1、流量清洗服务

　　1.1市场分析

　　传统的攻击都是通过对业务系统的渗透，非法获得信息来完成，而DDoS攻击则是一种可以造成大规模破坏的黑客武器，它通过制造伪造的流量，使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高，从而最终导致系统崩溃，无法提供正常的Internet服务。由于防护手段较少同时发起DDoS攻击也越来越容易，所以DDoS的威胁也在逐步增大，它们的攻击目标不仅仅局限在Web服务器或是网络边界设备等单一的目标，网络本身也渐渐成为DDoS攻击的牺牲品。许多网络基础设施，诸如汇聚层/核心层的路由器和交换机、运营商的域名服务系统(DNS)都不同程度的遭受到了DDoS攻击的侵害。2009年5月，一次大规模DDoS攻击影响了整个Internet的通讯，5月19日部分地区互联网网络故障情况通报。由于暴风影音网站域名解析系统受网络攻击出现故障，致使运营商递归域名解析服务器阻塞，造成用户无法正常上网。

　　随着各种业务对Internet依赖程度的日益加强，DDoS攻击所带来的损失也愈加严重。包括运营商、企业及政府机构的各种用户时刻都受到了DDoS攻击的威胁，而未来更加强大的攻击工具的出现，为日后发动数量更多、破坏力更强的DDoS攻击带来可能。正是由于DDoS攻击非常难于防御，以及其危害严重，所以如何有效的应对DDoS攻击就成为Internet使用者所需面对的严峻挑战。网络设备或者传统的边界安全设备，诸如防火墙、入侵检测系统，作为整体安全策略中不可缺少的重要模块，都不能有效的提供针对DDoS攻击完善的防御能力。面对这类给Internet可用性带来极大损害的攻击，必须采用专门的机制，对攻击进行有效检测，进而遏制这类不断增长的、复杂的且极具欺骗性的攻击形式。流量清洗服务可以有效的解决DDoS攻击问题，面对日益严重的DDoS攻击，此服务的市场需求将会越来越大。

　　根据调查的结果，IDC用户中超过60%的用户对抗DDoS攻击增值服务有兴趣，甚至会购买。由于IDC出口带宽扩容以后，针对某个用户的攻击很难把整个IDC出口带宽占满，用户原来的那种依赖思想会逐渐被削弱。因为同样流量的攻击会把某个用户的服务器打瘫痪，却无法影响到对其它用户服务器的访问。这样一来，抗DDoS的责任更倾斜到单个用户头上。另外，针对应用层的攻击也逐渐增多。同时基于这两个原因，用户购买抗DDoS服务的积极性必将有所提高。

　　1.2 DDoS 介绍

　　DDoS概念

　　DoS：DoS的英文全称是Denial of Service，也就是“拒绝服务”的意思，就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。

　　DDoS： DDoS是英文Distributed Denial of Service的缩写，即"分布式拒绝服务"，是在传统的DOS 攻击基础之上产生的一类攻击方式，这种分布式拒绝服务是黑客利用在已经侵入并已控制的不同的高带宽主机(可能是数百，甚至成千上万台)上安装大量的攻击程序，这些被植入攻击程序的主机称为“僵尸主机”，由它们形成僵尸网络，这个僵尸网络等待来自控制中心的命令，对一个特定目标服务器发送尽可能多的网络访问请求，被攻击服务器产生大量等待的TCP 连接，导致网络中充斥着大量的无用的数据包，造成网络带宽拥塞，使受害主机无法提供正常的网络服务，严重时会造成系统死机。

　　攻击类型

　　应用型DDoS 攻击：应用型攻击是指利用TCP、HTTP 等高层协议或者应用系统的某些特性，通过非法占用被攻击目标的有限资源，从而达到阻止被攻击目标处理合法访问目的。如某个以100M 带宽接入网络的WEB 主机，在遭受到1M 流量的TCP 半连接攻击时，可能就已经瘫痪了。针对特定业务模型的攻击，如SYN Flood 攻击、TCP 全连接攻击、CC 攻击、DNS 攻击、特定游戏类攻击等都属于此类攻击。

