以下是从国内运营商角度来看当前网络安全产品的发展,请大家,难免会有偏颇观点,请拍砖。
目前在运营商部署应用较多的主流网络安全产品包括防火墙、入侵检测/防御系统(IDS/IPS)、流量分析/清洗系统、深度包检测(DPI)、Web应用防火墙(WAF)等。
1、防火墙
防火墙设备经过十多年的发展,从第一代的PC机软件、工控机、PC-Box、MIPS架构,到第二代的NP、ASIC架构,直至目前的多核多线程专用安全处理芯片背板交换架构,其功能也由基本的包过滤功能开始逐步增加NAT、认证、VPN、抗攻击、虚拟防火墙等相关功能,功能逐步完善。各厂家防火墙的性能也在不断提升,Juniper、Crossbeam、华为等厂家推出了40G以上的产品,Hillstone、Fortinet、华三等厂家也推出了10G档次的产品,目前这些厂家的设备在功能和性能上基本可以满足在L3-L4进行访问控制的要求。目前防火墙设备有从传统三四层防护基础上向应用层安全防御方向发展的趋势,在传统防火墙架构上不断增加应用层防御功能。如Juniper、Fortinet、华三等厂家的产品在基于NP系统架构及防火墙基本功能的基础上,增加了内容处理器与通用处理器(CPU)配合使用处理应用层的攻击行为,实现将已知的威胁特征库(如病毒库、IPS库等)与内存中待检测对象进行匹配(待检测对象可以是数据包、文件,包括压缩文件等),其中内容处理器专门进行协议识别和解析,可以快速重组数据包,扫描发现可疑的内容。但由于应用层的防御对设备资源的消耗大幅度增加,因而应用层防御的高端设备有待各厂家完善及提高。
在运营商网络中,防火墙设备可以部署于DCN、办公网、网管网、业务系统等提供内外网的隔离,或者部署于IDC为客户提供安全业务。在防火墙设备选择时,应结合实际应用的业务环境进行综合考虑,选型设备时主要结合L3-4 吞吐量、每秒新建连接数、最大并发连接数、Goodput等方面的性能指标参数进行综合考察。
2、IDS/IPS
IPS产品以在线方式(串接)部署,当旁路部署时作为IDS使用。IPS设备针对数据包进行深层次检测并实施告警阻断,这种技术机制大大增加了设备资源的开销,以目前产品技术状况来看,不适合在高吞吐量的网络中部署应用。
目前IPS产品分为独立设备和集中式网关两种方式,McAfee的IntruShield、Tippingpoint的Tippingpoint E、N系列等厂家的产品采用独立IPS设备的方式,而Juniper的SSG和SRX、Fortinet的Fortiguard等则采用集中式网关方式,将入侵防护作为一个功能模块集中到安全网关设备中。这两种方式各有优缺点,利用独立设备的产品功能扩展方便,但硬件设备的成本占很大比例;集中式网关方式成本相对较低,硬件扩充性较好,但是将入侵防护功能集成到综合网关会造成安全网关性能的下降。目前主流IPS厂家包括McAfee、Tippingpoint、Radware、Juniper、Cisco、Fortinet、启明、绿盟、华三等。
在运营商网络中,IPS设备可部署于DCN、办公网、业务系统,或者用于IDC为客户提供安全业务。选择IPS设备时,任何部署应用场景均要考核IPS设备检测、拦截的准确率、防护响应的实时性、自定义入侵防御特征、签名库的更新等参数指标,同时结合实际的应用场景,考虑IPS设备每秒新建连接数、最大并发连接数及应用层吞吐量等性能指标。如确定被保护的对象只对外提供Web服务,则可只选择HTTP协议的防护及其攻击签名库。
3、流量检测分析设备
流量检测分析设备是基于流技术的骨干网流量分析产品,能够分析诸如DDoS流量、网络滥用误用、蠕虫爆发、P2P流量等骨干网上的大部分异常流量。随着网络异常流量检测设备的判定准确性日益提高,流量检测分析设备逐步与异常流量控制技术结合。目前,部分厂家的异常流量检测分析设备可通过宣告黑洞路由、提供ACL过滤策略等方式与路由设备进行交互来有效处理异常流量。
