不想错过重要资讯?
马上订阅新闻邮件!
 
a 您现在的位置: 中计在线 >> 资讯 >> 互联网 >> 文章正文
东软NetEye NTARS应用运营商网络
作者:侯小东    文章来源:中计在线    更新时间:2006-11-21 11:10:42
【字体:
 中计在线信息化频道全心上线!全力推动中国信息化进程!信息决策,易如反掌,尽在CIW信息化!
热点专题:2007暑期促销宝典
·TMMB被指绕不过韩国专利陷阱
· AMD否认外包芯片生产业务
·华为称华赛正招募大批黑客
·传大唐移动获得青岛TD项目超50%份额
·赛迪金笔杆二季度评选活动

  
  东软NTARS方案图
  概述
  随着网络规模的持续扩大和业务系统的不断拓展,运营商的网络面临越来越严重的安全威胁。近几年来蠕虫病毒的爆发日趋频繁, 大规模的分布式拒绝服务攻击事件也时有发生,垃圾邮件和P2P等异常流量日益泛滥,这些对于网络的可用性都提出了严峻的考验。
  对于运营商网络而言,其核心的部分是承载了众多业务系统的IP网络。IP网络一般下辖IP骨干网、地市城域网、各业务网络、直属单位网络,规模庞大、业务支撑系统众多。服务器、存储设备、采集机、数据库、应用软件、业务终端等构成了非常复杂的业务应用。因此整个网络的安全可靠运行成为对多用户和复杂应用提供高质量网络服务的保障基础和前提条件。
  运营商面临的难题
  对于众多的非法流量,长期以来一直没有一种很好的技术手段能够从根源上解决这些问题,因此运营商的管理员们有时不得不面临窘境,如:
  ·缺乏对异常流量的检测:当IP网络产生了较大数据流量时,包括IP网络内部产生较大数据流量和IP网络出口位置产生较大数据流量,这些严重影响了网络带宽和服务质量的异常流量,难以被及时检测;
  ·无法对异常流量进行溯源:当检测到异常流量时,不能准确溯源到产生异常流量主机的源IP地址和MAC地址,尤其不能定位到交换设备的物理端口;
  ·无力对异常流量进行分析:当检测到异常流量时,不能及时地对发生的异常流量进行概要分析,不能准确识别出异常流量的攻击方向;
  ·缺乏对异常流量的处理:对常见的异常流量,没有自动的有效处理措施,如:自动发送指令控制交换机和路由器做出一些防护措施,如速率限制或者直接关闭端口等;
  ·缺乏对异常流量的告警:当检测到异常流量时,不能及时通过E-mail或短信的形式进行告警;
  东软NetEye NTARS解决方案
  东软NetEye NTARS,即NetEye异常流量分析与响应系统,采用独创的ICA技术为运营商的网络提供了全方位、立体化的流量监控、分析与响应体系,为整个网络的安全稳定运行提供了坚实的基础。
  通过接收各种网络设备的Flow数据、SNMP信息、原始数据包、BGP路由等不同层面的网络流量数据,对系统网通信状况进行实时监控,利用特征知识库,采用流量分析、攻击检测、协议分析、行为分析、内容分析等技术,检测网络异常和网络攻击,并把相应统计分析数据汇总到数据中心,备份存储,面向管理员,提供流量趋势、网络状况、事件报告等的网络信息审计。如果发现攻击和网络异常,启动响应组件。响应组件根据相应策略,对DoS/DDoS攻击、蠕虫与病毒攻击、垃圾邮件、非法访问等进行阻断和防御。
  NetEye NTARS包括管理控制中心和分析引擎,结合响应系统,构成完整的针对网络异常流量的解决方案。管理控制中心可以集中管理和控制在全网中多个节点分布式部署的NetEye分析引擎,不需要单独安装管理控制客户端,便可以在网络中的任意节点上使用浏览器进行操作。
  NetEye NTARS实际应用
  根据对某运营商的IP网络系统了解与分析,东软部署了NTARS方案,如图所示。
  网络中核心层采用两台防火墙部署在网络出口位置,汇聚层通过核心交换机接入到防火墙。其中NetEye NTARS的监控对象为IP网络的边界路由器、核心层交换机和汇聚层交换机设备,这样的设置不仅可以监控外部网络和IP网络之间的流量,同时也可以监控IP网络内部的网络流量状况。