　　带宽型DDoS 攻击：带宽型DDoS 攻击是指通过发出巨大的网络流量，导致被攻击目标在网络路径上发生拥塞，耗尽网络带宽，从而使得被攻击者无法收到合法报文。例如某个WEB 主机，受到几百兆甚至几千兆流量的UDP非法报文攻击，即使该WEB 主机前有一个最理想的100M 的安全设备，能够精确识别出非法攻击报文和合法业务报文，但由于安全设备前面的网络已被非法报文挤占，合法报文根本无法到达——或者到达的几率很低。以攻击目的网络为目的的攻击，如UDP FLOOD、ICMP FLOOD 攻击都为此类攻击，宽带型攻击和应用型攻击之间并没有明显的界限，很多的应用型攻击都会引发带宽攻击，如TCP FLOOD 既是业务型攻击，也是宽带性攻击。

　　其它类型攻击：其它类型攻击主要是指利用主机、协议的漏洞，构造畸形或者异常报文导致协议栈失效，系统崩溃、主机死机等后果而无法提供正常的网络服务功能，而造成拒绝服务。常见的此类攻击包括Tear Drop、Land、IP Spoofing、Smurf等。

　　攻击造成的影响：DoS 攻击利用IP 协议的无连接的弱点，通过制造大量非法流量，耗尽目标系统资源、挤占网络带宽，此类攻击以其技术门槛低、防护理论和措施缺乏而广泛流行，严重影响了网络的使用。特别僵尸网络Botnet 和分布式DDoS 攻击相结合而产生的新攻击模式的出现，因控制了数量庞大的终端，集中攻击产生的非法流量十分可观，此类攻击的能量巨大、危害愈来愈严重，不仅影响用户业务使用，同时对运营商滋生网络也造成了严重影响。举例来说：国内网络游戏运营商完美时空2007 年6 月11 日遭受到严重的DDoS 攻击，造成了近千万元的经济损失。

　　1.3产品概述

　　产品定义：防DDoS攻击流量清洗服务是提供给租用IDC服务的政企、金融等客户，针对对客户发起的DoS/DDoS攻击的监控、告警和防护的一种网络安全服务。该服务对进入客户IDC的数据流量进行实时监控，检测到DDoS 攻击流量后，通过自动或者手动方法，将攻击流量牵引到防DDoS攻击流量清洗业务平台进行过滤和清洗，将清洗后的正常流量送回用户网络，从而确保用户业务的正常开展。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。

　　产品定位：IDC客户防DDoS攻击流量清洗产品主要面对IDC的中大型客户，尤其对互联网络有高度依赖性的商业客户和那些不能承担由于DDoS攻击所造成巨额营业损失的客户是本产品的主要目标客户，这类客户主要有金融机构、游戏服务提供商、电子商务和内容提供商等，如：如网上银行、网上证券、网上基金、游戏网站、网上招投标、音乐下载网站、门户网站等。

　　1.4服务提供

　　自动清洗模式：流量检测设备实时监测客户业务流量，当攻击流量达到或超过客户业务的安全基线时，流量检测设备将攻击告警信息通告给清洗设备，同时开启清洗过滤流程。

　　手动清洗模式：当客户发现业务异常或中断时，主动与IDC的运维支撑人员联系，IDC运维人员对攻击行为进行诊断分析，断定该故障的确是由DDoS攻击引起，然后与客户确认后在限定时间内开启防护流程。鉴于可能存在误清洗风险，建议采用人工启动流量清洗方式。一般业务提供方式如下：

