H3C行为监管解决方案.docx

《H3C行为监管解决方案.docx》由会员分享，可在线阅读，更多相关《H3C行为监管解决方案.docx（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、H3C 行为监管解决方案本文主要针对当前简单的网络治理，介绍了H3C 行为监管的典型组网方案及其解决方案组件。1. 行为监管需求分析随着现有互联网的快速进展，各种互联网应用的逐步丰富，各种应用层出不穷，为我们的工 作和生活带来极大的便利。但是与此同时，这些应用也带来了一些负面影响。P2P 下载、即时通讯、电子商务、网上证券交易、网络玩耍等多种业务共存，用户行为越来越简单和多样， 带来了以下问题：以 BT 为代表的P2P 应用对现有网络提出了挑战，少量的 P2P 用户占用了大量的网络资源，不但对网络的容量形成了压力，更是对其他用户合法应用造成了严峻影响。即时通讯、网上炒股、网上购物等上网行为虽然

2、对带宽的要求不高，不会造成网络堵塞， 但是会使员工的工作效率下降， 正常工作任务无法准时完成。对非法网站的访问简洁感染病毒和蠕虫，对网络造成破坏；同时对一些不法网站的访问也有可能造成政治上的问题。公安部第 82 号令要求能够保存用户上网记录，并且记录NAT 前后的IP 地址信息，进展用户行为的审计。在这种状况下，对网络的应用进展深度的识别分析，并对这些应用加以疏导和掌握，同时对用户行为进展监管和审计成为必定，这将使得网络资源得到合理的配置和优化并保证了网络的安全。2. H3C 行为监管解决方案典型组网2.1. 解决方案总体描述H3C 行为监管解决方案由应用掌握网关和安全治理平台组成。应用掌握网

3、关有SecPath ACG 盒式设备和SecBlade ACG 插卡应用于H3C S75E/S95 核心交换机两种产品形态， ACG 可针对P2P/IM、网络玩耍、炒股、非法网站访问等行为，进展精细化识别和掌握，有效解决带宽滥用、访问非法网站感染病毒等问题；安全治理平台有SecCenter 硬件设备和ACG Manager 治理软件两种产品形态，对应用掌握网关检测出的网络安全大事进展深入分析并输出审计报告，同时收集防火墙发送的NAT 日志，帮助治理员全面了解用户行为和流量趋势，为加强整网安全、满足合规性要求供给决策依据。2.2. 解决方案典型组网图图 12.3.解决方案关键规格通过对种类繁多的

4、应用协议进展模型化，分类进展识别，在模型化识别的根底上进展智能决策，从而准确识别多种应用协议，包括P2P、IM、炒股应用软件、玩耍以及其它如流 媒体、WEB 访问、FTP 下载、网络治理等多种应用协议。供给可扩展、可升级的应用识别和行为识别力量 。可以动态的升级的应用及其行为实体的定义，并准时扩展的应用协议的分析模块。2.3.1.ACG 深度应用识别ACG 深度应用识别技术的核心是H3C i-Ware 软件平台的UAAE 应用掌握感知引擎。它和 i-Ware 深度检测引擎协作，智能高效识别网络中的各种应用协议及其行为。i-Ware 应用识别引擎UAAE为解决简单的应用识别需求，同时深入应用开掘

5、其内容特征行为，尤其是攻击行为，承受了一系列的自主研发技术。它的整体架构如图2-1 所示：图 2 i-Ware UAAE 架构UAAE 引擎对种类繁多的应用协议进展模型化，分类进展识别，同时在模型化识别的根底上进展智能决策；UAAE 为在应用中识别攻击等特征行为，对重要的应用协议进展数据解析，结合应用对数据进展分类深度检测，同时UAAE 对深度检测结果再次结合应用环境进展分析；UAAE 可以对应用的数据特征进展有状态的跟踪，而不仅仅依据单个数据报文特征做出判决；UAAE 内置供给统一的定义语言，为i-Ware 平台可扩展、可升级的应用识别和行为识别力量。2.3.2用. 户上网行为掌握通过有状态

6、的特征状态机可更准确的识别出多种P2P/IM 等应用类型，如BitTorent、Thunder(迅雷)、eMule(电骡)、eDonkey(电驴)、Kugoo(酷狗)、Poco、KazaA、Napster、iMesh、Gnutella、FileTopia、DirectConnect、Tencent Download、PPLive Stream、PPStream、MSN、QQ、Yahoo Messenger、GTalk 等等。可以通过限流措施对P2P/IM 业务带宽进展限制，同时供给基于用户、应用、时间段、源/目的 IP 等丰富的业务流量统计信息。同时，承受先进的技术分析手段，全面分析网络应用的