为了满足对大型运营商承载网流量的检测需求,目前流量检测分析设备可采用一台控制器管理多个独立部署的收集器的分布式部署方式,通过多层次、分布式的结构满足对多个路由设备、总流量高达数百Gbps的骨干链路提供实时流量分析和异常检测,单台流量检测分析设备基本上能支持50,000 flow/s,部分厂家设备甚至可达到70,000 flow/sec。目前流量检测分析设备主要用于运营商骨干网络的监控检测和分析,应用较多的流量分析设备包括Arbor PeakFlow和Genie ATM。
选择设备时,应考察其支持采集的流数据类型,包括NetFlow v1/5/7/9、sFlow v4/5、cflowd、NetStream等;考察其统计分析能力,包括基于路由器、路由器端口、AS号、对等Peer、网络协议、BGP Community等参数进行组合对流量进行分析统计;而设备性能应考核单台设备每秒集采flow的条目数,整体系统应能满足现网的采集需求。
4、异常流量清洗设备
专用于异常流量清洗的产品,主要有绿盟的黑洞、思科的AGM模块、华为的E8080E、Arbor的TMS等。这些清洗设备基本支持BGPv4 作为流量分析和流量牵引,而思科和华为设备均在路由交换设备上加插清洗模块,因而在流量回注、QoS支持功能方面比其他两个非路由交换设备架构的产品较丰富,
如MPLS VPN回注,Arbor和绿盟的清洗设备则需要借助前端部署的路由交换设备来满足多样化的回注、QoS功能。
清洗设备在硬件架构上的差异也使得各自性能有所不同,由于Cisco AGM、华为E8080E设备采用模块化设计,转发和控制分离,采用NP处理器,通过多线程完成报文的分析及处理,因而能平滑扩展到30G以上的清洗能力。绿盟单台黑洞D4000的清洗能力为4G,可通过多台黑洞设备组成集群模式来满足10G、20G清洗容量的需求。Arbor 新推出的TMS 4000也是模块快设计。
在运营商网络中,异常流量清洗设备主要是针对网络上的DDoS攻击流量进行过滤,一般旁路部署在骨干网、城域网、IDC出口等,能对Syn Flood、
UDP flood、CC、ACK等常见的DDoS攻击行为进行过滤。对异常流量清洗设备进行选择时可考虑系统整体清洗容量、每秒清洗攻击报文的数量(PPS)、对正常业务的时延影响等参数,同时由于其旁路部署应用模式决定了异常流量清洗设备须具备MPLS VPN、MPLS LSP、GRE、L2等回注功能,目前在骨干网、城域网等层面采用了MPLS VPN、GRE Tunel等方式将清洗后的正常流量回送,在IDC业务环境下则多数采用L2回注方式将清洗后的正常流量回送到同一VLAN的下层设备中去。
5、DPI
目前DPI能实现的主要功能包括了流量识别、流量控制,对下载型和流媒体型P2P应用(如BT、eMule等),通过识别这些占用大量网络资源的应用进行有效管理,从而保证其他用户的正常网络应用。在安全方面,DPI能对一些特征简单的垃圾流量和恶意流量进行有效抑制,例如一些网络蠕虫病毒、Flood等;同时DPI可通过报文特征分析,识别出僵尸网络中的僵尸及其控制者,记录僵尸网络信息并发出告警,对僵尸网络的防控有较大帮助。但目前DPI产品还缺乏对应用层的攻击进行识别和控制的能力,不能替代IPS。
目前推出DPI设备的厂家包括华为、Cisco、北京宽广电信、GenieNRM、Sandvine、Allot等。其中华为、宽广、Allot的DPI产品较为成熟,在国内外均有应用,可通过对网络流量感知和分析,针对公共接入服务提供每用户差异化接入控制、P2P流量控制以及URL过滤、僵尸网络防控等安全防护业务。
在运营商网络中,DPI设备可部署于城域网出口链路对出入城域网的流量实施控制,对业务流量和用户行为进行分析,提供应用层小流量的攻击识别,并对僵尸网络信息进行分析和阻断;也可部署于BRAS/汇聚层路由器上联链路实现流量控制,业务流量和用户行为分析,并提供差异化服务。针对DPI设备的考核指标包括设备的部署方式(分光、镜像、串接)、对下载型的P2P(BT、迅雷、eMule/eDonkey等)、流媒体型的P2P(QQLive、PPLive等)、IM、VOIP业务流量的识别、分析统计及控制,同时设备性能应满足线速、低延迟处理要求。
