本文主要針對當前復雜的網絡管理,介紹了H3C行為監管的典型組網方案及其解決方案組件。
1.行為監管需求分析
隨著現有互聯網的迅速發展,各種互聯網應用的逐步豐富,各種應用層出不窮,為我們的工作和生活帶來極大的便利。但是與此同時,這些應用也帶來了一些負面影響。P2P下載、即時通訊、電子商務、網上證券交易、網絡游戲等多種業務共存,用戶行為越來越復雜和多樣,帶來了以下問題:
以BT為代表的P2P應用對現有網絡提出了挑戰,少量的P2P用戶占用了大量的網絡資源,不但對網絡的容量形成了壓力,更是對其他用戶合法應用造成了嚴重影響。
即時通訊、網上炒股、網上購物等上網行為雖然對帶寬的要求不高,不會造成網絡堵塞,但是會使員工的工作效率下降, 正常工作任務無法及時完成。
對非法網站的訪問容易感染病毒和蠕蟲,對網絡造成破壞;同時對一些不法網站的訪問也有可能造成政治上的問題。
公安部第82號令要求能夠保存用戶上網記錄,并且記錄NAT前后的IP地址信息,進行用戶行為的審計。
在這種情況下,對網絡的應用進行深度的識別分析,并對這些應用加以疏導和控制,同時對用戶行為進行監管和審計成為必然,這將使得網絡資源得到合理的配置和優化并保證了網絡的安全。
2.H3C行為監管解決方案典型組網
2.1.解決方案總體描述
H3C行為監管解決方案由應用控制網關和安全管理平臺組成。應用控制網關有SecPath ACG盒式設備和SecBlade ACG插卡(應用于H3C S75E/S95核心交換機)兩種產品形態,ACG可針對P2P/IM、網絡游戲、炒股、非法網站訪問等行為,進行精細化識別和控制,有效解決帶寬濫用、訪問非法網站感染病毒等問題;安全管理平臺有SecCenter硬件設備和ACG Manager管理軟件兩種產品形態,對應用控制網關檢測出的網絡安全事件進行深入分析并輸出審計報告,同時收集防火墻發送的NAT日志,幫助管理員全面了解用戶行為和流量趨勢,為加強整網安全、滿足合規性要求提供決策依據。
2.2.解決方案典型組網圖
 |
| 圖1 |
2.3.解決方案關鍵規格
通過對種類繁多的應用協議進行模型化,分類進行識別,在模型化識別的基礎上進行智能決策,從而準確識別多種應用協議,包括P2P、IM、炒股應用軟件、游戲以及其它如流媒體、WEB訪問、FTP下載、網絡管理等多種應用協議。提供可擴展、可升級的應用識別和行為識別能力 。可以動態的升級新的應用及其行為實體的定義,并及時擴展新的應用協議的分析模塊。
2.3.1.ACG深度應用識別
ACG深度應用識別技術的核心是H3C i-Ware軟件平臺的UAAE應用控制感知引擎。它和i-Ware深度檢測引擎配合,智能高效識別網絡中的各種應用協議及其行為。i-Ware應用識別引擎(UAAE)為解決復雜的應用識別需求,同時深入應用發掘其內容特征行為,尤其是攻擊行為,采用了一系列的自主研發技術。它的整體架構如圖2-1所示:
 |
| 圖 2 i-Ware UAAE 架構 |
UAAE引擎對種類繁多的應用協議進行模型化,分類進行識別,同時在模型化識別的基礎上進行智能決策;
UAAE為在應用中識別攻擊等特征行為,對重要的應用協議進行數據解析,結合應用對數據進行分類深度檢測,同時UAAE對深度檢測結果再次結合應用環境進行分析;UAAE可以對應用的數據特征進行有狀態的跟蹤,而不僅僅依據單個數據報文特征做出判決;
UAAE內置提供統一的定義語言,為i-Ware平臺可擴展、可升級的應用識別和行為識別能力。
2.3.2.用戶上網行為控制
通過有狀態的特征狀態機可更精確的識別出多種P2P/IM等應用類型,如BitTorent、Thunder(迅雷)、eMule(電騾)、eDonkey(電驢)、Kugoo(酷狗)、Poco、KazaA、Napster、iMesh、Gnutella、FileTopia、DirectConnect、Tencent Download、PPLive Stream、PPStream、MSN、QQ、Yahoo Messenger、GTalk等等。可以通過限流措施對P2P/IM業務帶寬進行限制,同時提供基于用戶、應用、時間段、源/目的IP等豐富的業務流量統計信息。
同時,采用先進的技術分析手段,全面分析網絡應用的流量類型和流量流向趨勢,能對網絡多媒體、網絡游戲、網絡炒股等應用進行識別與控制,通過URL過濾、關鍵字過濾、內容過濾等多種Internet訪問控制策略,規范內網用戶上網行為。
支持的主要應用類型包括:
|
應用類型 |
說明 |
|
P2P監控 |
BitTorrent、eMule、Kugoo、Thunder(迅雷)、Tencent Download、PPLive Stream、PPStream …… |
|
即時通訊 |
MSN、QQ、Google Talk、Yahoo Messenger…… |
|
炒股軟件 |
Big Wisdom (大智慧) 、Straight Flush(同花順)…… |
|
游戲 |
World of Warcraft(魔獸世界)、Globallink…… |
|
其它 |
流媒體、WEB訪問、FTP下載、網絡管理…… |
2.3.3.應用流量分析
根據ACG上報的流量信息,安全管理平臺進行應用流量分析,通過對用戶、時間、協議、IP地址、端口的縱深分析,提供基于應用協議的流量趨勢、詳細數據、使用排名等信息并生成分析報告,為管理員進行流量管理提供有力依據
 |
| 圖3 |
 |
| 圖4 |
2.3.4.用戶行為審計
安全管理平臺收集ACG記錄的用戶應用訪問信息和防火墻發送的NAT日志,對HTTP、Email、FTP、IM等行為進行分析,記錄網頁域名、地址、郵件收發人、主題、附件名、FTP上傳下載文件等內容,實時輸出用戶行為審計報告,滿足公安部第82號令要求。當發生安全事故后,可以根據記錄的信息對用戶既往行為進行分析和追根朔源,對潛在的破壞者可起到威懾作用。
 |
| 圖5 |
 |
| 圖6 |
| 共2頁: 1 [2] 下一頁 | ||
|