7、流量类型和流量流向趋势，能对网络多媒体、网络玩耍、网络炒股等应用进展识别与掌握，通过URL 过滤、关键字过滤、内容过滤等多种Internet 访问掌握策略，标准内网用户上网行为。支持的主要应用类型包括：应用类型P2P 监控即时通讯炒股软件玩耍其它说明BitTorrent、eMule、Kugoo、Thunder迅雷、Tencent Download、PPLive Stream、PPStream MSN、QQ、Google Talk、Yahoo MessengerBig Wisdom 大才智 、Straight Flush同花顺 World of Warcraft魔兽世界、Globallink流媒

8、体、WEB 访问、FTP 下载、网络治理2.3.3.应用流量分析依据ACG 上报的流量信息，安全治理平台进展应用流量分析，通过对用户、时间、协议、IP 地址、端口的纵深分析，供给基于应用协议的流量趋势、具体数据、使用排名等信息并生成分析报告，为治理员进展流量治理供给有力依据图 3图 42.3.4.用户行为审计安全治理平台收集ACG 记录的用户应用访问信息和防火墙发送的NAT 日志，对 、Email、FTP、IM 等行为进展分析，记录网页域名、地址、邮件收发人、主题、附件名、FTP上传下载文件等内容，实时输出用户行为审计报告，满足公安部第82 号令要求。当发生安全事故后，可以依据记录的信息对用户

9、既往行为进展分析和追根朔源，对潜在的破坏者可起到威慑作用。图 5图 63.解决方案组件介绍3.1.SecPath/SecBlade ACG 系列产品ACGApplication Control Gateway是 H3C 公司面对大中型企业、教育、政府等用户推出的应用掌握网关产品。依据对性能的不同要求，分别开发了SecPath ACG2022-M 盒式设备、SecBlade 插卡和ACG8800-S3 高性能电信级产品。ACG 盒式设备及SecBlade插卡基于一代的多核处理器硬件平台,产品供给搞性能深度应用检测、流量统计以及基于用户和应用的带宽掌握力量。设备支持分布式部署和集中治理， 可敏捷扩

10、展。通过基于扫瞄器的治理界面，治理员可以快速生疏系统的操作治理。3.2.安全治理平台安全治理平台包括SecCenter A1000 硬件治理设备和ACG Manager 软件产品，两种产品形态可以任选其一，在行为监管解决方案中功能完全一样。SecCenter/ACG Manager 具有以下主要功能可对ACG 产品进展图形化集中配置，并可针对不同用户定制不同的安全策略；收集ACG 发送的的用户应用访问信息，实时输出审计报告。当发生安全事故后，可以依据记录的信息对用户既往行为进展分析和追根朔源，对潜在的破坏者可起到威慑作用。4. H3C 行为监管解决方案技术特点4.1. 最全面的协议识别种类基于

11、H3C 特有的H3C 协议特征签名技术，全面识别BT、电驴、迅雷、MSN、QQ、Yahoo Messenger、PPLive 等近百种P2P/IM 应用；能对网络玩耍、炒股等应用进展识别与掌握，掌握非法应用；通过URL 过滤、关键字过滤等多种访问掌握策略，过滤非法网站， 标准用户上网行为。4.2. 最易用的集中治理和策略下发支持图形化策略配置，并可实现配置和策略的集中下发。4.3. 最敏捷的掌握手段具有对应用进展限流，阻断，干扰，告警等多种掌握手段。4.4. 最丰富的产品形态产品形态丰富，除了盒式设备之外，具有 H3C S95/S75E 核心交换机中的SecBlade ACG模块,便于治理，简

12、化网络构造，实现安全与网络的深度融合。H3C 用户识别与治理技术白皮书本文介绍了H3C 用户识别与治理技术的白皮书，通过RADIUS 协议报文分析技术，i-Ware 可以识别出用户上线、下线过程，获得用户信息，从而可以基于用户、用户组进展用户流量分析、掌握。不需要转变现有组网，也不需要重部署用户认证方案。1概述1.1产生背景网络应用多种多样，不断涌现出的应用。应用的消灭一方面便利了网络用户，另一 方面对于网络资源、企业的正常应用造成了肯定的冲击。例如，随着P2P 下载、网络电视、网络 的消灭，丰富了人们的生活，同时也严峻侵蚀着网络带宽，占用网络连接资源，影响其他正常用户对网络的使用。例如，网络

