NetEye網絡流量分析與控制綜合解決方案Copyright2009ByNeusoftCorporationAllrightsreserved看遠一步，可以做的更多東軟集團今天的東軟安全安全總部位于北京96年進入信息安全領域從業人數近1000人在北京和沈陽分別設有軟件研發中心、硬件研發中心和專業實驗室。覆蓋全國超過40個城市的技術服務隊伍。1996199820002001200320042005200620082009未來2007NP架構NetEye系列網關產品開發了安全運維平平和流量分析系統NTARS全新一代的高性能5200系列防火墻NTPG流量清洗系統與NOKIA合作，首次將國內網絡安全設備打入國際市場成立電信產品部，致力于電信行業技術研究和產品開發繼續深入研究信息安全技術并應用到產品開發中，力爭走在世界前列NetEyeFW3.0、IDS2.0、VPN3.0、AuditCenter作為國家計算機軟件工程中心承接國家“九五”攻關項目—“具有信息分析功能的防火墻”先后推出了NetEyeFW2.0、IDS、VPN等系列安全產品在科研項目的基礎上由完成產品化并投入市場NetEyeFW1.0NetEyeFW3.2、IDS2.2、VPN3.2、AP東軟安全發展歷程奧運信息網絡安保東軟集團做為國內領先的信息安全企業和國家級應急服務支撐單位，應國家要求，在奧運安保中承擔了重要的任務，派出了由專業人員組成的信息安全保障小組，協助相關單位，在奧運會期間堅守崗位，并獲得一致好評。奧運信息網絡安保互聯網正在被誰使用？NetEye流量控制方案應用場景分析典型案例參考如何讓冰山浮出水面格陵蘭島，瑰麗的冰山只能勉強將其1/10體積露出墨晶般的水面在我們身邊，龐大的網絡資產面臨著同樣的“倒一九”局面，10%的網絡資源支撐著90%的利潤來源，而剩余的90%資源卻被黑暗所吞噬黑暗中潛伏著什么……？暗流涌動泥沙俱下無論歡迎與否，互聯網的流量構成只取決于使用者僅Youtube一家在2007年的視頻流量就已與2000年全球Internet總流量相當DDoS在06年的單次攻擊峰值為2.5Gbps，07年為24Gbps，而08年則為40GbpsBotnet在中國約有200萬，數量居世界之首，約占總數的29%，但其控制端卻是美國擁有最多。一臺Botnet的批發價不足0.8元，而且其中有很多是成色極佳的IDC托管主機BT類應用以20%的成績屈居亞軍，這得感謝視頻的異軍突起—占據35%10%的互聯網用戶占用80%的帶寬，0.5%的用戶占用40%的帶寬，80%的用戶只使用帶寬的10%……可是，誰在付費？難以把握的流量TCP：80、8080、4662、25、22、443……UDP：15000、8000、29909、6881……ICMP：Echo、EchoReply、Redirect、Dst.Unreachable……這其中，有多少我們能夠認識？“認識”的流量真的是象看上去的那樣嗎？哪些流量是我們所歡迎的？流量的何種狀態是正常的？對于不受歡迎的或者不正常的流量，該如何從網絡中剔除出去？另外，上述所有問題，請放置在10/100Gbps級別的環境中再考慮一次DDoS防御DDoS可通過UDP、ICMP、TCP和CC方式產生，不僅是安全問題，更是服務質量考評指標平和的DDoS可消耗目標網絡50%帶寬并使應用業務完全停頓較大的DDoS攻擊能夠達到數十G規模，可同時淹沒多個地市級運營商的出口鏈路甚至完全吞噬掉整個省級出口應用業務識別分清主次。用戶購買/建設網絡資源的目的可分為兩類：一是滿足其必需的關鍵應用訪問，二是消遣類應用。但二者對客戶滿意度的影響是截然不同的，如客戶很少會因為其BT下載不夠迅猛而向客服投訴總體來看，視頻、BT、P2P傳輸等消遣類應用占用了50%以上的網絡資源，但僅為此支付了不足10%的費用如果能夠把網絡流量按照應用業務種類區分開來，適度控制消遣類流量對網絡資源的占用比重，那么將成倍提高現網對關鍵應用的承載容量節約資產32%小用戶消遣類應用關鍵應用大客戶P2P、視頻、BT、電影…郵件、新聞、論壇、博客…OA、郵件、Portal……員工上網日趨復雜的流量控制策略控制范圍：長期以來的運維經驗證明，局限在出口鏈路單一位置的流量控制效果是極其有限的，網絡中的任何位置都應該能夠成為流量控制策略的執行點控制對象：DDoS洪水、應用層協議濫用以及無節制的合法流量都要求進行約束控制力度：簡單的Permit/Deny是粗暴的，系統無權擅自拒絕合同用戶的網絡接入，而需要根據帶寬、時間、應用協議性質、成分比例、歷史基線等多種數據提供自適應、智能化、彈性的控制處理控制性能：流量控制單元的性能和穩定性應與部署環境相稱，鏈路類型依賴程度低，能夠根據流量實時狀態自動實現對通信會話的介入或脫離，并在網絡環境擴容時充分利舊Internet流量分析行為檢測特征匹配合規檢查服務保證關鍵業務非關鍵業務SLA體系自適應約束指令h互聯網正在被誰使用？NetEye流量控制方案應用場景分析典型案例參考NetEye流量控制方案目標定位動態過濾凈化運營商/ISP園區網/IDC行業/企業網精確溯源定位數百G性能保證分層檢測：DFI、DPI分級檢測、逐級過濾分級防御：鏈路層隔離、網絡層拒絕、應用層凈化、

