09年度从运营商角度看当前网络安全产品的发展

转载自：弯曲评论
原文链接：http://www.tektalk.org/2010/04/1 ... %E5%8F%91%E5%B1%95/


作者 gztommyt | 2010-04-19 06:04 | 类型 网络安全 | 1条用户评论 »

以下是从国内运营商角度来看当前网络安全产品的发展，请大家，难免会有偏颇观点，请拍砖。

目前在运营商部署应用较多的主流网络安全产品包括防火墙、入侵检测/防御系统（IDS/IPS）、流量分析/清洗系统、深度包检测（DPI）、Web应用防火墙（WAF）等。

1、防火墙
防火墙设备经过十多年的发展，从第一代的PC机软件、工控机、PC-Box、MIPS架构，到第二代的NP、ASIC架构，直至目前的多核多线程专用安全处理芯片背板交换架构，其功能也由基本的包过滤功能开始逐步增加NAT、认证、VPN、抗攻击、虚拟防火墙等相关功能，功能逐步完善。各厂家防火墙的性能也在不断提升，Juniper、Crossbeam、华为等厂家推出了40G以上的产品，Hillstone、Fortinet、华三等厂家也推出了10G档次的产品，目前这些厂家的设备在功能和性能上基本可以满足在L3-L4进行访问控制的要求。目前防火墙设备有从传统三四层防护基础上向应用层安全防御方向发展的趋势，在传统防火墙架构上不断增加应用层防御功能。如Juniper、Fortinet、华三等厂家的产品在基于NP系统架构及防火墙基本功能的基础上，增加了内容处理器与通用处理器（CPU）配合使用处理应用层的攻击行为，实现将已知的威胁特征库（如病毒库、IPS库等）与内存中待检测对象进行匹配（待检测对象可以是数据包、文件，包括压缩文件等），其中内容处理器专门进行协议识别和解析，可以快速重组数据包，扫描发现可疑的内容。但由于应用层的防御对设备资源的消耗大幅度增加，因而应用层防御的高端设备有待各厂家完善及提高。

在运营商网络中，防火墙设备可以部署于DCN、办公网、网管网、业务系统等提供内外网的隔离，或者部署于IDC为客户提供安全业务。在防火墙设备选择时，应结合实际应用的业务环境进行综合考虑，选型设备时主要结合L3-4 吞吐量、每秒新建连接数、最大并发连接数、Goodput等方面的性能指标参数进行综合考察。
2、IDS/IPS
IPS产品以在线方式（串接）部署，当旁路部署时作为IDS使用。IPS设备针对数据包进行深层次检测并实施告警阻断，这种技术机制大大增加了设备资源的开销，以目前产品技术状况来看，不适合在高吞吐量的网络中部署应用。
目前IPS产品分为独立设备和集中式网关两种方式，McAfee的IntruShield、Tippingpoint的Tippingpoint E、N系列等厂家的产品采用独立IPS设备的方式，而Juniper的SSG和SRX、Fortinet的Fortiguard等则采用集中式网关方式，将入侵防护作为一个功能模块集中到安全网关设备中。这两种方式各有优缺点，利用独立设备的产品功能扩展方便，但硬件设备的成本占很大比例；集中式网关方式成本相对较低，硬件扩充性较好，但是将入侵防护功能集成到综合网关会造成安全网关性能的下降。目前主流IPS厂家包括McAfee、Tippingpoint、Radware、Juniper、Cisco、Fortinet、启明、绿盟、华三等。
在运营商网络中，IPS设备可部署于DCN、办公网、业务系统，或者用于IDC为客户提供安全业务。选择IPS设备时，任何部署应用场景均要考核IPS设备检测、拦截的准确率、防护响应的实时性、自定义入侵防御特征、签名库的更新等参数指标，同时结合实际的应用场景，考虑IPS设备每秒新建连接数、最大并发连接数及应用层吞吐量等性能指标。如确定被保护的对象只对外提供Web服务，则可只选择HTTP协议的防护及其攻击签名库。

3、流量检测分析设备
流量检测分析设备是基于流技术的骨干网流量分析产品，能够分析诸如DDoS流量、网络滥用误用、蠕虫爆发、P2P流量等骨干网上的大部分异常流量。随着网络异常流量检测设备的判定准确性日益提高，流量检测分析设备逐步与异常流量控制技术结合。目前，部分厂家的异常流量检测分析设备可通过宣告黑洞路由、提供ACL过滤策略等方式与路由设备进行交互来有效处理异常流量。
为了满足对大型运营商承载网流量的检测需求，目前流量检测分析设备可采用一台控制器管理多个独立部署的收集器的分布式部署方式，通过多层次、分布式的结构满足对多个路由设备、总流量高达数百Gbps的骨干链路提供实时流量分析和异常检测，单台流量检测分析设备基本上能支持50,000 flow/s，部分厂家设备甚至可达到70,000 flow/sec。目前流量检测分析设备主要用于运营商骨干网络的监控检测和分析，应用较多的流量分析设备包括Arbor PeakFlow和Genie ATM。
选择设备时，应考察其支持采集的流数据类型，包括NetFlow v1/5/7/9、sFlow v4/5、cflowd、NetStream等；考察其统计分析能力，包括基于路由器、路由器端口、AS号、对等Peer、网络协议、BGP Community等参数进行组合对流量进行分析统计；而设备性能应考核单台设备每秒集采flow的条目数，整体系统应能满足现网的采集需求。

