联想网御异常流量管理系统-产品培训PPT0617

产品优势 －－分布式异常流量关联分析 －－分布式异常流量关联分析
Leadsec-Detector基于标准的 基于标准的Netflow技术，采用分布 技术， 基于标准的 技术 式采集、分散式处理和集中管理机制， 式采集、分散式处理和集中管理机制，通过基线检 测和异常行为检测算法， 测和异常行为检测算法，实时地进行全网关联的流 量分析。 量分析。
Leadsec-Guard技术简介 技术简介
特征识别：联想网御攻防实验室长期积累攻击和攻击工 联想网御攻防实验室长期积累攻击和攻击工 具的特征，形成攻击特征库， 具的特征，形成攻击特征库，可直接过滤网络上流行的 多种攻击。 多种攻击。 身份鉴别：在通信过程中，加入验证的过程，验证源地 在通信过程中，加入验证的过程， 在通信过程中 址和连接的有效性，防止伪造源地址和连接的攻击， 址和连接的有效性，防止伪造源地址和连接的攻击，并 支持黑名单、白名单和灰名单。 支持黑名单、白名单和灰名单。 动态过滤：支持简单包过滤、状态包过滤和动态包过滤， 支持简单包过滤、状态包过滤和动态包过滤， 支持简单包过滤 可以分别选用，根据源地址、目的地址、源端口、 可以分别选用，根据源地址、目的地址、源端口、目的 端口、协议进行访问控制，禁止不必要的访问。 端口、协议进行访问控制，禁止不必要的访问。
3. 识别恶意流 4. 转发合法流
Target
Non-targeted servers
产品组成示意图
异常流量管理过程
1) 由“异常流量分析系统”实时的对全网流量进行监测； 异常流量分析系统”实时的对全网流量进行监测； 2) “异常流量分析系统”一旦发现异常流量事件，准确的 异常流量分析系统”一旦发现异常流量事件， 异常流量分析系统 对该异常流量进行定位，用户可选择使用“ 对该异常流量进行定位，用户可选择使用“异常流量过滤 系统”进行过滤； 系统”进行过滤； 3) “异常流量分析系统”触发“异常流量过滤系统”的保 异常流量分析系统” 异常流量分析系统 触发“异常流量过滤系统” 护机制； 护机制； 4) “异常流量过滤系统”根据预先设定保护机制，向目标 异常流量过滤系统”根据预先设定保护机制， 异常流量过滤系统 路由器发送流量转移路由策略，将该“异常流量” 路由器发送流量转移路由策略，将该“异常流量”引至 异常流量过滤系统”之中； “异常流量过滤系统”之中； 5) “异常流量过滤系统”智能对引入的流量进行分析与识 异常流量过滤系统” 异常流量过滤系统 智能过滤所有攻击或病毒流量； 别，智能过滤所有攻击或病毒流量； 6) 过滤后的“干净”流量从“异常流量过滤系统”出来， 过滤后的“干净”流量从“异常流量过滤系统”出来， 继续对目标网络进行正常访问。 继续对目标网络进行正常访问。
产品优势 －－网络资源精确分配与管理 －－网络资源精确分配与管理
Leadsec-Guard通过状态检测、连接数管理和硬件流 通过状态检测、 通过状态检测 量控制，从带宽和连接数等多个纬度， 量控制，从带宽和连接数等多个纬度，精准实现对 网络资源的合理分配和对异常流量的有效控制。 网络资源的合理分配和对异常流量的有效控制。
2. 3.