13、 的消灭，使电信运营商的收入下降；P2P 软件的使用严峻占用了企业有限的网络带宽，影响了企业正常业务的运行；P2P 软件大量消耗网络带宽和连接资源，影响运营商的其他用户，增加了运营商的维护本钱和设备投资本钱。因此，需要对一些可能影响其它用户，以及对公共资源占用严峻的应用进展掌握，保证企业正常业务的良好运行，以及运营商为用户供给良好的效劳保障。同时，运营商可以针对需要P2P 效劳的用户供给有针对性的效劳收费。对于宽带接入来说，通常是承受动态安排用户的 IP 地址，事先无法依据用户的 IP 指定掌握策略，在用户上线后才能猎取到用户名和用户IP 的对应关系。事先只能依据用户名和用户组来配置掌握策略。

14、H3C 通过用户识别以及基于用户的效劳掌握策略，实现了对宽带接入xDSL、小区宽带等，以及企业员工的效劳掌握。在已经部署的组网中，不需要转变用户的认证方案，只是将认证协议报文镜像到设备上，通过对认证协议的分析，识别出用户上线、下线行为，以及用户名与用户IP 对应关系等信息，实现基于用户名、用户组的效劳掌握。1.2技术优点H3C 的用户识别与治理技术具有以下优点： 支持在线模式、旁挂模式，部署便利。支持大用户量，可支持同时在线 6 万用户。与用户策略协作可实现用户访问的内容审计、效劳访问掌握、带宽掌握、连接数限制、VoIP 掌握、P2P 掌握等。支持丰富的报表。2 用户识别技术2.1 概念介绍用

15、户识别，是通过对流经设备的认证协议报文进展分析，识别出用户的用户名、IP 地址、用户上线时间、下线时间等用户信息。2.2 运行机制2.2.1 RADIUS 协议RADIUS 协议是IETF 制定的用于远程接入用户的认证协议。支持用户的认证、计费。该协议承受UDP 作为传输协议。RADIUS 协议认证中的角色分为接入用户、接入掌握设备BAS、认证效劳器，接入用户属于被认证的实体。接入掌握设备负责掌握只有认证通过的用户才能接入网络，对于没有认证的用户，BAS 负责将接入用户的身份信息通过RADIUS 协议发送给认证效劳器对用户进展认证，RADIUS协议在接入掌握设备和RADIUS 效劳器之间。Ra

16、dius 协议是恳求/响应模式。一个交互由一个恳求报文和一个响应报文组成。Radius的根本交互包括：认证：验证用户的身份信息，确定用户是否可以访问网络。计费开头：对于需要计费的，在认证成功后进展进展计费开头交互。 计费更：定时进展计费更交互，向效劳器上报当前用户的总流量。计费停顿：用户下线前，通知效劳器停顿计费。图 1在 RADIUS 协议的Access-Request、Access-Accept、Acct_Request 报文中，会携带用户名、用户IP 属性。2.2.2动态用户识别将与认证效劳器交互的RADIUS 报文通过镜像的方式引到ACG 设备，ACG 设备对Access-Reques

17、t、Access-Accept、Acct_Request 报文进展分析，得到用户名和用户IP 的对应关系，将其参加在线用户列表中。在觉察一个用户的停顿计费报文后，将用户从在线列表中删除。3典型组网应用3.1旁路模式图 2通过在交换机上配置报文镜像将RADIUS 协议报文，以及要掌握的用户流量镜像到ACG 设备上。ACG 通过对RADIUS 报文的识别，猎取到用户与IP 的对应关系，并识别出用户流量，依据配置的用户策略对用户流量进展掌握。在旁路模式下，只能实现对用户流量的干扰。3.2在线模式图 3通过在交换机上配置报文镜像将RADIUS 协议报文镜像到ACG 设备上。ACG 通过对RADIUS

18、报文的识别，猎取到用户与IP 的对应关系，并识别出用户流量。依据配置的用户策略对用户流量进展掌握。在线模式下，可以实现丰富的流量掌握动作，比方：限速、阻断、干扰等。H3C ACG 系列产品技术白皮书本文具体介绍了H3C ACG 系列应用掌握网关深度业务识别、带宽治理、VoIP 监控、共享接入监控以及行为审计等主要技术，并介绍了H3C 流量运营解决方案以及流量监管解决方案。1概述1.1相关术语1.1.1段segment段是在一个物理组网下对经过ACG 设备数据所做的一个规律划分，通常是一对或者多对接口，或者包含VLAN ID 的接口数据流。ACG 相关的业务都基于Segment 进展配置。1.2