4、异常流量清洗设备
专用于异常流量清洗的产品，主要有绿盟的黑洞、思科的AGM模块、华为的E8080E、Arbor的TMS等。这些清洗设备基本支持BGPv4 作为流量分析和流量牵引，而思科和华为设备均在路由交换设备上加插清洗模块，因而在流量回注、QoS支持功能方面比其他两个非路由交换设备架构的产品较丰富，
如MPLS VPN回注，Arbor和绿盟的清洗设备则需要借助前端部署的路由交换设备来满足多样化的回注、QoS功能。
清洗设备在硬件架构上的差异也使得各自性能有所不同，由于Cisco AGM、华为E8080E设备采用模块化设计，转发和控制分离，采用NP处理器，通过多线程完成报文的分析及处理，因而能平滑扩展到30G以上的清洗能力。绿盟单台黑洞D4000的清洗能力为4G，可通过多台黑洞设备组成集群模式来满足10G、20G清洗容量的需求。Arbor 新推出的TMS 4000也是模块快设计。
在运营商网络中，异常流量清洗设备主要是针对网络上的DDoS攻击流量进行过滤，一般旁路部署在骨干网、城域网、IDC出口等，能对Syn Flood、
UDP flood、CC、ACK等常见的DDoS攻击行为进行过滤。对异常流量清洗设备进行选择时可考虑系统整体清洗容量、每秒清洗攻击报文的数量(PPS)、对正常业务的时延影响等参数，同时由于其旁路部署应用模式决定了异常流量清洗设备须具备MPLS VPN、MPLS LSP、GRE、L2等回注功能，目前在骨干网、城域网等层面采用了MPLS VPN、GRE Tunel等方式将清洗后的正常流量回送，在IDC业务环境下则多数采用L2回注方式将清洗后的正常流量回送到同一VLAN的下层设备中去。

5、DPI
目前DPI能实现的主要功能包括了流量识别、流量控制，对下载型和流媒体型P2P应用（如BT、eMule等），通过识别这些占用大量网络资源的应用进行有效管理，从而保证其他用户的正常网络应用。在安全方面，DPI能对一些特征简单的垃圾流量和恶意流量进行有效抑制，例如一些网络蠕虫病毒、Flood等；同时DPI可通过报文特征分析，识别出僵尸网络中的僵尸及其控制者，记录僵尸网络信息并发出告警，对僵尸网络的防控有较大帮助。但目前DPI产品还缺乏对应用层的攻击进行识别和控制的能力，不能替代IPS。
目前推出DPI设备的厂家包括华为、Cisco、北京宽广电信、GenieNRM、Sandvine、Allot等。其中华为、宽广、Allot的DPI产品较为成熟，在国内外均有应用，可通过对网络流量感知和分析，针对公共接入服务提供每用户差异化接入控制、P2P流量控制以及URL过滤、僵尸网络防控等安全防护业务。
在运营商网络中，DPI设备可部署于城域网出口链路对出入城域网的流量实施控制，对业务流量和用户行为进行分析，提供应用层小流量的攻击识别，并对僵尸网络信息进行分析和阻断；也可部署于BRAS/汇聚层路由器上联链路实现流量控制，业务流量和用户行为分析，并提供差异化服务。针对DPI设备的考核指标包括设备的部署方式（分光、镜像、串接）、对下载型的P2P（BT、迅雷、eMule/eDonkey等)、流媒体型的P2P(QQLive、PPLive等)、IM、VOIP业务流量的识别、分析统计及控制，同时设备性能应满足线速、低延迟处理要求。

6、WAF
WAF作为一种在国际安全市场上新起的专用设备，在世界范围的安全市场内有明确的功能定义：具备针对各类Web应用攻击的检测和防御能力，如蠕虫威胁、黑客攻击、SQL注入、跨站脚本等。目前在国内，WAF市场尚未有明确定义，许多不同的产品都归在了WAF名下。目前国内厂商主要采用两类技术路线：一类主要针对HTTP协议进行深度解析，对HTTP行为能进行深度甄别；另一类对原有IPS产品的功能进行裁剪，只保留了IPS针对HTTP协议的防护功能。而进入国内市场的国外产品功能较复杂，并缺乏对国内特有问题（如网页篡改、网页挂马、拒绝服务攻击等）的考虑。因此，目前WAF产品对于解决Web应用安全问题还存在较大局限性。
由于WAF是针对Web应用的防护产品，因而该类型设备必须具备对HTTP协议完整解析的能力，如：报文头部、参数及载荷；支持各种HTTP 编码、识别Web攻击行为并能减少误判和漏判，同时新建连接数、并发连接数、设备高可用性等都是考核该类型产品的关键指标。

从目前技术和应用的发展来看，网络安全设备主要有以下发展趋势：
（1）安全功能集成化。网络安全设备由过去单一的网络安全产品向多种安全产品及多种安全技术的融合应用转变。同时随着网络处理器（NP）、安全专用处理芯片及ATCA（先进的电信计算平台）技术的成熟和发展，基于这些芯片、架构技术的网络安全产品具备优异的运行速度和良好的升级能力，使得在原来防火墙、VPN产品线的基础上增加IPS、内容过滤、流量控制、安全管理、防病毒等网络安全模块成为可能。
（2）安全设备云化。网络攻击技术的发展对安全设备的性能和响应速度提出了更高的要求，云计算架构的虚拟化、动态可扩展性、高可靠性、低成本等特性
能够满足目前网络安全设备发展的需求。如何利用云计算技术充分发挥安全产品硬件功效、提高安全产品的响应速度、提升安全产品大规模计算和分布式处理能力，已成为安全设备厂商研发的热点。目前防病毒、防垃圾邮件、内容过滤等网络安全产品都已呈现云化趋势。
（3）硬件多核化。传统的架构中，CPU资源是非常
有限的，网络层加速取代不了应用安全的资源消耗。而多核技术相当于把CPU的资源扩大数十倍，通过多核架构，充分利用CPU的资源提升病毒检测、URL过滤、内容过滤内容安全的防护能力。