旁路模式关键技术介绍
异常流量牵引
异常流量分析设备向目标路由器发送流量 转移路由策略，将该“异常流量”引至异 转移路由策略，将该“异常流量” 常流量过滤设备之中
旁路模式关键技术介绍
异常流量过滤
异常流量过滤设备对引入的流量进行分析 与识别， 与识别，智能过滤所有攻击或病毒流量
旁路模式关键技术介绍
异常流量管理系统解决什么问题
解决流量主要是异常流量的可视性问题， 解决流量主要是异常流量的可视性问题， 使得用户了解到网络中发生了什么异常 解决流量主要是异常流量的可控性问题， 解决流量主要是异常流量的可控性问题， 使得用户可以采取措施减缓异常流量对网 络的影响
异常流量管理部署的两种方式
透明接入 传统的部署方式， 传统的部署方式，异常流量过滤设备串联 到网络中， 到网络中，对流经的流量进行检查和过滤 旁路部署 异常流量分析设备和异常流量过滤设备旁 路接入到网络中， 路接入到网络中，通过协同工作完成异常 流量的分析和过滤
产品组成
Leadsec-Detector：包括一到多个硬件采集器 ： ），采用分布 （Agent）和一个中心服务器（Server），采用分布 ）和一个中心服务器（ ）， 式处理方式，完成网络流量数据采集、流量分析和 式处理方式，完成网络流量数据采集、 异常流量牵引等处理。Leadsec-Detector在异常流量 异常流量牵引等处理。 在异常流量 管理统中可作为异常流量分析模块， 管理统中可作为异常流量分析模块，也可以单独使 用。 Leadsec-Guard：采用网络处理器架构的高性能硬件 ： 平台，完成DDOS攻击过滤、P2P识别与控制和异常 攻击过滤、 平台，完成 攻击过滤 识别与控制和异常 流量限速等处理。 流量限速等处理。Leadsec-Guard在异常流量管理系 在异常流量管理系 统中可作为异常流量过滤模块，也可以单独使用。 统中可作为异常流量过滤模块，也可以单独使用。
网御异常流量过滤设备Leadsec网御异常流量过滤设备 Guard
Leadsec-Guard特点 特点
整机4G的处理能力，具备 的大流量DDOS攻击防护能力 整机 的处理能力，具备2.5G的大流量 的处理能力 的大流量 攻击防护能力 独创的智能防护抗DDoS攻击算法，具备精确打击能力 攻击算法， 独创的智能防护抗 攻击算法 更强的防御适应能力， 更强的防御适应能力，全面支持各种攻击变种 更多的控制手段，全面的过滤、封堵、 更多的控制手段，全面的过滤、封堵、限速和干扰能力 机动灵活的部署能力，先进的攻击报警系统 机动灵活的部署能力， 高可靠性， 高可靠性，电信级软硬件可靠性设计
异常流量回注
过滤后的“干净”流量从“ 过滤后的“干净”流量从“智能流量过滤 系统”出来，继续对目标网络进行正常访 系统”出来， 问。
异常流量牵引示意图
BGP announcement
2. 转移特定的攻击流 1.ห้องสมุดไป่ตู้探查
Target Non-targeted servers
异常流量牵引示意图
Traffic destined to the target Legitimate traffic to target
二. 联想网御异常流量管理系统
系统包含包括异常流量分析(Leadsec-Detector)和异常流 和异常流 系统包含包括异常流量分析 量过滤(Leadsec -Guard)两个模块。 两个模块。 量过滤 两个模块 Leadsec－Detector可对不同网络节点的流量进行实时关 － 可对不同网络节点的流量进行实时关 联分析，在定位异常流量发源地后通知Leadsec -Guard， 联分析，在定位异常流量发源地后通知 ， Leadsec -Guard对异常流量完成牵引和过滤，系统通过 对异常流量完成牵引和过滤， 对异常流量完成牵引和过滤 Leadsec -Detector和Leadsec -Guard的协同工作，完成 的协同工作， 和 的协同工作 全网的流量分析、异常流量牵引、 攻击过滤、 全网的流量分析、异常流量牵引、DDOS攻击过滤、 攻击过滤 P2P识别与控制、异常流量带宽限制等处理，帮助用户 识别与控制、 识别与控制 异常流量带宽限制等处理， 实时地了解网络运行状况， 实时地了解网络运行状况，及时地发现网络中出现的问 题并自动对异常行为做出响应，从而快速消除异常流量 题并自动对异常行为做出响应， 造成的危害。 造成的危害。
旁路模式关键技术介绍