QoS管理多元監控：流量流向、流量合法性、網絡設備狀態、路由表變化自動響應：ICA智能調度、自適應學習翔實數據：流量流向、流量成分、流量模型、異常檢測、應用識別、溯源定位運營商/ISP：高帶寬、分布式、DDoS防御、流量流向、成分分析園區網/IDC：異常定位、末端隔離、DDoS、應用識別、QoS策略、入侵防御行業/企業網：流量統計、TopN、綜合運管、應用凈化、入侵防御NetEye流量控制技術框架分級檢測：流量流向動態基線復合檢測顯著DDoS應用識別協議濫用超限傳輸分級防御：批量拋棄協議識別應用凈化差別服務動態調節：流量牽引策略分發彈性控制正常流量QoS差別化服務DPI應用識別/凈化DDoS應用層協議濫用DFI檢測/響應/抑制批量拋棄NTARSNTPGConsole：NTARS系統：NTPG系統：NetEye方案構成概述NTARS檢測處理層目標網絡層NTPG凈化陣列總控制臺ConsoleDFIDPISNMP應用凈化監控整體流量狀態批量DDoS防護鎖定可疑流量并剝離異常溯源定位應用業務識別入侵防御凈化流量管理控制數據匯總分析策略協調分發NTARS流量檢測處理NTARS(NetworkTrafficAnalyse&ResponseSystem)網絡流量分析與響應系統是東軟公司面向高帶寬網絡領域推出的流量分析與動態響應系統，不僅具備一般網絡流量分析系統的儀表功能，而且更加突出異常流量分析和自動響應抑制能力NTARS關注DoS/DDoS攻擊、P2P通信等網絡濫用行為，可對此進行策略阻斷或將其牽引至DPI環節。同時，NTARS提供流量流向、熱點統計、成分分析、溯源定位、等網絡運行數據NTARS保護目標不局限于如內網服務器等有形資產，更加關注以網絡使用效率、服務質量保證(SLA)為代表的無形資產關注所有應該關注的本地網絡：IP地址范圍ASInternet邊界：路由器/分組及接口AS自治域：AS的描述信息路由器：路由設備及分組網絡接口及分組客戶及分組：IP地址范圍需要邊界描述子網及分組：IP地址范圍需要邊界描述SNMP相關定義：設備網管IP地址SNMP團體字流量流向全面分析流量流向，內容成分：路由器接口客戶子網檢測規則自動報表分發：日、周、月、季、年全局、路由器、接口、客戶、子網、檢測規則流量流向、內容成分、性能監控、BGP基于內部鑒權機制提供多接收者的分類發送DFI、DPI分級檢測檢測規則：IP地址協議端口路由設備TOS/FLAGNext-hop平均幀長引用基線(總體、IP)關聯響應策略應用定義：應用名稱傳輸協議端口信息基線描述(bps、pps)：固定基線動態基線(閥值、容差、極限、延遲)DPI統計檢測(bps、pps)：基于會話關系的一對多、多對一、多對多的統計檢測針對IP、協議、應用、狀態的自定義統計檢測已知攻擊特征庫的檢測NTPG流量凈化與管理NTPG(NetworkTrafficPurifyingGateway)網絡流量凈化網關可對高帶寬流量中夾雜的DDoS、P2P通信(如BT、Emule、MultiMedia等)提供應用識別、過濾凈化以及全面的入侵防御保護，保證主導業務的安全運行NTPG陣列保護路徑