　　1. 根据用户网络及应用情况，双方协商确定DDoS 防护策略或者采用通用的防御策略。

　　2. 当平台检测到DDoS 攻击时，通知用户，或者用户发现DDoS 攻击后，均需要获取用户启动流量清洗授权，如传真授权，启动DDoS攻击流量清洗。

　　3. 根据用户要求或者攻击流量小于事先约定条件，在获得用户同意后，停止流量清洗。

　　4. 按月或者按次提供流量清洗报告。

　　5. 业务服务等级

　　说明：

　　1. 服务响应时间定义为用户授权可以启动清洗到正式清洗开始时间。

　　2. 承诺清洗带宽为正常流量和攻击流量之和，对于正常流量(互联网接入带宽)比较大的客户，用户在确定清洗带宽时需适当增大。

　　3. 如果用户需清洗流量超过承诺清洗带宽，超过部分缺省方式是丢弃，或者清洗，但需要付费。

　　4. 如果受保护IP 地址数量超过承诺保护数量，需要付费。

　　5. 仅承诺清洗攻击列表之内的攻击类型。

　　6. 只负责清洗经过直接到用户网络方向的DDoS 流量，不包括其它运营商到用户流量。

　　1.5产品功能

　　实时/按需的流量清洗功能：当攻击发生时，可实时启动流量清洗服务，也可根据SLA中所签订的要求，在客户通知发生攻击后的规定时间内启动流量清洗服务。

　　针对多种应用类型的流量清洗功能：能够针对UDP，ICMP，HTTP，TCP等传统应用和SIP，DNS等新型应用均能进行准确的流量清洗，DDoS攻击类型列表具体如下所示：

　　动态调整防DDoS攻击策略：针对网络安全管理的情况，结合种类用户的需要，动态调整防DDoS攻击策略的配置，达到最佳的防攻击模式。

　　客户订制报表：定期向用户提供服务报表，对攻击过程进行记录和分析，使用户了解自身设备受到防护的过程和结果，主要内容包括：客户基本信息：客户的通信信息和客户选择的防DDoS 攻击服务等级、防护策略等基本信息。DDoS 攻击统计信息：客户统计周期内遭受攻击的目的地址、攻击次数、攻击类型、攻击流量大小、清洗流量大小、统计周期内的攻击TOPN 排序等。支持统计报表的图形化显示方式(曲线图|柱图|饼图)，支持以HTML 格式显示，支持PDF 格式输出。统计周期支持日、周、月及自定义时间段。

　　1.6产品解决方案建议

　　产品平台架构：防DDoS攻击流量清洗系统由流量检测、流量清洗和管理平台三大部分构成。流量检测系统检测网络流量中隐藏的非法攻击流量，发现攻击后及时通知并激活清洗设备进行流量的清洗;管理平台对流量清洗系统的设备进行集中管理配置、展现实时流量、告警事件、状态信息监控、及时输出流量分析报告和攻击防护报告等报表。

　　1. 流量检测模块

　　流量检测用于观察现网状况，受保护客户的流量是否正常，是否正在遭受攻击，如果检测到有攻击，那么检测平台将发出告警，经过用户确认(根据用户签署的防护协议)，做相应的安全防护措施。目前常用的流量检测技术有两种类型，采样技术(NetFlow)和深度包检测(DPI)技术。

　　采样技术：检测设备通过路由器设备发出的Netflow 流进行流量的检测，通过放大流量模型，获取粗略的攻击信息。深度包检测技术：检测设备通过对现网全流量采集，结合DPI 深度包检测技术，提取报文应用层数据进行分析，实现攻击流量、攻击类型的精确识别。考虑到DPI 需要一定的算法支撑，比较耗费设备性能，业界先进检测设备可结合DFI(深度流检测)技术和DPI 技术一起，在DPI 识别之前通过DFI 进行流量的统计和建模，当DFI 技术鉴定此类流量具有潜在的威胁时，在对此类流量做DPI 识别。这样的检测技术能够很好的实现性能和检测准度的平衡，实现应用层面攻击的识别。

　　2. 流量清洗模块

　　在检测设备检测到攻击流量时，将自动或手动将受保护对象被攻击对象的流量牵引到清洗设备，实现对攻击流量的过滤，并将正常流量回送到用户网络，从而使得用户免于遭受攻击，业务正常运行。目前清洗设备主要由基于防火墙设备和基于路由器设备，另外有一些是基于IPS 设备原理演进而来的。不同清洗设备实现防范的原理各有所异，基于防火墙设备防范基础是流表，路由器的检测设备是逐包分析，做流量模型的判定。基于流转发的设备可实现对会话状态的监控，可实现深度业务型攻击的防范。基于逐包转发的设备只能根据流量统计，得出流量模型，做FLOOD 攻击防范。

