联想网御异常流量管理系统白皮书

联想网御异常流量管理产品白皮书 联想网御安全管理系统联想网御异常流量管理系统产品白皮书V1.0联想网御科技（北京）有限公司版权信息版权所有 20012007，联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属联想网御科技(北京)有限公司所有，受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。商标信息联想网御，Legend，Lenovo，leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标，受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。联想网御科技（北京）有限公司Lenovo Security Technologies Inc.北京市海淀区中关村南大街6号中电信息大厦8层 8/F Zhongdian Information Tower No.6 Zhongguancun South Street, Haidian District, Beijing电话(TEL)：010-传真(FAX)：010-技术热线(Customer Hotline)：010-电子信箱(E-mail)：公司网站：目 录1、产品概述42、产品组成43、产品特点54、Leadsec-Detector产品特性与功能95、Leadsec-Guard产品特性与功能106、典型应用111、产品概述联想网御根据多年对网络攻击和防护的深刻理解，倾力打造了异常流量管理系统，该系统包括异常流量分析(Leadsec-Detector)和异常流量过滤(Leadsec-Guard)两个模块。LeadsecDetector可对不同网络节点的流量进行实时关联分析，在定位异常流量发源地后通知Leadsec-Guard，Leadsec-Guard对异常流量完成牵引和过滤，系统通过Leadsec-Detector和Leadsec-Guard的协同工作，完成全网的流量分析、异常流量牵引、DDoS攻击过滤、P2P识别与控制、异常流量带宽限制等处理，帮助用户实时地了解网络运行状况，及时地发现网络中出现的问题并自动对异常行为做出响应，从而快速消除异常流量造成的危害。2、产品组成Leadsec-Detector：包括一到多个硬件采集器（Agent）和一个中心服务器（Server），采用分布式处理方式，完成网络流量数据采集、流量分析和异常流量牵引等处理。Leadsec-Detector在异常流量管理统中可作为异常流量分析模块，也可以单独使用。Leadsec-Guard：采用高性能硬件平台，完成DDoS攻击过滤、P2P识别与控制和异常流量限速等处理。Leadsec-Guard在异常流量管理系统中可作为异常流量过滤模块，也可以单独使用。3、产品特点3.1 海量DDoS攻击防御能力Leadsec-Guard高端产品采用国际上领先的多核多线程处理器，同时驱动多达64 颗微CPU并行工作，采用联想网御VSP 通用安全平台以及独有的“矩阵式并行算法”和“多核CPU 动态调度算法”，大流量攻击下的新建连接成功率和原连接保持率显著高于同类产品，是目前唯一一款单机可防御10G大流量DDoS攻击的设备。3.2自学习异常流量过滤器Leadsec-Guard通过联想网御独创的智能防护算法，对攻击行为进行分析和自学习，动态形成攻击特征库，可有效区分攻击流量和正常流量，防护SYN flood、UDP flood、ICMP flood等二十多种攻击，保证正常流量不受影响；Leadsec-Guard自学习异常流量过滤器采用了以下几种技术：特征识别：联想网御攻防实验室长期积累攻击和攻击工具的特征，形成攻击特征库，可直接过滤网络上流行的多种攻击。身份鉴别：在通信过程中，加入验证的过程，验证源地址和连接的有效性，防止伪造源地址和连接的攻击，并支持黑名单、白名单和灰名单。动态过滤：支持简单包过滤、状态包过滤和动态包过滤，可以分别选用，根据源地址、目的地址、源端口、目的端口、协议进行访问控制，禁止不必要的访问。智能防护：联想网御独创的智能防护算法，区别于传统的统计丢包算法，通过自学习，对一段时间内的通信进行分析，通过对多个上下文数据包的分析，区分正常流量和攻击流量，然后过滤绝大部分的攻击流量，正常流量不受影响。