19、 流量治理面临的挑战带宽治理混乱以及流量运营困难是流量治理现状的写照。带宽资源严峻缺乏、非法宽带私接以及“地下”VoIP 等是流量治理面临的巨大挑战。1.2.1 “地下”VoIP 业务以 Skype 为例，现阶段宽带用户正在大量使用 skype 进展国内长途甚至是国际长途的语音效劳，同时局部用户还利用该技术进展非法的VoIP 语音业务运营如黑话吧，Skype 作为分布式VoIP 开头快速兴起，给传统电信带来一股猛烈的冲击波，Skype 的推出带来如下问题：由于费用较低，使用Skype 拨打长途 和市话，给电信运营商带来话费损失；Skype 通过其独有的技术，穿透防火墙，占用网络带宽，同时由于数

20、据是加密的，数据传输内容不行控而可能带来安全问题，特别是给大企业的网络带来安全问题。1.2.2 非法共享接入在宽带用户的进展过程中，终端用户的接入手段敏捷多样，局部用户可能以个人名义申请宽带资源通过共享接入的方式进展牟利或者躲避费用，形成流量运营的收费盲点，给运营商以及校园网治理等带来巨大损失。1.2.3 P2P 应用作为一种的理念，P2P 技术在肯定程度上实现了IP 网络带宽资源的合理安排，一些由于带宽缺乏而未能大规模开展的业务，如视频流媒体业务，有望得以规模化应用，同时， 现网上大量P2P 应用也在疯狂的抢占带宽资源，有数据显示在晚上顶峰时段大约有90的流量为P2P 应用。1.2.4 IM

21、 类应用据中国人才热线的一次网络调查显示，涉及经营治理、IT、市场营销、财务金融、效劳、行政和人力资源治理等不同行业的 2022 名被调查者中，仅在工作中使用MSN、QQ 等谈天工具的比例高达 89.2。IM 类应用极大的影响了企业员工的工作效率。1.3 ACG 流量精细化治理解决方案目前的流量治理模式是基于带宽的粗旷式治理，带宽治理者对网络上业务流量的类型及使用状况等知之甚少，无法实现流量的完全监控和治理。H3C SecPath ACG 应用掌握网关设备是H3C 公司面对运营商、大中型企业、教育系统开发的专业应用掌握网关设备，供给高性能 2 到 7 层的深度报文检测、流量统计以及基于用户和应

22、用的带宽掌握力量。为用户供给精细化流量治理解决方案。2深度应用识别ACG 深度应用识别技术的核心是H3C i-Ware 软件平台的UAAE 应用掌握感知引擎。它和 i-Ware 深度检测引擎协作，智能高效识别网络中的各种应用协议及其行为。i-Ware 应用识别引擎UAAE为解决简单的应用识别需求，同时深入应用开掘其内容特征行为，尤其是攻击行为，承受了一系列的自主研发技术。它的整体架构如图1 所示：图 1i-Ware UAAE 架构UAAE 引擎对种类繁多的应用协议进展模型化，分类进展识别，同时在模型化识别的基础上进展智能决策；UAAE 为在应用中识别攻击等特征行为，对重要的应用协议进展数据解析

23、，结合应用对数据进展分类深度检测，同时UAAE 对深度检测结果再次结合应用环境进展分析；UAAE 可以对应用的数据特征进展有状态的跟踪，而不仅仅依据单个数据报文特征做出判决；UAAE 内置供给统一的定义语言，为i-Ware 平台可扩展、可升级的应用识别和行为识别力量。深度应用识别具体技术说明请参考H3C 应用识别技术白皮书。2.2Skype 协议识别技术Skype 作为第四代P2P 的出色代表，除了具备第三代 P2P 应用的集中和分布式网络体系构造外，还承受了动态选择端口方法、多协议并用方式进展连接，从而到达健全 Skype 通讯网络的目的。ACG P2P 应用识别技术在深入理解P2P 协议模

24、型根底上，以及针对Skype 协议进展逆 项工程深度分析和跟踪调试，独创性的建立了针对P2P 协议识别通用模型。该模型针对通讯数据综合承受特征匹配其特征可以是固定的特征、或者是双方的交互行为特征或者是流 量统计特征、标识连接、觉察节点、并依据与该节点的行为交互从而识别更多的连接，由于是基于节点以及基于统计规律来识别Skype 协议，在保证性能的同时，也提高了协议识别的准确性。Skype 协议识别技术具体说明请参考H3C Skype 协议掌握技术白皮书。2.3P2P/IM 类应用识别技术P2P 类应用的特点是单个IP 的连接数较多，每个连接的端口号不固定，每个连接的数据包包长且速率较大，ACG