异常流量分析
1. 异常流量分析设备旁路接到路由器上，路由器开启Netflow 异常流量分析设备旁路接到路由器上，路由器开启Netflow 功能，对流量进行采样，并发送到异常流量分析设备。 功能，对流量进行采样，并发送到异常流量分析设备。这 个过程中流量的路径没有任何改变； 个过程中流量的路径没有任何改变； 由异常流量分析设备实时的对全网流量进行监测； 由异常流量分析设备实时的对全网流量进行监测； 异常流量分析设备一旦发现异常流量事件， 异常流量分析设备一旦发现异常流量事件，准确的对该异 常流量进行定位，并可使用异常流量过滤设备进行过滤。 常流量进行定位，并可使用异常流量过滤设备进行过滤。
采用IBM超级网络处理器 超级网络处理器 采用 PowerNP4GS3
Leadsec－Guard体系结构 － 体系结构
管理员计算机
存储器
CPU
管理接口电路
控制管理模块
控制接口电路
网络安全处理模块
控制接口电路
其它协 处理器
网络处理器
存储模块
网络接口模块
数据报文 网络
数据报文 网络设备
自学习异常流量过滤器
Leadsec-Guard技术简介 技术简介
协议分析：检查通信过程是否符合TCP/IP协议的完 检查通信过程是否符合TCP/IP协议的完 检查通信过程是否符合TCP/IP 整性。并对HTTP DNS、P2P等协议进行深度分析 HTTP、 等协议进行深度分析， 整性。并对HTTP、DNS、P2P等协议进行深度分析，
产品优势 －－2.5G大流量攻击防御能力 大流量攻击防御能力 －－
Leadsec-Guard采用国际上领先的 采用国际上领先的IBM NP4GS3网络 采用国际上领先的 网络 处理器，同时驱动32个硬件微引擎并行工作 个硬件微引擎并行工作， 处理器，同时驱动 个硬件微引擎并行工作，通过 自主创新的并行处理算法，可抵御300万pps的SYN 自主创新的并行处理算法，可抵御 万 的 flood攻击，大流量攻击下的新建连接成功率和原连 攻击， 攻击 接保持率显著高于同类产品， 接保持率显著高于同类产品，是目前唯一一款单机 可防御2.5G大流量 大流量DDOS攻击的设备。 攻击的设备。 可防御 大流量 攻击的设备
产品优势 －－自学习异常流量过滤器 －－自学习异常流量过滤器
Leadsec-Guard通过联想网御独创的智能防护算法， 通过联想网御独创的智能防护算法， 通过联想网御独创的智能防护算法 对攻击行为进行分析和自学习， 对攻击行为进行分析和自学习，动态形成攻击特征 可有效区分攻击流量和正常流量，防护SYN 库，可有效区分攻击流量和正常流量，防护 flood、UDP flood、ICMP flood等二十多种攻击，保 等二十多种攻击， 、 、 等二十多种攻击 证正常流量不受影响；通过微码自主开发的协议栈， 证正常流量不受影响；通过微码自主开发的协议栈， 对网络应用进行深度检测，实现了对P2P协议的识别、 协议的识别、 对网络应用进行深度检测，实现了对 协议的识别 阻断和限制。 阻断和限制。
Leadsec-Guard技术简介 技术简介
智能防护：区别于传统的统计丢包算法，对于发送到被 区别于传统的统计丢包算法， 区别于传统的统计丢包算法 保护子网/主机的 主机的UDP、ICMP数据包，结合状态检测机 数据包， 保护子网 主机的 、 数据包 进行数据包上下文的比较分析，通过自学习， 制，进行数据包上下文的比较分析，通过自学习，对一 段时间内的通信进行分析，建立临时攻击特征库， 段时间内的通信进行分析，建立临时攻击特征库，区分 正常流量和攻击流量，然后过滤绝大部分的攻击流量， 正常流量和攻击流量，然后过滤绝大部分的攻击流量， 正常流量不受影响。 正常流量不受影响。对UDP flood和ICMP flood有较好的 和 有较好的 防护效果，如可有效防护针对聊天服务器和视频的UDP 防护效果，如可有效防护针对聊天服务器和视频的 flood攻击。 攻击。 攻击
联想网御异常流量管理系统
王伟 2007年 2007年*月
目录
一． 二． 三． 四． 五． 六．
异常流量管理系统产品背景 联想网御异常流量管理系统 行业解决方案 典型客户案例 竞争对手分析 销售注意事项
一. 异常流量管理系统产品背景
网络中异常流量分类 分布式拒绝服务攻击（DDoS） 分布式拒绝服务攻击（DDoS） 带宽滥用问题（例如P2P） 带宽滥用问题（例如P2P） P2P 大规模蠕虫病毒的爆发