allot流量清洗解决方案 3040+SP

目录

第一章、前言 (2)

第二章、现状分析 (3)

2.1宽带网络可用性 (3)

2.3宽带网络的业务精细化 (3)

第三章、ALLOT 流量清洗解决方案 (5)

3.1实现可控宽带网络的技术保证 (5)

3.2整体架构 (7)

3.2.1主要功能和特点 (7)

3.2.2 攻击流量的分析和辨识控制系统 (8)

3.2.3 DPI (8)

3.2.3 用户精细化管理平台 (8)

3.2.4丰富的报表和精细的管理平台 (8)

3.3攻击流量的识别技术 (9)

3.3.1 NBAD (9)

3.3.2 HBAD (10)

3.3.3自定义识别 (10)

3.4攻击流量的清洗实现组成方式 (11)

3.4.1流量清洗系统的主要实现方式 (11)

3.4.2面对来自用户的攻击清洗过程 (11)

3.4.3面对来自外部的攻击清洗过程 (12)

第一章、前言

在互联网不断发展的同时，黑客技术也在不断发展，利用后门软件的植入，越来越多的宽带用户PC已沦为助纣为虐的“傀儡机”，傀儡网络越来越庞大；另外一方面，经济利益的引诱、攻击源的难于追查，使越来越多的黑客铤而走险，把利用傀儡网络发动攻击当成发财致富的不二法宝。这些因素都导致网络中的DDoS攻击越来越频繁、规模越来越大，这些DDoS攻击不仅造成目标客户服务器、网络的瘫痪，而且还严重威胁到运营商城域网的安全，并引起全社会的广泛关注。城域网面临的安全风险非常多，从安全层次上看，主要有两个层次的安全风险。第一个层次是网络的存活性问题，在这个层次主要是要利用城域网给用户提供可靠、安全的网络构架，可以在IP网络上提供各种业务。第二个层次就是要保证给接入用户提供最好最合理的接入体验，因为现在的互联网业务逐步的复杂化，各种业务层出不穷，通过合理的技术手段满足不同接入用户的不同业务需求是这个层次安全解决方案的主要目的。

针对这种情况，并结合运营商网络的特点，Allot推出了满足多种需求的宽带流量清洗解决方案，精确阻断DDoS等攻击流量，为运营商提供城域网安全加固的同时，也为城域网客户提供了安全增值服务。

流量清洗中心部署在城域网或者IDC出口，整个系统由三部分组成：异常流量检测与控制部分、DPI核心实现异常流量清洗和用户业务管理平台。当DDoS攻击发生时，异常流量检测与控制部分会自动发现攻击行为，通过自动或手工方式把攻击流量信息的特征发送到DPI核心进行清洗；清除掉攻击流量后，将“干净”流量转发给用户。在整个攻击防范的过程中，用户丝毫感受不到攻击的存在，正常业务不会受到任何影响。

第二章、现状分析

2.1 宽带网络可用性

现在造成城域网安全问题造成的最大麻烦就是带宽和用户体验之间的矛盾，如果城域网带宽无限大，DDoS攻击等任何问题实际上都不会危害到城域网本身，正是由于也不能无限制的扩展带宽，造成了DDoS等安全问题成为了运营商头痛的问题（为DDoS流量扩带宽相当于花钱买垃圾）。从根本上说，一切针对运营商安全的解决方案都是加强对非法流量的打击、增强用户体验、将有限的带宽用在最合理的业务上为目标的。

宽带网络的可用性最主要的安全问题就是流量性攻击，最重要的流量性攻击就是DDoS攻击，因为保持网络骨干畅通最需要解决的问题就是DDoS攻击和防御，缓解城域网带宽的压力。

从运营商的角度考虑，实现网络可用的安全防御是最重要的，因为通过网络可用的安全防范可以缓解运营商的带宽压力，满足基础承载的需要。传统的安全防御实际上都是由企业自身来进行的，例如在Internet的连接位置放置防火墙设备，在IDC中心放置防火墙设备。由于现在DDoS攻击的流量非常大，导致了网络自身对DDoS的防御已经无能为力了，因为很多DDoS发起的流量攻击，已经会导致城域网基础网络的不安全，带宽严重占用，甚至已经堵塞了整个的城域网的出口，因此影响的已经不是被攻击的一个用户，而是整个城域网的用户。

2.3 宽带网络的业务精细化

过去互联网上运行的业务非常少（主要以WEB为主），而现在已经发生了很大的变化，P2P、VOIP、蠕虫病毒、DDoS攻击等技术使得IP互联网复杂化，在这样的背景下，加强运营商对业务的控制能力就显得非常必要，因为只有这样，运营商才可以更好的管理互联网，更能从这样的变化中获得更丰厚的利润，否则不停的扩充带宽只会为ICP带来更好的生存空间，而运营商永远只是一个管道提供者。

业务精细化的问题主要涉及技术就是DPI（深度包检测），只有采用DPI

技术才可以清楚的区分IP互联网中的不同业务，才有可能针对不同业务采用不同的处理策略，包括资费、带宽、控制、Qos等。这个层面的安全要求实际上是运营商的一个长期潜在需求，是一个随时发展的技术，精细运营方面运营商现在最迫切的需求是针对P2P业务的控制力度。

第三章、Allot 流量清洗解决方案

3.1 实现可控宽带网络的技术保证

关键词：可控。作为运营商、ISP来说，对上线用户无论使用什么样的应用，都在可以控制的范畴内进行经营，这是运营商、ISP业务的高级境界。对于高价值的应用－保护。对于低价值的应用－予以限制。最大限度地增大运营商的获利能力、降低用户的不确定风险。体现公平性。

而可控的技术前提是应用感知技术。只有具备了丰富的应用感知能力的网络，才能够真正做到控制网络的应用和业务模式。

服务提供商能够在IP网络上创建极具吸引力的全新服务，这种能力是不可限量的。然而，当前的基础设施存在着一些缺陷，妨碍了服务提供商从网络投资中创造最高利润，并制约了他们创建新业务模式、根据用户偏好定制服务的能力。Allot的技术正是为了解决各种服务提供问题而开发的。随着互联网用户和智能便携式设备的数量不断攀升，对宽带运营商来说，市场已经能够接受新的高级服务，如IP语音(VoIP)、在线游戏、音乐下载、视频点播(VoD)和音频流等。这些服务具备大幅提高服务提供商的每用户平均收入（ARPU）的潜力，从而进一步提升服务提供商网络资产的总价值。

如何精准的探知网络存在的DDOS风险是成为保障运营商宽带网络可用性的重要条件。

Allot ServiceProtector 是一种面向服务提供商的实时监测破坏网络性能和完整性的网络攻击和用户攻击的异常检测系统（ADS）。利用先进的探测和分析技术，ServiceProtector为异常防御系统（APS）提供极为重要的智能特性，帮助他们实现阻拦，限制或孤立网络威胁和不希望的流量。当与Allot服务网关平台或Allot NetEnforcer设备串连控制网络设备一同工作时，ServiceProtector能够实现强大的探测攻击和迁移到解决方案。ServiceProtector同样也可以与其他的串连设备一同工作和迁移攻击，如路由器、防火墙、IPS、流量整形设备或其他流量清洗设备。