6、WAF
WAF作为一种在国际安全市场上新起的专用设备,在世界范围的安全市场内有明确的功能定义:具备针对各类Web应用攻击的检测和防御能力,如蠕虫威胁、黑客攻击、SQL注入、跨站脚本等。目前在国内,WAF市场尚未有明确定义,许多不同的产品都归在了WAF名下。目前国内厂商主要采用两类技术路线:一类主要针对HTTP协议进行深度解析,对HTTP行为能进行深度甄别;另一类对原有IPS产品的功能进行裁剪,只保留了IPS针对HTTP协议的防护功能。而进入国内市场的国外产品功能较复杂,并缺乏对国内特有问题(如网页篡改、网页挂马、拒绝服务攻击等)的考虑。因此,目前WAF产品对于解决Web应用安全问题还存在较大局限性。
由于WAF是针对Web应用的防护产品,因而该类型设备必须具备对HTTP协议完整解析的能力,如:报文头部、参数及载荷;支持各种HTTP 编码、识别Web攻击行为并能减少误判和漏判,同时新建连接数、并发连接数、设备高可用性等都是考核该类型产品的关键指标。
从目前技术和应用的发展来看,网络安全设备主要有以下发展趋势:
(1)安全功能集成化。网络安全设备由过去单一的网络安全产品向多种安全产品及多种安全技术的融合应用转变。同时随着网络处理器(NP)、安全专用处理芯片及ATCA(先进的电信计算平台)技术的成熟和发展,基于这些芯片、架构技术的网络安全产品具备优异的运行速度和良好的升级能力,使得在原来防火墙、VPN产品线的基础上增加IPS、内容过滤、流量控制、安全管理、防病毒等网络安全模块成为可能。
(2)安全设备云化。网络攻击技术的发展对安全设备的性能和响应速度提出了更高的要求,云计算架构的虚拟化、动态可扩展性、高可靠性、低成本等特性
能够满足目前网络安全设备发展的需求。如何利用云计算技术充分发挥安全产品硬件功效、提高安全产品的响应速度、提升安全产品大规模计算和分布式处理能力,已成为安全设备厂商研发的热点。目前防病毒、防垃圾邮件、内容过滤等网络安全产品都已呈现云化趋势。
(3)硬件多核化。传统的架构中,CPU资源是非常
有限的,网络层加速取代不了应用安全的资源消耗。而多核技术相当于把CPU的资源扩大数十倍,通过多核架构,充分利用CPU的资源提升病毒检测、URL过滤、内容过滤内容安全的防护能力。
| 
好眼界,学习了
楼主写的很好,我也学了一些新的概念和术语,例如goodput、异常流量清洗等。
文章的信息量很大,如果拆开细分析一下不同类型的设备在运营商中如何应用则更期待。
另外对于DPI的概念,我个人觉得是个通称,对于所有的7层分析相关的特性,例如应用识别,av,ips都是DPI,而不是专指应用识别,不知道是否正确。
总之,期待下文。
appleleaf 认识颇到位,现在某些厂家现在是以DPI来定义(忽悠),但实际上做的也只是业务流量识别与控制,离我理解的L7 payload深度识别的DPI还是有很大距离的。
ps: 不同类型的设备在ISP中的应用 其实已经有相当部分的内容,但苦于手头工作忙,还没抽时间整理,等忙完这段时间后,会每个都单独形成文章。
非常期待gztommyt兄的下文,以弥补我等一线研发人员对于产品实际应用部署情况不了解的短板。
非常期待最终用户写的使用体验方面的内容,就是security device这个东西到底有多大作用。
1)是有效的,可以有效阻断网络层或者应用层的攻击
2)如果有漏网之鱼,用户也有相应的手段防护。或者通过自己编写规则,或者signature来保护自己的网络或者应用。
从应用安全来说,单靠设备肯定是不够的,应用本身的安全性也需要考虑。一些具有指导意义的设计模式或者安全编码实践等等就非常有帮助。如果安全公司能够提供这么一整套的安全服务,相信对用户的帮助更大。
gztommyt兄,写得很好,望继续赐教!