对UDP flood和ICMP flood有较好的防护效果，如可有效防护针对聊天服务器和视频的UDP flood攻击。协议分析：检查通信过程是否符合TCP/IP协议的完整性。并对HTTP、DNS、P2P等协议进行深度分析，支持对SYN/SYN ACK/ACK flood攻击、HTTP get flood攻击、DNS query flood攻击、CC攻击的防护，支持BT、Emule等P2P协议的识别、阻断和限制。连接限制：支持对IP/子网的并发连接和新建连接限制，可根据源地址、目的地址、源端口、目的端口、协议限制并发连接总数和新建连接速率限制，新建连接速率限制分为保护主机、保护服务、限制主机、限制服务四种。从连接数的角度对网络资源进行合理配置，可防止大规模攻击和蠕虫扩散的发生。并支持防扫描功能：TCP端口扫描、UDP端口扫描和ping sweep。流量控制：完全硬件实现的流控，支持最大带宽、保证带宽、优先级，从带宽的角度对网络资源进行合理分配。3.3 网络资源精确分配与管理Leadsec-Guard通过状态检测、连接数管理和硬件流量控制，从带宽和连接数等多个纬度，精准实现对网络资源的合理分配和对异常流量的有效控制。完善的用户并发连接限制和新建连接限制更有效管理网络资源从连接数的纬度保证用户重要业务的质量。Leadsec-Guard可针对每条安全规则，对指定的子网/ip/服务设置连接数量限制和连接速率限制，从而对网络资源进行合理分配，从带宽和连接数两个纬度，保证用户重要业务的质量。可实时查看每条安全规则当前连接数，从而可以有效监控网络状况。可防止对服务的恶意访问和攻击。Leadsec-Guard通过启用保护主机和保护服务功能，可有效防止单一主机或子网对用户服务的恶意访问和攻击行为，有效保护服务器的正常运行，保护网络的安全以及正常业务的运转。可有效防止蠕虫病毒扩散。蠕虫病毒发作的特点是：产生大量的连接去感染其他设备。Leadsec-Guard通过启用限制主机和限制服务功能，可以防止单一主机或子网向其他主机发起大量的连接，从而有效防止类似冲击波、震荡波等蠕虫病毒对网络造成的危害。硬件实现的QoS可以有效地进行高吞吐量下的带宽管理由硬件实现的QoS可以有效地进行高吞吐量下的带宽管理，在此基础上可以增加优先级的划分并有效提高带宽控制粒度。系统采用联想网御独有的“矩阵式并行算法”和“多核CPU 动态调度算法”，可实现复杂的拥塞管理、队列调度、流分类和QoS功能，并具有极高的查找、转发性能，真正实现“硬件流控”。强大的应用协议识别和控制功能对网络流量进行有效控制Leadsec-Guard通过状态检测机制和深度协议分析，可以对以下应用协议进行识别、阻断和限制：1) P2P下载：包括迅雷、BT、eDonkey、eMule等常见P2P下载软件。2) P2P视频播放：包括PPLive、QQLive、PPStream等常见P2P视频播放软件。3) IM即时通讯软件：包括QQ、MSN等常用IM软件。4) 在线游戏：包括魔兽、CS、征途、联众、天堂、梦幻西游、仙剑情缘、热血江湖、劲舞团、诛仙、浩方、泡泡堂等多种在线游戏软件。5) 炒股软件：包括大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信、股票之星、华安证券、和讯报道、钱龙等多种炒股软件3.4分布式异常流量关联分析Leadsec-Detector基于NETFLOW技术，采集并分析NETFLOW流量信息，一旦检测到异常数据流，则发出警告信息。系统有助于网络管理员实时地了解网络运行状况，及时地发现网络中出现的问题。由于网络中的数据流信息量非常大，如果网络中各个节点的路由器都将数据流的相关信息发送到一台集中的采集器上，会存在两个问题：一是信息量太大，占用过多带宽，影响到正常的业务信息；二是对采集器的容量和处理能力的要求会非常高。正是因为这样，系统采用了分布式采集、分散式处理和集中管理的机制。由操作原理图可知，系统采用中心服务器与多个AGENT的结构，AGENT放置到流量信息采集点本地，同时流量分析也在AGENT进行，AGENT只是将异常流量信息发送到中心服务器，大量减小了中心服务器与AGENT之间的通信流量。中心服务器负责统一的配置管理,对攻击流发出告警等功能。