上海电信 IP城域网关键应用安全保护DefensePro应用实例

客户(项目)背景

上海电信是中国电信中业务最繁忙、收入前列的运营商,其网络除了提供上海本地用户使用外,同时还支持华东地区的交换和接入。

目前上海电信向用户提供多种基础应用,如DNS、MAIL、RADIUS等。目前这些应用系统部署于漕溪、凉城和沈家宅三个的机房内。每个节点的系统主机集群都通过局域网交换机和核心路由器之间的GE链路实现和Internet的互连互通。目前各类应用系统仅通过在网络设备本身的操作系统命令进行简单的安全策略设置,没有采取任何专门的安全防护措施,应用系统直接暴露在INTERNET上。

客户需求

部署Radware DefensePro前的网络结构(以邮件系统为例)

 

 

此次网络安全设备的部署以提高应用系统整体安全为目的,通过部署有效地防御目前已知的DDOS、病毒、系统后门等多种攻击方式,同时通过相应的手段提供对零日攻击的防护。

在不影响目前提供的应用服务质量的前提下,通过安全系统的部署,对网络中各种攻击方式实施有效防护,减少网络安全事故的发生,严格保障应用系统的稳定运行。

客户面临的问题

随着网络的发展,用户侧的带宽日益扩大,相应地,各类网络安全问题也逐渐浮现,比较典型的如DDOS攻击、蠕虫病毒等,对网络应用系统造成了极大的威胁。一旦应用系统遭受攻击,必定导致服务质量地下降,严重的可导致服务的中断。

DNS、RADIUS、MAIL等作为运营网络内的主要应用系统,遭遇DDOS和病毒攻击的概率很大,在日常维护中经常可发现系统被扫描的现象,也曾经发生过对系统的规模性攻击。

Radware 解决方案

网络拓扑

 

 

方案描述

在主干交换机和内部链路之间部署两台DefensePro 3020(见网络拓扑),它能够

1、保护网络内部关键应用免收DoS/DDoS的攻击;

2、当某一条链路故障时系统能够自动切换到正常工作的链路上,由备份链路上的DefensePro自动接管流量,持续分析网络中是否存在攻击,并拒绝攻击,保护网络内的关键应用;

功能描述

Radware DefensePro 在业内首先提供了以3千兆位的速度防范入侵和拒绝服务攻击的安全交换机。该交换机可以实时地隔离、拦截和阻止各种应用攻击,从而为所有网络化应用、用户和资源提供了直接保护。

Radware新一代 "Clean Link"技术在提供极高精确度的同时简化了使用手段。

Radware入侵防范设备,DefensePRo集所有以上安全技术于一体。

Radware解决方案包括三个主要模块,它们协同工作来抵御威胁运营商关键应用的各种类型的网络攻击。

  • DoS Shield模块通过扫描流量中的攻击特征来查出和防范已知攻击工具产生的Flood攻击。 它能够精确地阻止某些广为流传的工具产生的TCP 、UDP 和ICMP  Flood攻击,例如Juno 。
  • Radware's B-DoS 能够非常有效的抑制以下已知和未知的攻击:

SYN Flood

TCP Floods (Ack, Psh+Ack, Fin+Ack, Rst floods)  

UDP Floods

DNS floods (基于UDP 53端口)

UDP Flood 和 ICMP反向散射(unreachable 信息) 

ICMP Floods

IGMP Floods

Zero-Day 高速自我繁殖蠕虫(SQL Slammer, Blaster, Welchia, 等)

  • 为了确保DoSShield和Behavioral DoS模块不会遗漏任何攻击并危害运营商的"Clean Link",Radware还提供另一道防护屏障。 通过对比Top-N 威胁,DefensePro阻止攻击数据包来建立最后一道屏障。Top-N威胁罗列一系列会对网络造成严重破坏的应用层攻击,通常包括在Internet上近期出现和爆发的滥用带宽资源的攻击,NetSky,、Bagle、Mytob、Blackmal、Sober等蠕虫以及它们的变种都在其中。

Dosshield

DefensePro的DoSShield模块借助高级的取样机制和基准流量行为监测来识别异常流量,提供了实时的、数千兆位速度 的DoS防范。

该机制会对照DefensePro 攻击数据库中的DoS攻击特征列表(潜在攻击)来比较流量样本。一旦达到了某个潜在攻击的激活阈值,该潜在攻击的状态就会变为Currently Active (当前活动),这样就会使用该潜在攻击的特征文件来比较各个数据包。如果发现匹配的特征,相应的数据包就会被丢弃。如果没有匹配的特征,则会将数据包转发给网络。

Behavioral DoS

借助于先进的统计分析、模糊逻辑和新颖的闭环反馈过滤技术,Radware B-DoS 防范模块能够自动和提前防范网络Flood攻击和高速自我繁殖的病毒,避免危害的发生。

