Cisco安全技术交流胶片—运营商的网络安全体系解决方案.ppt

运营商的网络安全体系解决方案之  clean pipe service solution 目录 目录 Internet DDoS 攻击的必威体育精装版趋势 目前已有超过8亿人使用internet. eCommerce使得对互联网的前所未有的依赖性 宽带连接使越来越多的家庭PC上网, 而这些家庭PC缺少安全措施, 容易被利用 大多数攻击同时来自多个国家, 更难以追查和防范. DDoS 影响着所有类型的网络业务: 银行业, 医疗, 政府, 制造业, 零售, 度假休闲, 体育网站, 网络游戏… 用来进行勒索的攻击在增加: 去年为4%, 今年到了16%, 勒索的数额从1万美元到数百万美元 BOTNETS – 使DDOS攻击更容易 DDoS攻击影响的网络层面 应用 /服务器 攻击将耗尽计算机的TCP/HTTP资源, 使应用停顿, 服务器停止对正常业务的响应. 带宽 攻击流量将充满网络带宽从而阻挡了正常流量 网络架构 攻击的目标可能是网络路由设备, DNS/DHCP 服务器等, 破坏网络连接. 间接破坏 被做为攻击源的主机也间接受到影响 Clean Pipes 的主要环节 阶段一 : 防卫/学习Defense / Learning 阶段二: 攻击检测Detection 阶段三: 攻击缓解 Mitigation Clean pipe 操作流程 目录 Clearn pipe: 网络结构 一: 防护/学习阶段 Defense/Learning阶段 Defense: 采用NFP, 保护网络基础架构. Learning: 是建立正常流量模型, 其目的是需要知道: 1) 对于一个用户来说, 什么是’好’的流量 2) 攻击流量的特性 Defense 基础: Network Foundation Protection 对网络架购的保护, 保证业务提供的连续性 learning: 流量特征的学习和策略建立 对网络正常流量的了解是检测攻击的基础, 通过对网络流量的学习建立了正常流量的模型. 一个异常事件的发生是指与正常流量不同的流量特征出现. 步骤1, 建立策略. 此步骤是对基本的服务类型做出检测, 并决定调用哪些策略, 大约需要1个小时左右. 步骤2: 设置门限. 基于调用的策略, 根据用户的流量特征设置’阀值, 也就是定义流量的门限. 这个过程一般需要24小时. 二: 攻击检测阶段 检测阶段 检测 DoS 攻击的多种手段 Cisco Detector 通过NetFlow收集和分析设备 通过IDS/IPS系统发现攻击 通过网络安全信息管理系统发现攻击 通过SNMP对被保护目标的监测: 如CPU overload 用户发现/被动方式 1. 采用Cisco Detector 监测攻击 可以是独立的硬件设备或6500/7600的模块. 一般与防攻击设备Guard配合使用. 采用流量镜像或分光器等将监控流量复制到detector. 根据用户或服务类型分为多个区域(zone). 当detector发现攻击后, 能自动启动guard做攻击防护. 什么是zone? Zone 是一个被监测/保护目标的单位, 可以是一个服务器, 一组服务器, 一个子网/网络 Zone 一般是一个用户, 或一个用户的相同业务的服务器的集合. 多个zone可以被同时监测, 只要地址不重复. 监测攻击 当学习阶段完成后, 被保护区域进入监测阶段. 监测策略会检查流量的异常情况. 一个流量异常会触发guard启动保护. 也可以人工定义是否要触发guard保护, 还是发送log或notify. Detector 的流量过滤 启动 Guard防护 2. 采用Netflow做攻击检测 Netflow包含了对网络流量详细的记录. 根据源/目标地址, 端口号, 包大小, 流量等特征,可以发现流量的异常状况. 目前有第三方厂家以Netflow为基础开发攻击检测系统, 并能自动启动Guard 防护. 由于Netflow不分析所有的数据, 只记录包头情况, 有很好的扩展性, 可以用于大流量的骨干网络. Cisco Netflow 定义一个flow的7个参数: Source IP address Destination IP address Source port Destination port Layer 3 protocol type Type of Service (ToS) byte (Differentiated Services Code Point (DSCP)) Input logical interface (ifIndex) NetFlow Sampling 抽样比例建议 Ethernet – 1:10 Fast Ethernet/OC3 –