4、Leadsec-Detector产品特性与功能功能点功能详细要求产品架构体系架构产品由控制台和探测器两部分组成，使用专用的一体化硬件平台操作系统采用VSP通用安全平台，具备高效、智能、安全、健壮、易扩展等特点检测引擎采用USE统一安全引擎功能数据格式与网管支持支持NetFlow(v1,v5,v7,v9),sFlow(v4,v5),cFlow,NetStream等封装格式支持SNMP v1, v2c ,v3 GET/TRAP、MIB 等方式网络异常的检测支持DoS/DDoS攻击检测，包括：n SYN Floodn ACK Flood n Stream Floodn Connection Flood n UDP Floodn ICMP Floodn IGMP Floodn RST Floodn Protocol Nulln TCP Flag Abnormaln TCP Flag Nulln UDP Fragmentn TCP Fragment等支持MS Blaster等蠕虫异常检测，包括：n SQL蠕虫n 红色代码n 震荡波n 冲击波等支持对于流量异常的检测，包括：n TCP比例异常n UDP比例异常n ICMP比例异常n IGMP比例异常n bps超常n pps超常等支持基于自适应基线 (Baseline)等方式的行为分析检测支持自定义流量异常阈值的强制行为分析检测支持基于应用、协议、网络地址、封包大小等进行分析统计支持饼图、柱图等图形化报表支持topN的流量分析方式支持实时呈现流量异常的信息支持大容量内部存储，可以长时间监控特定网络流量支持路由器性能分析，包括CPU及内存利用率、端口流量支持同时分析来自多个数据源的数据响应方式支持主动响应方式，包括黑洞路由导入、流量牵引及净化支持被动响应方式，包括实时的邮件SNMP Trap及Syslog报警和日志管理方式支持基于HTTP协议和HTTPs的Web管理支持远程Telnet/SSH加密CLI命令管理支持账号密码/RADIUS认证管理支持提供分级用户权限, 并可设定群组账号管理支持基于群组的特定范围的告警5、Leadsec-Guard产品特性与功能功能类别功能描述安全平台硬件架构使用专用的一体化硬件平台操作系统采用VSP通用安全平台，具备高效、智能、安全、健壮、易扩展等特点抗攻击功能防御流量型flood攻击抗SYN flood攻击抗UDP flood攻击抗ICMP flood攻击抗Stream flood攻击抗ARP flood攻击等防御应用型flood攻击抗CC攻击抗DNS攻击抗Connection flood攻击抗HTTP Get flood攻击等防御DOS攻击抗Ping of death攻击抗Land攻击抗Teardrop攻击抗Smurf攻击等其他抗攻击抗 ARP spoof攻击抗 IP 流攻击抗 TCP 无标记攻击抗无确认 FIN 攻击抗 IP 安全选项攻击抗 SYN & FIN 位设置攻击抗 IP 记录路由攻击抗松散源路由攻击抗 IP 时间戳攻击抗严格源路由攻击抗圣诞树攻击等防扫描防TCP端口扫描防UDP端口扫描防Ping sweep扫描等带宽管理保证带宽支持对某一网络对象的保证带宽设定最高带宽支持对某一网络对象的最高带宽限定优先级设定支持对网络对象或应用的带宽优先级设定连接管理并发连接限制支持针对IP/子网的并发连接限制新建连接限制支持针对IP/子网的新建连接限制动态过滤支持状态检测防火墙功能，支持基于IP、端口、协议、时间表的策略应用协议识别与控制支持对迅雷、BT、eDonkey、eMule等常见P2P下载软件的识别、封堵和限制支持对PPLive、QQLive、PPStream等常见P2P视频播放软件的识别、封堵和限制支持对 QQ、MSN等常用IM软件的识别、封堵和限制支持对魔兽、CS、征途、联众等多种在线游戏软件的识别、封堵和限制支持对大智慧、同花顺等多种炒股软件的识别、封堵和限制安全管理友好的Web图形界面配置，支持SSH和串口命令行配置可通过LeadSec-SA安全审计系统实现安全审计、日志分析、安全报警等功能高可靠性支持232台设备的多机集群，支持集群设备间的状态表同步支持双机热备，主从设备切换时间小于1秒6、典型应用典型应用1某电信运营商城域网防拒绝服务攻击解决方案据用户统计，DDOS攻击流量经常占到其网络带宽的50%以上，导致网络性能下降和重要客户服务受影响，遭受大规模DDOS攻击时，整个网络甚至中断。在实际网络环境中加入联想网御公司异常流量