背景介绍
随着互联网的全面繁荣,特别是行业信息化应用的深入,对信息安全建设的需求愈发强烈。信息安全正从过去的“有病乱投医”,逐渐向清晰务实的行业应用转变,无论硬件、软件、信息安全服务还是用户的应用,都开始脚踏实地、稳步前进。作为中国网络安全的领导厂商,东软一直致力于为用户提供高可靠性的网络安全技术、产品及完善的服务。2006年东软安全针对运维网络提出了新的关注课题——带宽资产管理,面对新的课题,东软安全又是如何思考,NetEye产品能否适用于用户高端网络的需求,并成为用户首选的高端管理类产品,也成为行业中关注的焦点。
在很多行业中,信息中心职能部门管理着诸如网络设备、服务器、存储系统等有形资产。而当出现蠕虫泛滥、垃圾邮件等安全问题的时候,事实上受害的不仅仅是这些有形资产,而是在更大程度上威胁到以带宽资源为代表的无形资产。东软认为,对带宽这种无形资产的管理已经成为构成网络运维工作最为关键的内容,带宽资源如何被使用、被谁使用、处于何等状态、出现异常问题时应如何解决,这些均对现有的安全技术提出了挑战。
网络运维的新课题
目前高端网络运维人员日常工作的重点已不再局限在观测设备的运行状态、检查设备配置文件层面,而是把更多精力放在满足客户对服务质量的直观感受上。如,运维商几乎每天都会处理到客户关于光纤专线速度慢,网络受到DoS/DDoS攻击,与业务无关的带宽资源被占用等问题的投诉,这往往与运维部门所掌握的监测数据存在较大出入。此类问题的症结主要来源于三个方面:第一、视角不同,客户相信其所看到的,而运维人员相信其所做到的;第二、关注点不同,客户最关心的是服务质量,运营商则更关注承载网络设备的平稳运行与维护;第三、权责范围不同,客户有权得到符合合同要求的服务质量,而运维人员则必须在己方范围内独立实现该承诺却无法对客户网络提出额外要求。因此,对运营商来说根本的矛盾则是带宽的永远不够用——接入用户的数量在不断增加,用户使用带宽的能力也在不断增加(IM、网游、IP语音、P2P都在大幅度增加普通接入客户占有带宽的能力),但是运营商的承载网络的能力并没有按照这样的乘积关系发展。
随着中国宽带用户的持续增加,运营商骨干网络中的流量正变得日益复杂,网络流量的非线性增长也给骨干网络造成空前压力。同时,DoS/DDoS攻击、大规模爆发的蠕虫病毒以及充斥网络的垃圾邮件也是运营商面对的长期挑战。如何对不同类型的网络流量进行实时监测、深度分析,在掌握“第一手”资料的基础上对带宽进行科学管理,保证正常业务的健康、持续运行,这种需求正在被国内大型客户所关注,并形成安全产业中新的热点。
可以看到,带宽不足的问题已经悄悄跨越了一个历史性的拐点,将成为长期性的难题。对运营商来说,除了持续提高带宽承载能力以外,另外一个关键的任务就是要具备带宽的管理和保证能力。因此应该有一种手段,能够把运维重点从硬性资产转移到软性资产上,并在现有网络资源的基础上,提高客户最终可得的服务质量,同时,运维人员应该具备对客户的不同应用进行区别服务的能力,保障客户关键应用的优先处理。可以说作为服务于所有人的高端网络,在现阶段中最鲜明的服务质量标志就是可用带宽,因此这也成为网络运维工作的新课题。
传统安全设备的局限性
由于目前众多的监控审计系统采用了根据已知的攻击特征行为来确定安全问题的方法,无法对未知攻击方式或者异常访问行为进行识别和检测,因此传统的安全设备在网络应用日益复杂的大环境下产生了明显的局限性。
第一,传统的带宽控制系统的局限性。带宽控制系统通常针对某一具体节点/网段进行工作,工作前提是通信实体身份和应用业务类型是事前可确定的,因此并不适合骨干链路的部署。另外带宽控制系统执行的是管理员预设的策略,无法根据链路实时流量分布进行动态调整,同时带宽控制系统难以提供与高端网络相适应的处理能力和端口类型,作为主要面向stub网段应用的带宽控制系统,无法提供足够的稳定性。
第二,串联式过滤系统的局限性。DDoS过滤系统,防火墙是此类设备的代表。作为高运算设备,过滤系统具备对流量分布动态识别能力,但同时也失去了高端网络应有的高吞吐能力。串联式过滤系统一般无法提供高端网络常用的OC-192 POS和万兆GE端口,高运算量意味着较高的故障率,串联式过滤系统将严重降低高端网络原有的稳定性。除了常见的传输层异常流量以外,过滤系统难以对应用层行为进行判断识别和有效控制。
第三,并联式检测系统的局限性。如IDS,依赖于交换机端口镜像功能,成功回避了对端口类型的苛刻要求,但是10G以上带宽无法通过万兆—>GE端口镜像完成IDS的流量提取,另外,一一对应的端口镜像方式,极大限制了IDS的监控范围,同时,IDS过分依赖于特征匹配的检测方式无法对10G以上带宽进行实时监测,其全文检测的工作模式使系统本身成为检测瓶颈,难以适应高端网络不断涌现的系统扩展趋势,更重要的是,IDS缺乏有效的反向响应机制。
1
2
下一页>>