　　3. 平台管理模块

　　实现业务管理和网络管理。业务管理包括客户管理、业务生成、客户报表等功能;网络管理包括系统管理、设备管理、性能管理、日志管理、告警管理、统计分析等功能。

　　4. 产品实现部署方案建议

　　根据DDOS 攻击原理，防DDOS 攻击流量清洗平台部署层次越高，远离用户，攻击流量越早被清洗掉，对网络资源的浪费越小，但防范范围较小，比如在骨干网上部署则只能清洗来自它网攻击，省内以下攻击流量不能清洗;流量清洗平台部署层次越低，越靠近用户，防范攻击范围越大，但网络资源浪费也大。基于上述情况，作为面向大客户的服务，如果在远离客户的骨干网上部署是不合适的，建议在省骨干网上部署，取得防范范围和节省资源的平衡。也可以在一些大型城域网出口部署防DDOS 攻击流量清洗业务平台。建议部署成双流量清洗模块方式，形成负载分担，互为备份，检测模块可以部署一套，同时与主备清洗模块进行联动，检测攻击流量。

　　2、防火墙服务

　　2.1 市场分析

　　随着互联网的迅速发展，网络安全问题已摆到各企业用户面前，防火墙作为网络安全保障的第一道防线也显得更加重要，而随着安全硬件市场的进一步成熟，以及性价比的提高，越来越多的用户趋向于选择防火墙硬件类安全管理工具。因此防火墙业务的需求会随着人们对安全意识的提高成为首选安全管理工具。而对于IDC用户，其相对一般用户而言安全需求更高，并且安全意识也较高，会更关注于安全类的增值产品，因此防火墙作为一项基础安全增值产品将会有着很大的市场前景。

　　2.2 产品定义

　　防火墙：是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

　　虚拟防火墙：是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。

　　2.3产品概述

　　防火墙服务是指基于高性能的硬件防火墙平台，为用户提供7*24小时的防火墙安全服务，包括端口访问控制、应用层检测、端口阻断等高级服务，确保受保护企业服务器资源免遭非法入侵和访问。

　　2.4产品定位

　　防火墙服务适合所有IDC用户，尤其适用于对核心数据和应用具有高敏感度的政府和商业客户。IDC网络安全架构，要充分利用防火墙技术保护敏感的核心数据，保护关键商业应用，防止IDC用户遭受来自外部或其它区域的安全威胁。业务发展初期应以政府、金融、证券类用户为主要业务发展目标，其次游戏运营商、内容提供商等服务器数量较多的用户也是业务发展的主要目标。

　　2.5服务模式

　　1.共享防火墙模式：对于中小型IDC用户，可以实行多个用户共享一个防火墙，安全策略统一配置和管理。共享防火墙基于保护对象的IP地址部署安全访问策略，过滤非法访问行为和常见的攻击行为。

　　2.独享防火墙模式：根据硬件使用情况，可分为硬件防火墙独享和虚拟防火墙独享。硬件防火墙独享是指用户专用一个硬件防火墙，拥有安全策略自主配置和管理的权利。虚拟防火墙独享是指为多个IDC客户部署一台硬件防火墙，将其划分成若干逻辑设备分配给不同的IDC客户，并且为其设置相应逻辑设备的管理权限，这样每个被服务的IDC客户可以单独地管理安全策略。

　　3.防火墙顾问服务模式：在用户使用独享防火墙后，可根据用户的授权，向其提供防火墙策略配置的顾问服务。指导用户使用防火墙和动态策略配置，使用户完善自身安全体系，并定期向用户提供防火墙运行状况的综合分析报告。

