H3C行为监管解决方案

　　本文主要针对当前复杂的网络管理，介绍了H3C行为监管的典型组网方案及其解决方案组件。

　　1.行为监管需求分析

　　随着现有互联网的迅速发展，各种互联网应用的逐步丰富，各种应用层出不穷，为我们的工作和生活带来极大的便利。但是与此同时，这些应用也带来了一些负面影响。P2P下载、即时通讯、电子商务、网上证券交易、网络游戏等多种业务共存，用户行为越来越复杂和多样，带来了以下问题：

　　以BT为代表的P2P应用对现有网络提出了挑战，少量的P2P用户占用了大量的网络资源，不但对网络的容量形成了压力，更是对其他用户合法应用造成了严重影响。

　　即时通讯、网上炒股、网上购物等上网行为虽然对带宽的要求不高，不会造成网络堵塞，但是会使员工的工作效率下降， 正常工作任务无法及时完成。

　　对非法网站的访问容易感染病毒和蠕虫，对网络造成破坏；同时对一些不法网站的访问也有可能造成政治上的问题。

　　公安部第82号令要求能够保存用户上网记录，并且记录NAT前后的IP地址信息，进行用户行为的审计。

　　在这种情况下，对网络的应用进行深度的识别分析，并对这些应用加以疏导和控制，同时对用户行为进行监管和审计成为必然，这将使得网络资源得到合理的配置和优化并保证了网络的安全。

　　2.H3C行为监管解决方案典型组网

　　2.1.解决方案总体描述

　　H3C行为监管解决方案由应用控制网关和安全管理平台组成。应用控制网关有SecPath ACG盒式设备和SecBlade ACG插卡（应用于H3C S75E/S95核心交换机）两种产品形态，ACG可针对P2P/IM、网络游戏、炒股、非法网站访问等行为，进行精细化识别和控制，有效解决带宽滥用、访问非法网站感染病毒等问题；安全管理平台有SecCenter硬件设备和ACG Manager管理软件两种产品形态，对应用控制网关检测出的网络安全事件进行深入分析并输出审计报告，同时收集防火墙发送的NAT日志，帮助管理员全面了解用户行为和流量趋势，为加强整网安全、满足合规性要求提供决策依据。

　　2.2.解决方案典型组网图

图1

　　2.3.解决方案关键规格

　　通过对种类繁多的应用协议进行模型化，分类进行识别，在模型化识别的基础上进行智能决策，从而准确识别多种应用协议，包括P2P、IM、炒股应用软件、游戏以及其它如流媒体、WEB访问、FTP下载、网络管理等多种应用协议。提供可扩展、可升级的应用识别和行为识别能力 。可以动态的升级新的应用及其行为实体的定义，并及时扩展新的应用协议的分析模块。

　　2.3.1.ACG深度应用识别

　　ACG深度应用识别技术的核心是H3C i-Ware软件平台的UAAE应用控制感知引擎。它和i-Ware深度检测引擎配合，智能高效识别网络中的各种应用协议及其行为。i-Ware应用识别引擎（UAAE）为解决复杂的应用识别需求，同时深入应用发掘其内容特征行为，尤其是攻击行为，采用了一系列的自主研发技术。它的整体架构如图2-1所示：

图 2 i-Ware UAAE 架构

　　UAAE引擎对种类繁多的应用协议进行模型化，分类进行识别，同时在模型化识别的基础上进行智能决策；

　　UAAE为在应用中识别攻击等特征行为，对重要的应用协议进行数据解析，结合应用对数据进行分类深度检测，同时UAAE对深度检测结果再次结合应用环境进行分析；UAAE可以对应用的数据特征进行有状态的跟踪，而不仅仅依据单个数据报文特征做出判决；

