科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道沈军:剖析中国电信IP网络的安全现状

沈军:剖析中国电信IP网络的安全现状

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在4月8日举行的互联网安全应急年会上,中国电信网络安全实验室的工程师沈军为与会嘉宾介绍了电信IP网络的安全现状以及安全对策。

作者:网易科技 来源:网易科技 2008年4月17日

关键字: IDS IPS 攻击防范

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

  在控制平面,保护路由引擎CPU等关键资源,起用路由认证、路由信息过滤登记制保护路由安全。

  在管理平面,最小化网络服务,安全远程访问,设备安全网络管理等一系列安全措施。

  在异常流量监测方面,需要建立全网网络安全异常流量监控体系,及时发现并预警DDoS共计二指,提高网络的安全应急相应能力,同时提高网络运营商的安全防护水平。

  异常流量控制措施,非法源要抵制过滤,断口访问控制ACL,流量控制CAR,和黑洞路由等等。

  介绍客户网络DDoS安全防护,目前在大网上采用的DDOS流量控制策略不适用于客户网站或网络的DDoS攻击防护,异常流量控制手段无法识别和过滤针对应用层的DDoS攻击流量,我们对客户网络DDoS安全防护有相应的业务防护。

  在防护的方式有串联部署和旁路部署。旁路部署分为就目的清洗和就源清洗。

  串联部署方式是将安全网管串联在介入口处,可以对客户的双向网络流量进行实时监测和控制,只能串联部署在被保护客户的共同网络出库,为部分比较固定的用户提供攻击防护,不能实现安全设备的复用,投资成本较高。

  这种适合部署在用户端或城于网介入层,可以保护本身是网络请求发出的要求。

  旁路部署方案分析:把干净的流量进行回复。特点是可以提供应用级的DDOS保护,对机遇连接的协议TCP及其上层应用,如Web、Ftp等具有良好的防范效果,对客户实施防护策略时,必须根据客户提供的网络服务,配置合理的反向探测识别过滤机制。

  这种旁路部署方案已经在现网上获得了广泛的应用,但由于当前设备的防御机制及功能限制等因素,使得这种方案在实际应用中仍一定的局限性,是我们要考虑到的。第一这种方式只能针对具体的应用或协议进行保护,对于私有协议、多数机遇UDP的应用,该类产品不能提供有效的保护。

  第二无法保护本身是网络请求发起端的客户网络。只能贪色单方面的流量,即远程用户发起灵丘的网络流量,如果被保护对象是网吧或者本身是网络请求发起端的客户网络,该方案无法有效满足保护的需求。部分防范机制会对放恩有一定的影响,比如几秒的时延要刷新等。

  旁路式就目的清洗方案分析:是指清洗设备靠近被保护目标部署,是目前常见的部署方案,主要适用于小规模的DDoS攻击防护。当发生DDoS攻击的时候,要到靠近的地方才能清洗。这时候一套清洗设备只能服务于本地,它的利用率是比较低。同时由于在单点的清洗流量不能太高,不能满足业务的需求,也不能承诺SLA。在有大流量的时候,出口链率可能已经被堵塞了,影响效果。

  另一种是就源清洗是采用全网集中调度方式,适用于大规模的DDoS攻击防护。在发生DDoS攻击的时候,分布式处理能力达到几百G,有效满足客户需求。就源清洗,设备将服务于任何攻击,利用率大大提高,不会造成目标前的局部的链路堵塞。

  DDoS攻击防御业务网络构想:庆捷流量通过骨干网2/VPN送回城域网中。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章