　　2.6平台部署方案

　　1.在IDC核心交换机上部署高性能防火墙，或在汇聚层和接入层接入独立的防火墙设备，通过物理防火墙或者虚拟防火墙功能，为IDC内部的用户主机提供定制的防火墙服务。根据防火墙的使用情况，可将IDC机房分为不使用防火墙的基础业务区，共享防火墙的共享增值业务区，独享防火墙的独享业务区，则防火墙部署架构如图所示：

　　共享增值服务区托管或出租的主机分别接入汇聚层交换机，经防火墙安全防护后，连接到IDC网络核心设备。独享增值服务区托管或出租的主机通过接入交换机再连接到防火墙，或者直接连接到防火墙。再由防火墙连接到汇聚层交换机以及网络核心设备。虚拟防火墙技术，通过防火墙硬件资源的共享化和虚拟防火墙资源的独享/共享化，保证部署方案的简洁性和防火墙资源利用的高效性，节约成本，提高效率，通过既定的SLA提供等级化服务。目前，硬件防火墙可以在同一个硬件装置中配置多个虚拟防火墙——即所谓的“ 安全环境”。安全环境是指一个具有自己的安全策略和接口的虚拟防火墙。在正确配置的情况下，安全环境可以实现与多个独立防火墙相同的功能，同时可以大大减轻管理负担。事实上，这些环境可以提供完全独立的安全域(如图所示)。

　　对于集成在核心交换机上的防火墙模块，可使交换机上的任何端口都成为防火墙端口，从而将防火墙安全集成到网络基础设施内部。网络管理员可以利用这种基础设施，在每个模块上创建上百个独立的安全环境，使客户服务器独享或者共享一个虚拟防火墙。

　　图中的交换机设备包括一个多服务交换机功能卡，即防火墙模块，虚拟了四个安全环境，分别是管理安全环境，安全环境A、安全环境B和安全环境C.每个安全环境分别负责管理网络，客户A，客户B和客户C.

　　安全环境的功能类似于一组独立的物理防火墙，但是更加便于管理。因为它们是虚拟设备，所以组织可以轻松地根据用户的增长情况添加或者删除安全环境。这可以降低管理成本，因为组织无需部署多个设备，就可以获得相同的功能，而且可以从一个集中的平台保持对防火墙基础设施的全面控制。防火墙提供了很多关键的防火墙和网络功能，可以帮助安全管理人员在整个交换式园区网络或者企业数据中心中部署多个安全区域，与在整个网络中安装数百个小型防火墙不同，客户只需要安装一个硬件平台，就可以管理多个防火墙。这可以大幅度地减轻管理负担。

　　在实际的使用中，可管理服务的客户会以为他们使用的是独立的物理防火墙——尽管他们实际上使用的是防火墙服务模块上的虚拟防火墙。安全环境可以采用路由模式(第三层)或者透明模式(第二层)。产品平台可以支持基于IP[第三层]或者基于以太网[第二层]安全服务的多种环境，这些多样化的环境的部署可以完全地隔离安全策略，包括身份验证、网络地址解析、状态化访问控制和系统日志/统计信息记录等。使用多个环境就像是拥有多个独立的防火墙。但是，为了有效地使用这些防火墙，管理员必须审慎地分配FWSM 资源。网络管理员可以随时限制为任何一个安全环境分配的资源，从而确保安全环境不会互相干扰，虚拟资源共享可能会产生资源使用冲突的问题，即有时可能所有的资源都会被某一个环境所占用，而其他一些小型环境则得不到任何资源。网络管理员可以平等地分配资源，并通过PDM 对防火墙进行统一的管理。这能有效地避免一个环境占用过多资源的情况。

　　实现方案如上图所示，可在IDC核心交换机上部署防火墙安全服务模块，通过物理防火墙或者虚拟防火墙为IDC内客户提供防火墙安全服务。在网络核心交换机中增加防火墙服务模块，或者在网络中增加防火墙设备，这些网络元件均为串联接于网络中，此时并不需要复杂的流量割接等处理，对于路由型防火墙，需要对网络路由进行部分的重新规划，保证被保护服务器的流量通过防火墙设备进行安全处理。

