DDoS攻击是近年来导致网络瘫痪和断网事件的主要罪魁祸首 , 甚至在百度贴吧上还存在“流量吧” , 经常有人在上面交易“DDoS木马” , 企图控制网络流量 。
高端网络的精髓
中国移动通信集团公司某工作人员说 , 在如今P2P、IM盛行的时代 , 对于局域网的流量管理、抑制、监测、溯源可谓八字箴言;而对于骨干网络流量的管理 , 其精髓在于监测和溯源 。
而如何追本溯源、应对和管理网络异常流量呢?该内部人士介绍 , 对于异常流量管理这场遭遇战 , 可以说在电信行业早已打响 , 这可以追溯到2004年前后 。经过近5年的发展 , 攻防的招术也几经变化 , 对于我们来说 , 从最初的串接式设备 , 诸如防火墙、DDoS过滤器;到网络设备管理手段 , 如ACL列表、手动调整QoS流量整形策略 , 都不能很好的对网络流量以及异常流量进行抑制、监测和溯源 。
实际上 , 高端网络和用户经常关注的普通企业网络 , 在安全方面有很大区别 , 决不能照葫芦画瓢 。东软网络安全产品营销中心副总经理李青山说 , 用户通常所谈到的高端网络 , 主要是指运营商业务承载类网络和行业客户骨干链路系统 。当然 , 随着业务系统的逐年扩大 , 部分企业网络系统也越来越多的体现出高端网络的特征 , 包括电信运营商围绕承载网而建设的支撑类网络也逐步加入到高端网络阵营 。
由于高端网络最根本的运维要点在于 , 如何向接入用户网络提供满足要求的服务质量承诺 , 尤其是带宽和响应延迟指标 。但是 , 接入用户网络是作为一个完全的网络对等体出现的 , 高端网络无法确定该部分网络区域究竟需要什么样的访问控制策略 , 因此在接入链路近端(高端网络侧)无法设置访问控制点 。
【企业安全大讨论之保护企业的网络流量】而另一方面 , 传统的安全建设都是在远端的接入网络内部进行的 , 通常由接入单位出资建设并管理 。其根本宗旨也仅局限于如何保障该接入网络不受来自其他网络的攻击 , 而从未考虑过 。
如何防范该接入端网络侵害高端网络所连接的其他网络部分 , 这就导致了接入用户网络除了发起正常业务流量之外 , 各类桌面系统也同时发出大量随机流量 , 如仅用作个人通信的P2P流量、易感蠕虫病毒的传播流量、吞噬带宽的BT类文件传输流量等 , 这些流量通常与接入用户网络应用业务无关 。
在这种情况下 , 接入用户网络发出的网络流量图式是非常不确定的 。高端网络难以获知哪些流量是正常流量、哪些流量是不受欢迎的垃圾流量 。
至此 , 我们也就明白了高端网络运营维护时 , 需要应对的主要安全问题:那就是 , 当接入用户网络链路充斥着大量垃圾流量的时候 , 高端网络的交换能力将受到直接挑战 , 这种情况对接入客户比较关注的正常业务服务质量将造成严重影响 。而DDoS等攻击行为更在这一基础上雪上加霜 , 最终导致了断网和服务瘫痪的问题 。
安全管理 网络管理
由于高端网络强调的是向接入用户网络提供高度稳定的网络带宽可用性 , 在高端网络区域边界点上进行访问控制设备、流量限制设备部署(如防火墙、流量管理设备)将直接造成两个负面影响:一是人为增加了单一故障点 , 二是把高端网络整体稳定性直接拉低为防火墙或者DDoS过滤器等设备本身的稳定性 。因此 , 在高端网络上部署串联式控制设备显然是非常不明智的 ,
为保证高端网络有限的带宽资源能够被合理使用 , 高端网络运维人员迫切需要一种旁路式的流量检测分析系统来提供较为直观的带宽占用情况监控能力 。
推荐阅读
- 云安全的七大技术核心
- 打开U盘时防病毒最安全的方法
- 宿舍消防安全注意事项
- 华为手机安全模式怎么退出?
- 乘客不系安全带怎么处罚
- 氦气罐放家里安全吗
- 属于消防安全重点单位的文物建筑应当确定
- 微信出现安全验证不了详细解决步骤
- 安全生产的六大支撑体系是指什么
- 外地企业在本地经营怎么交税