25、在深入理解P2P 协议模型根底上，建立了针对P2P 协议识别通用模型。ACG 识别的应用协议及软件客户端，国内常见的局部如下：协议BitTorrentThunder迅雷 eMuleVagaa脱兔多进程下载酷狗网络电视客户端比特彗星(Bitcomet) 比特精灵(Bitspirit) 迅雷客户端WEB 迅雷eMule VeryCDVagaa 哇嘎“画”时代脱兔网际快车腾讯超级旋风网络蚂蚁酷狗PPLive PPStream3流量掌握传统带宽治理模型中都以一个接口上的转发流量为核心，即对进入同一个接口的流量按照不同的流量等级安排不同的带宽，对接口带宽承受的是一种扁平化的带宽治理方法 。近来消灭了一种

26、层次化的带宽治理技术应用于路由器和交换机产品，但这种技术由于受限于产品形态、组网方式和业务模型，一般只能供给两个层次的带宽治理，例如用户层或应用层，即在同一个接口上区分不同用户安排带宽，然后在此用户的带宽范围内为不同应用安排不同的带宽，不能进展更多层次的、更细粒度的带宽治理。利用被广泛承受的数据包深层扫描DPI的技术，已经能够检测出报文所属的L7 应用协议以及L7 内容特征，但是基于 TCP 或UDP 的应用层协议繁多，应用协议经过整理后， 甚至可以到达成百上千种，用户假设仍旧基于应用层协议对流量进展治理，是格外困难的 。ACG 带宽掌握技术是面对IT 效劳的流量治理，实现了网络与系统的高效治

27、理，使治理更加敏捷、可用性更高。它能够基于不同的分段、不同的用户以及IT 效劳等应用不同的带宽策略，到达细分流量治理的目的。ACG 流量掌握技术具体说明请参考H3C 带宽治理技术白皮书。4共享接入治理ACG 共享接入治理可以准确检测出共享上网用户以及在线共享主机数目。ACG 产品承受 ID 轨迹检测技术、时钟偏移检测技术，结合多种应用层特征检测技术如应用特征检测、流量/连接数统计、TTL 检测、MAC 地址检测等，用以监测以NAT、Proxy 等多种方式进展共享接入的用户以及准确的PC 数量。其中ID 轨迹检测基于IP 报文的ID 域值进展检测， 一个操作系统的网络协议栈的ID 初始值是随机产

28、生的，每发送一个IP 报文，其ID 增 1； 该方法可以较准确地推断出是否为共享上网用户、在线共享上网主机数。图 25用户行为审计目前网络应用行为日益频繁，学校和企业网络中内部安全和内部掌握的重要性日益突出，员工通过网络泄漏重要数据、学生或员工在网上传播非法言论造成社会恶劣影响等大事时有发生。准时记录内部人员的上网行为，从而做到事后有据可查成为目前校园网和企业网迫切需要解决的问题。ACG 用户行为审计功能可以对用户的上网行为进展全面记录，为时候取证供给完备的依据。ACG 用户行为审计功能包括用户 访问行为记录，用户电子邮件行为记录以及FTP 上传下载行为审计。通过对URL 的全记录，完全把握用

29、户上网行为，定位用户访问网页或查看的文件；通过对用户电子邮件内重要信息以及FTP 上传下载文件名等信息的审计，完成数据流淌的完全监控。6 总结和展望随着网络应用的进展，传统的基于带宽的粗旷式流量治理和运营模式已经远远不能满足要求，面对内容掌握的精细化流量治理和运营模式已经成为大势所趋。ACG 应用掌握网关系列产品以其强大的深度应用识别功能和完善的带宽掌握功能为根底，综合共享接入治理等 多种流量运营增加功能，是实现精细化流量治理和运营的必备产品。H3C SecPath ACG 应用掌握网关系列产品不但拥有 2G 盒式设备以及规划的 4G 高性能机架式设备，同时供给高性能插卡式设备与高端交换机协作使用，实现了与网络设备的无缝连接。H3C SecPath ACG 系列产品能够支持在线和旁路两种组网方式，极大的提高了组网的敏捷性，削减了网络改动量，节约了用户投资。