安全技术两维度:
宏观上:统一分享系统资源,现在流行叫“云××”;
微观上:深度拆包各自分析做协议,应用,内容检测;
运营商级安全推荐选择Stateless方式,详见:
http://www.nanog.org/meetings/nanog48/presentations/Monday/Kaeo_FilterTrend_ISPSec_N48.pdf
写的很专业,希望楼主继续……
inline 和 bypass两种不同的部署方式决定了对设备的需求不一样。设备有两个维度:一是速度,二是对协议理解的深度。对inline设备来说,速度相当重要,特别是在sp和大企业部署的时候。bypass由于有完整的历史数据,可以做得更深入一些,速度不行了,可以保存下来慢慢分析。多核是不够用的,高端一般都是multi-chassi/multi-shelf,也就是一个分布式系统。如果能够把inlne和bypass两种方式集成到一个box,会有更好的效果,从通讯的成本,或者是界面,代码的一致性来说,都很不错。
To droplet 兄:
“从应用安全来说,单靠设备肯定是不够的” 这是不容置疑的,安全设备只是安全整体解决方案的一部分,同时除了”应用本身的安全性也需要考虑”外,个人感觉是客户对安全设备能熟练、简单操作来完成防御攻击这个才是重点,亦就是说设备操作简易性,从多年的运维经验来看,安全事件的处理比路由层面的处理要复杂得多,攻击来得快也消失得快,试想一下,当网管系统告警遭受攻击,维护人员要捉包分析攻击行为、自己手工编写规则或者signature来匹配attack 行为,这不是每个企业每个维护人员都能具备的素质 (从我从事这行业十多年来观察得出。有时厂家的工程师也要费一番周折才能完成,甚至有时不是设备的原因,而是厂家工程师的误配置造成合法的流量也拦截了),等你配好 policy 生效,攻击早就停止了,因而安全设备的简易操作性对用户是非常重要的,不然随这公司安全产品销售的增长,会拖死安全厂家自己
而应用的安全设计模式这个感觉范围就大了,每个应用有不同的需求,每个客户的每个应用也不尽相同,这个是个较大的课题,以后请droplet兄多指点指点。
感谢 SecTao兄提供的信息。
To droplet 兄 (again):
个人感觉设备的两个宏观维度为:功能及性能,这应该能涵括inline、offline 、bypass、ISP、Enterprise等应用场景的部署。
功能:该类型设备具备的防御功能(如网络层类型的在网络层完成相应防御功能、应用层类型的在应用层handle),简易操作、维护管理功能。
性能:相关层面的吞吐量、时延、CPS、TPS、ConCurrent(stateful设备)等 ,有些产品包含了抗常见的DDoS性能,这些都缺一不可.
一些厂家的高端设备已经是分布式设计了,但一些中低端的产品用多核来完成的,毕竟分布式设计的成本比多核要高。
inlne和bypass两种方式集成到一个box这种设计亦有厂家实现了,例如大部分主流的IPS厂家设备均具有bypass功能。
望指正。谢谢!
左手写性能,右手写功能,合十的双手,心中的祈求!
->Flow Gateway:
Clean Center: FPS=Flow Per Seconds
->Session Gateway:
Firewall: CPS= Connection Per Seconds
IPS : TPS = Transaction Per Seconds
WAF
不是我不想硬,这世界变化快!
