetEye流量管理方案技术优势从全局角度来掌控网络的能力。NetEye不局限于某条链路或者某个会话的状态，而是把评价标准及防护策略覆盖到整个网络系统中的L2~L7层面中多层次、分布式集中部署模式。支持Console、Controller、Collector、NTPG多种产品角色，支持多级结构并提供统一流量监控服务，并提供严格的权限控制快速、高效的ROI盈利能力。用户不仅能够获得安全防护效益，更可从中得到可量化的安全增值业务收入DFI和DPI双重机制。具备DFI、DPI多重能力并由ICA驱动调节，能够保证流量分析的横向幅度和纵向深度更具实际意义的ICA©自动响应。能够自动对异常流量作出智能响应，快速缓解异常流量影响，大幅度降低管理员作业负担并提高系统防护力度任意多个检测/响应点的支持能力。能够同时对网络中多个关键位置提供检测/响应防护，在大中型网络中具备更高的性价比异常流量溯源能力。可将异常流量精确定位到地域位置/所有者、网络层路径、交换机物理端口，便于管理员进行快速的人工干预产品荣誉互联网正在被谁使用？NetEye流量控制方案应用场景分析典型案例参考多层次、分布式部署多级部署ConsoleControllerCollector权限控制机制总公司:集中监控、策略下发、审核省分公司:数据上报、分发策略地市:处理Flow、执行策略内嵌ICA技术宽幅数据采集范围:Flow,SNMP,SPAN,在多种数据源之间自动协调智能触发异常抑制指令场景一：IP承载网网络环境：电信运营商IP承载网省级出口及各地市省内骨干主要需求：流量流向分析、异常流量检测、自动响应抑制方案简述：采用“1+N”模式，通过多台设备对总出口链路及所辖各地市节点进行流量分析，构建分布式流量监控体系，并对全局所有流量数据的汇总检测与分析呈报场景二：计算资源集中区域网络环境：大型商业化IDC机构、行业客户数据中心主要需求：异常流量检测、流量流向分析、异常流量清洗过滤方案简述：采用NTPG净化网关，可根据业务应用动态调整网络服务质量，构建按需介入的DDoS防范及应用净化阵列。互联网正在被谁使用？NetEye流量控制方案主要技术指标应用场景分析典型案例参考典型案例中国移动通信研究院营口网通福建移动BOSS系统辽宁网通IP承载网辽宁铁通本溪钢铁企业网安徽电力国家互联网应急中心中国联通安徽建行天津烟草福建移动福建移动福建移动项目围绕BOSS系统展开，实施节点覆盖乌山、金山和湖东三个节点。项目以BOSS区域作为基本核心域，对整合后的内网、互联网和外网边界作为访问控制点进行安全建设；建设内容包括互联网/外网边界防病毒、内网边界访问控制、核心区域/互联网IDS、核心区域异常流量分析与响应等功能单元，并以此为基础构建BOSS安全管理中心系统，同时采购配套的安全评估及安全加固服务；本项目的工程范围主要以BOSS系统网络区域为边界，并兼顾对内网、互联网、外网之间的通信行为进行安全防护；本项目是NTARS在中移动业务支撑系统的典型案例。中移动研究院中移动研究院中移动通信研究院的NTARS部署网络完全模拟了省移动公司的CMNET出口，是一个完全的生产承载网；部署目的：为CMNET出口流量提供实时分析和自动响应功能；流量采集点：CMNET边界接入路由器(2台)、核心交换机(2台)、下联省网的边界接入路由器(1台)、虚拟省网骨干路由器(1台)；数据采集方式：NetFlowv5/v9、cFlowd、Sflow、NetStream、SPAN镜像、SNMPPolling/Trap、Syslog；本项目是NTARS在中移动生产承载网中的典型案例。国家互联网应急中心

33套NTARS系统部属于国内各省市并通过120套收集器分别监控各省移动、各省电信、各省联通等主要运营