Radware's 自适应Behavioral DoS防范模块自动学习网络上的行为模式,建立正常基准,并通过先进的模糊关系逻辑运算判断背离正常行为的异常流量。 通过概率分析,该模块使用一系列提取自数据包包头和负荷的参数,例如ID (packet identification number), TTL (Time to Live), Packet size, DNS 查询, Packet Checksum值等共17 个参数,来实时定义即时异常流量的特点。为了避免误判而阻止合法用户的正常流量,该模块还会采用“与”“或”逻辑运算来尽量精确攻击的防范策略。

所有上述流程都由DefensePro自动完成,无需人为干预,能够在数千兆位的网络环境中精确防范已知攻击、Zero-day Dos/DDos攻击和自我繁殖网络蠕虫。

Behavioral DoS 防护模块的攻击检索机制即不使用特征码,也不依赖于用户定义的行为策略和阀值。它还可以自动适应网络中的正常流量变化,因此它不会影响网络中的正常应用行为。

TopN入侵防范

为了确保DoSShield和Behavioral DoS模块不会遗漏任何攻击并危害运营商的关键应用系统,Radware还提供另一道防护屏障。 通过对比Top-N 威胁,DefensePro阻止攻击数据包来建立最后一道屏障。

Top-N威胁罗列一系列会对网络造成严重破坏的应用层攻击,通常包括在Internet上近期出现和爆发的滥用带宽资源的攻击,NetSky,、Bagle、Mytob、Blackmal、Sober等蠕虫以及它们的变种都在其中。DefensePro会对数据包进行逐一检查,并根据恶意攻击模式执行特征比较。它可以识别Radware安全数据库中的1600多种攻击特征。为了防范新的攻击形式,包括TopN在内数据库会不断被更新。对于未知形式的攻击,可以使用协议异常检查功能来检测。通过检查协议的异常性,可以检测异常的数据包碎片,而这大多数情况下标识了恶意活动。

黑白名单(Black and White List)

在DefensePro上可以针对数据包的IP地址定义黑白名单:

  • 数据包的源/目的IP在白名单内,则该数据包不经过任何安全模块的检测而直接传输;
  • 数据包的源/目的IP在黑名单内,则该数据包被丢弃;
  • 数据包的源/目的IP不在黑白名单内,则该数据包将经过定义的安全防范策略的检测。

Syn Flood防范

为了提供全面的SynFlood攻击防范能力,除了Dosshield和Behavioral Dos之外,DefensePro嫩构基于源地址监视来发现恶意攻击源,并提供多重级别的防范措施。

基于对于源地址的不同信任级别,DefensePro提供以下不同的防范措施:

  • 可疑源地址:没有可信历史记录的源地址属于这类对象。这对此类对象,DefensePro采用SynCookie机制核实连接的完整性,从而判断是否为攻击行为。当可疑对象的完整连接达到一定数量时,该对象将被认为是可信源地址;而当可疑对象的非完整连接达到一定数量时,该对象将被认为是恶意源地址。
  • 可信源地址:针对来自此类对象的Syn数据包,DefensePro将不作任何处理而直接转发;来自可信对象的Syn和Ack数据包之间的数量差异到达定义的阀值时,该对象将被认为是可疑源地址;
  • 可疑源地址:针对来自此类对象的Syn数据包,DefensePro将直接丢弃。

异常流量(Anomalies)防范

为了逃避安全设备的检查,黑客通常会采用拆包并将攻击分成多个数据包碎片传输。此类攻击被称作Anomalies。

针对此类攻击,DefensePro提供了也体动相应的防范能力:

  • 异常协议类;
  • Buffer Overflow类;
  • HTTP碎片类

状态检测(Stateful inspection)

DefensePro提供针对协议滥用等攻击,提供状态检测攻击防范能力,可以防范的攻击例如:

  • TCP Flooding:SYN-ACK (反射攻击), TCP数据包风暴;
  • Stealth 扫描:通过发送TCP fin / rst /ack / syn-fin数据包,以图发现开放的端口;
  • DNS reply flooding: 使用大量的DNS响应数据包攻击服务器;
  • ICMP Echo reply flooding: 使用大量的echo reply数据包攻击服务器(Smurf);

防扫描(Anti-Scanning)

黑客在发起攻击之前,通常会试图确定目标上开放的TCP/UDP端口,而一个开放的端口通常意味着某种应用,操作系统或者后门。DefensePro提供此类探测的防范能力。可以防范:

通用Anti-Scanning

  • 垂直(Vertical)扫描:针对相同主机的多个端口;
  • 水平(Horizontal)扫描:针对多个主机的相同端口;
  • ICMP (ping) sweeps:针对某地址范围,通过Ping方式发现存活主机;
  • Evasion immunity against:
  • 慢速扫描
  • 多源端口扫描
  • 扫描大量IP和端口s
  • 扫描工具:基于特征对比,发现和防范特定工具的扫描。

 

页面主体部分底边框