　　UAAE内置提供统一的定义语言，为i-Ware平台可扩展、可升级的应用识别和行为识别能力。

　　2.3.2.用户上网行为控制

　　通过有状态的特征状态机可更精确的识别出多种P2P/IM等应用类型，如BitTorent、Thunder(迅雷)、eMule(电骡)、eDonkey(电驴)、Kugoo(酷狗)、Poco、KazaA、Napster、iMesh、Gnutella、FileTopia、DirectConnect、Tencent Download、PPLive Stream、PPStream、MSN、QQ、Yahoo Messenger、GTalk等等。可以通过限流措施对P2P/IM业务带宽进行限制，同时提供基于用户、应用、时间段、源/目的IP等丰富的业务流量统计信息。

　　同时，采用先进的技术分析手段，全面分析网络应用的流量类型和流量流向趋势，能对网络多媒体、网络游戏、网络炒股等应用进行识别与控制，通过URL过滤、关键字过滤、内容过滤等多种Internet访问控制策略，规范内网用户上网行为。

　　支持的主要应用类型包括：

　　2.3.3.应用流量分析

　　根据ACG上报的流量信息，安全管理平台进行应用流量分析，通过对用户、时间、协议、IP地址、端口的纵深分析，提供基于应用协议的流量趋势、详细数据、使用排名等信息并生成分析报告，为管理员进行流量管理提供有力依据

图3

图4

　　2.3.4.用户行为审计

　　安全管理平台收集ACG记录的用户应用访问信息和防火墙发送的NAT日志，对HTTP、Email、FTP、IM等行为进行分析，记录网页域名、地址、邮件收发人、主题、附件名、FTP上传下载文件等内容，实时输出用户行为审计报告，满足公安部第82号令要求。当发生安全事故后，可以根据记录的信息对用户既往行为进行分析和追根朔源，对潜在的破坏者可起到威慑作用。

图5

　　3.解决方案组件介绍

　　3.1.SecPath/SecBlade ACG系列产品

　　ACG（Application Control Gateway）是H3C公司面向大中型企业、教育、政府等用户推出的应用控制网关产品。根据对性能的不同要求，分别开发了SecPath ACG2000-M盒式设备、SecBlade插卡和ACG8800-S3高性能电信级产品。

　　ACG盒式设备及SecBlade插卡基于新一代的多核处理器硬件平台,产品提供搞性能深度应用检测、流量统计以及基于用户和应用的带宽控制能力。设备支持分布式部署和集中管理，可灵活扩展。通过基于浏览器的管理界面，管理员可以快速熟悉系统的操作管理。

　　3.2.安全管理平台

　　安全管理平台包括SecCenter A1000硬件管理设备和ACG Manager软件产品，两种产品形态可以任选其一，在行为监管解决方案中功能完全相同。

　　SecCenter/ACG Manager具有以下主要功能

　　可对ACG产品进行图形化集中配置，并可针对不同用户定制不同的安全策略；

　　收集ACG发送的的用户应用访问信息，实时输出审计报告。当发生安全事故后，可以根据记录的信息对用户既往行为进行分析和追根朔源，对潜在的破坏者可起到威慑作用。

　　4.H3C行为监管解决方案技术特点

　　4.1.最全面的协议识别种类

　　基于H3C特有的H3C协议特征签名技术，全面识别BT、电驴、迅雷、MSN、QQ、Yahoo Messenger、PPLive等近百种P2P/IM应用；能对网络游戏、炒股等应用进行识别与控制，控制非法应用；通过URL过滤、关键字过滤等多种访问控制策略，过滤非法网站，规范用户上网行为。

　　4.2.最易用的集中管理和策略下发

　　支持图形化策略配置，并可实现配置和策略的集中下发。

　　4.3.最灵活的控制手段

　　具有对应用进行限流，阻断，干扰，告警等多种控制手段。

　　4.4.最丰富的产品形态

　　产品形态丰富，除了盒式设备之外，具有H3C S95/S75E核心交换机中的SecBlade ACG模块,便于管理，简化网络结构，实现安全与网络的深度融合。