傳統協議，HTTP，FTP，POP3等流媒體協議，RTSP，Web視頻等P2P協議，eMule，迅雷，Bittorrent等IM協議，MSN，QQ，IRC等網絡電話，H.323，SIP，H.248等網絡電視，PPLive，迅雷看看等網絡游戲，WOW，QQGame等股票交易，招商證券，同花順等數據庫，MSSQL，MySQL等加密協議，SSH，GRE等其他，RRS閱讀，IPfragment等全網流量內容統計應用定義：應用名稱傳輸協議端口信息基線描述(bps、pps)：固定基線動態基線(閥值、容差、極限、延遲)DPI統計檢測(bps、pps)：基于會話關系的一對多、多對一、多對多的統計檢測針對IP、協議、應用、狀態的自定義統計檢測已知攻擊特征庫的檢測減輕的攻擊限流保護復合檢測多種數據源ICA重點解決了以下課題：DPI檢測范圍局限DPI檢測性能低下DFI檢測深度缺陷異常檢測結論片面流量控制范圍局限無法追溯異常來源ICA自動抑制AS65500AS64000EBGPEBGPASD

路由注入CNTPG網關引導流量B

檢測命中IBGP凈化流量AS65000NetEye流量管理方案技術優勢從全局角度來掌控網絡的能力。NetEye不局限于某條鏈路或者某個會話的狀態，而是把評價標準及防護策略覆蓋到整個網絡系統中的L2~L7層面中多層次、分布式集中部署模式。支持Console、Controller、Collector、NTPG多種產品角色，支持多級結構并提供統一流量監控服務，并提供嚴格的權限控制快速、高效的ROI盈利能力。用戶不僅能夠獲得安全防護效益，更可從中得到可量化的安全增值業務收入DFI和DPI雙重機制。具備DFI、DPI多重能力并由ICA驅動調節，能夠保證流量分析的橫向幅度和縱向深度更具實際意義的ICA?自動響應。能夠自動對異常流量作出智能響應，快速緩解異常流量影響，大幅度降低管理員作業負擔并提高系統防護力度任意多個檢測/響應點的支持能力。能夠同時對網絡中多個關鍵位置提供檢測/響應防護，在大中型網絡中具備更高的性價比異常流量溯源能力。可將異常流量精確定位到地域位置/所有者、網絡層路徑、交換機物理端口，便于管理員進行快速的人工干預產品榮譽互聯網正在被誰使用？NetEye流量控制方案應用場景分析典型案例參考多層次、分布式部署多級部署ConsoleControllerCollector權限控制機制總公司:集中監控、策略下發、審核省分公司:數據上報、分發策略地市:處理Flow、執行策略內嵌ICA技術寬幅數據采集范圍:Flow,SNMP,SPAN,在多種數據源之間自動協調智能觸發異常抑制指令場景一：IP承載網網絡環境：電信運營商IP承載網省級出口及各地市省內骨干主要需求：流量流向分析、異常流量檢測、自動響應抑制方案簡述：采用“1+N”模式，通過多臺設備對總出口鏈路及所轄各地市節點進行流量分析，構建分布式流量監控體系，并對全局所有流量數據的匯總檢測與分析呈報場景二：計算資源集中區域網絡環境：大型商業化IDC機構、行業客戶數據中心主要需求：異常流量檢測、流量流向分析、異常流量清洗過濾方案簡述：采用NTPG凈化網關，可根據業務應用動態調整網絡服務質量，構建按需介入的DDoS防范及應用凈化陣列。互聯網正在被誰使用？NetEye流量控制方案主要技術指標應用場景分析典型案例參考典型案例中國移動通信研究院營口網通福建移動BOSS系統遼寧網通IP承載網遼寧鐵通本溪鋼鐵企業網安徽電力國家互聯網應急中心中國聯通安徽建行天津煙草福建移動福建移動福建移動項目圍繞BOSS系統展開，實施節點覆蓋烏山、金山和湖東三個節點。項目以BOSS區域作為基本核心域，對整合后的內網、互聯網和外網邊界作為訪問控制點進行安全建設；建設內容包括互聯網/外網邊界防病毒、內網邊界訪問控制、核心區域/互聯網IDS、核心區域異常流量分析與響應等功能單元，并以此為基礎構建BOSS安全管理中心系統，同時采購配套的安全評估及安全加固服務；本項目的工程范圍主要以BOSS系統網絡區域為邊界，并兼顧對內網、互聯網、外網之間的通信行為進行安全防護；本項目是NTARS在中移動業務支撐系統的典型案例。中移動研究院中移動研究院中移動通信研究院的NTARS部署網絡完全模擬了省移動公司的CMNET出口，是一個完全的生產承載網；部署目的：為CMNET出口流量提供實時分析和自動響應功能；流量采集點：CMNET邊界接入路由器(2臺)、核心交換機(2臺)、下聯省網的邊界接入路由器(1臺)、虛擬省網骨干路由器(1臺)；數據采集方式：NetFlowv5/v9、cFlowd、Sflow、NetStream、SPAN鏡像、SNMPPolling/Trap、Syslog；本項目是NTARS在中移動生產承載網中的典型案例。國家互聯網應急中心

33套NTARS系統部屬于國內各省市并通過120套收集器分別監控各省移動、各省電信、各省聯通等主要運營