-> Multi-Core 越变化,越多核;
-> ASIC/FPGA 越专业,越硬来;
按需部署放眼量,旁路串联两相宜;
->Policy based bypass 功能性误判
->Hardware bypass 物理性应急
这里flow和connection有和区别?
刚才浏览了SecTao的博客,感觉像酒剑仙下凡一般。写的很好,慢慢学习一下。
同理客兄的问题,这里的指标flow,connection,transaction per second应该不是标准的定义吧?
SecTao可是一牛人,相当实战经验的牛人,也是一顶级PS。
connection rate,transaction rate即connection per second,transaction per second,RFC3511中有提到,性能测试中的指标
GQ…也移步至此…:-)
一个小问题:
Juniper SRX 沿用MX架构,单SP卡FW处理能力达到40G应该没有问题。
华为Eudemon8000E虽然采用NE80E的机框、交换卡和接口卡,但业务处理卡是新开发的,基于RMI多核,能力10G左右。虽然在配置多块业务处理卡的情况下整机吞吐量可以达到40~80G,但似乎不能称为40G系统。
华为8000E性能:http://www.huawei.com/policy/simpleres.do?id=1662&type=general_catalog&card=4
Juniper的SRX的SPC blade应该是20G.
世界上最快的防火墙Juniper SRX 5800测试报告
To:首席
SRX5800目前每个SPC配置2个10G的PPE,但似乎有40G的路标(因为要处理DPI业务)。
华为在安全方面投入不大,没有听到8000E有20G或更高性能处理卡的计划。
而且,SRX是多业务网关,Eudemon8000E只是墙(华三高端设备也只是墙)。
个人认为,在安全行业,华系硬件能力不是大问题,短板是对安全的理解。
李部长和苏总要听你这么说,要背过气并且要你的IP的(我打死也不会给)。另外,弓首席在华赛旗下。所有对“安全的理解”应该不是问题。。。
我个人觉得华赛的问题(if any)不是安全的理解,而是对系统的把握?
不知道。不在体制内,说话都比较轻松。。。所以瞎猜一哈:-)
华赛做FW融合网关,技术上不是问题,如果有问题更多可能ZZ上。
作为后来者,华赛整体对用户层面的安全理解、经验从研发到市场应该都有欠缺
华赛的技术优势是有华为路由器的硬件平台不必担心平台问题、有赛门铁克的安全引擎,有弓首席等技术专家。
华赛的成本优势主要是有华为分担硬件成本
这些优势更多的在高端产品,在中低端体现不明显,当然,高端市场如果能强大,对中低端也可能有很大的带动左右。
这块市场,只要有正确的领导确定了正确的策略,只要ZZ上投入,做大应该是可以的
华赛做出来,往哪里卖哪?亚太市场并不是很大吧(不包括日本)。毕竟亚太的网络公司,有实力的不多。
华赛的墙视乎还处在试商用阶段就丢出来卖,同一个系列两个完全不同的团队在开发,出来的东西有些半成品的味道。例如:usg2130 在vpn方面居然比相对高型号的usg2210系列还强大。估计过一段时间又要变了。srg系类在市场上还没多久就停产。
转而又将其并入usg2000系类。搞不清楚是市场因素在影响还是研发团队的问题。出来的产品不稳定返厂升级内存再出来给客户。说是赛门铁克代码整合后出没有升级内存。感觉东西还没到tr6就丢出来卖。
国内客户的忍耐能力比较强?还是有业务损失无所谓?给厂商做小白鼠。
华塞的硬件先稳定下来再说吧,8090现在还没完全稳定吧,数通领域,个人华为还有很长的路要走。
SRX5800/SPC单向20G。
mark
文中有“但目前DPI产品还缺乏对应用层的攻击进行识别和控制的能力,不能替代IPS。”
对7层的检测能力,早一点是IPS,后来DPI据说能力更强,而且DPI技术是可以整合到IPS系统的。现在还有WAF,APP-FW,新概念层出不穷,简直就是7层大战啊。
其实问题就在那里,只是厂商在不断玩新噱头,新的技术点应该整合到技术框架中去,搞那么多重复的东西让我们工程师也跟着瞎亢奋。