　　2.6产品功能

　　客户服务器访问控制：产品平台可根据客户需要基于路由工作模式、透明工作模式，以及路由与透明两种模式混合的工作模式，在网络层和传输层对被保护的客户服务器提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤，并进行完整的协议状态分析，保护客户服务器资源免遭非法入侵和访问，能够提供7*24小时的专业级防火墙安全服务，可承诺的每用户保护带宽在千兆数量级。

　　应用层深度内容检测与控制：产品平台能够在应用层通过深度内容检测机制，支持对HTTP、SMTP、FTP的内容过滤，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;支持HTTP、FTP、SMTP内容检测，可提供Local DB、Radius、MAC地址等的认证功能支持。

　　基本攻击检测功能：产品平台支持IP，TCP/UDP层的基本攻击检测，包括 Syn Flood、Smurf、Targa3、Syn Attach、ICMP flood、Ping of death、Land、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof端口扫描、DOS、DDOS等各种攻击。并支持碎片，TCP流重组，为客户服务器提供Websense/N2H2 URL过滤，fixup配置与重名等功能。

　　VOIP业务深入检测功能：VOIP是今后IDC业务的重要发展方向，因此产品平台可为VOIP业务服务器提供VOIP流量深入检测功能，支持H.323、MGCPNAT、GTP Fixup、SIP、Skinny Video等主流语音应用防护。

　　提供端口阻断和客户服务器的SYN代理功能：产品平台能够支持端口阻断功能，可以根据数据包的来源和数据包的特征进行阻断设置，并可为客户服务器提供SYN代理，对来自定义区域的SYN FLOOD攻击行为进行阻断过滤，保护客户服务器。

　　3、入侵防护服务

　　IDC客户面向互联网提供的服务，因为应用广泛性、互联开放性、服务交互性等，将面临很大的安全风险，如各种各样的网络攻击：DoS攻击、漏洞攻击、蠕虫病毒、木马侵入、间谍软件、扫描攻击等。这些攻击隐蔽强，往往能够穿越普通的安全访问控制设备。时时对访问大客户业务的流量进行入侵检测分析和防御，将有利于全面掌握和控制安全风险，保障大客户业务的安全运行。

　　3.1产品概述

　　入侵防护安全增值服务产品：在物理上划分区域来建立安全增值服务区域，在这一区域的网络边界提供入侵检测和防护的安全服务。防御操作系统漏洞攻击;防御木马传播;防御间谍软件;防御Web系统攻击;提供安全防护审计报告。入侵防护安全增值服务产品，定位于中端的增值服务，可以面向各类主机托管和主机出租的IDC客户。大客户-独立使用入侵防护设备等安全服务;中小客户-共享使用入侵防护设备等安全服务。

　　3.2产品部署方案

　　为了提供入侵防护增值服务，需要建立增值服务区域。以下分两种服务类别介绍。

　　入侵防护共享增值业务区：托管或出租的主机分别接入汇聚层交换机，经双机部署入侵防护设备，连接到防火墙，再连接到IDC网络核心设备。入侵防护设备基于保护对象的IP地址部署入侵检测和防护，过滤各种常见的应用层攻击行为。可以针对不同的IDC客户进行特定的策略管理、运行风险管理、日志审计等。

　　入侵防护专享增值业务区：托管或出租的主机通过接入交换机再连接到入侵防护设备，或者直接连接到入侵防护设备。再由入侵防护设备连接到汇聚层交换机以及网络核心设备。这类客户使用一台物理的入侵防护设备。

　　上述两种入侵防护增值服务，为使网络部署和运维工作最简化，建议入侵防护设备工作在透明模式，支持快速双机切换功能。在实现入侵防护增值服务方案时，应具备以下两个功能要求：

　　虚拟系统：虚拟系统可以将入侵防护设备划分出若干逻辑的虚拟设备，每个虚拟设备可以单独设置路由、防火墙策略、IPS、内容层的防病毒等功能。基于角色的管理允许不同的管理员仅管理它们授权的虚拟系统，使它们建立和维护它们自己的一套安全策略、地址和地址组，以及监视系统状态。

(责任编辑：)