  通过配置边界路由设备接口的FLOW功能,对进出IP网络的流量采用标准的Flow协议进行数据采集并加以分析;通过配置两台核心交换机的FLOW功能,对IP网络的内部流量采用标准的FLOW协议进行数据采集并加以分析;通过将NetEye NTARS连接到两台核心交换机的SPAN接口上,使NetEye NTARS系统对IP网络的全部流量进行原始数据包分析;通过配置所有网络设备的SNMP功能,对所有网络设备的物理接口进行管理和监控。上述配置的完美搭配,帮助用户实现:
  NetEye NTARS通过对边界路由设备和核心交换设备采用标准的FLOW协议完成数据采集,通过对网络流量中异常行为的鉴别,实时检测因大量数据包的泛滥式攻击造成的网络流量异常,包括网络中的DoS/DDoS攻击、蠕虫病毒、大量的垃圾邮件等异常流量。
  NetEye NTARS通过采用标准的SNMP协议完成核心交换设备信息的收集,关联异常流量行为特征的分析结果,迅速将异常流量源头准确定位到核心交换设备的物理端口级别上,管理员可通过采用限制端口速率、设置ACL或者直接关闭端口等措施实施防护响应。
  NetEye NTARS自动发送指令启动核心交换机指定端口的SPAN功能,完整采集原始数据源,采用数据流智能重组、特征检测、协议分析相结合的检测方法,根据强大的攻击特征库准确检测IP网络内部的攻击行为,并提供攻击报告和解决方案。针对特殊的应用协议,进行内容检测、协议解码分析,可检测隐藏在正常应用协议中的非法网络流量,如:P2P流量等。
  NetEye NTARS对于检测到的攻击入侵、蠕虫病毒、DoS/DDoS攻击、垃圾邮件以及其他网络异常事件,将通过声音、Syslog、Email、SNMP Trap等方式进行报警,并可进行深度防御和响应,如调整ACL、配置黑洞路由,与防火墙、防垃圾邮件系统等安全设备互动。
  总结
  目前众多的监控审计系统采用了根据已知的攻击特征行为来确定安全问题的方法,虽然这些系统对于已知攻击行为的检测率较高,但是也暴露了这类安全产品的弱点:无法对未知攻击方式或者异常访问行为进行识别和检测。
  而NetEye NTARS基于FLOW技术的网络异常流量检测和分析机制,完美地填补了这块空白。尤其综合采用FLOW、SNMP、SPAN技术的网络异常流量检测和分析机制,在面对已知的攻击入侵、变异的蠕虫病毒、新型的DoS/DDoS攻击时,都表现得游刃有余。
  东软NetEye NTARS正是这类产品的典型代表。
责任编辑:卢梅荣
  • 上一篇文章:
  • 下一篇文章:
    • 发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     相关文章
    CCID发布2006年中国软件外包服务市场研究报
    CCID发布2006年中国软件外包服务市场研究报
    3个数字解读东软集团整体上市
    东软整体上市方案解除空壳化之忧
    安全市场突围:东软的竞争法则
    东软率先同时通过软件外包与BPO业务ISO2700
    东软揽才触角瞄准海外著名高校
    东软携CT、PET、MRI及CAD亮相RSNA
    个性化服务助力个性化“数字校园”——惠普
    重庆烟草:动态资金管理与全面预算
     相关评论
    网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
    用户名:
    · 您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任
    · 留言板管理人员有权保留或删除其管辖留言中的任意内容
    · 本站提醒:不要进行人身攻击与无聊谩骂。谢谢配合。
    热门文章
    最新推荐