本文主要针对当前复杂的网络管理,介绍了H3C行为监管的典型组网方案及其解决方案组件。
1.行为监管需求分析
随着现有互联网的迅速发展,各种互联网应用的逐步丰富,各种应用层出不穷,为我们的工作和生活带来极大的便利。但是与此同时,这些应用也带来了一些负面影响。P2P下载、即时通讯、电子商务、网上证券交易、网络游戏等多种业务共存,用户行为越来越复杂和多样,带来了以下问题:
以BT为代表的P2P应用对现有网络提出了挑战,少量的P2P用户占用了大量的网络资源,不但对网络的容量形成了压力,更是对其他用户合法应用造成了严重影响。
即时通讯、网上炒股、网上购物等上网行为虽然对带宽的要求不高,不会造成网络堵塞,但是会使员工的工作效率下降, 正常工作任务无法及时完成。
对非法网站的访问容易感染病毒和蠕虫,对网络造成破坏;同时对一些不法网站的访问也有可能造成政治上的问题。
公安部第82号令要求能够保存用户上网记录,并且记录NAT前后的IP地址信息,进行用户行为的审计。
在这种情况下,对网络的应用进行深度的识别分析,并对这些应用加以疏导和控制,同时对用户行为进行监管和审计成为必然,这将使得网络资源得到合理的配置和优化并保证了网络的安全。
2.H3C行为监管解决方案典型组网
2.1.解决方案总体描述
H3C行为监管解决方案由应用控制网关和安全管理平台组成。应用控制网关有SecPath ACG盒式设备和SecBlade ACG插卡(应用于H3C S75E/S95核心交换机)两种产品形态,ACG可针对P2P/IM、网络游戏、炒股、非法网站访问等行为,进行精细化识别和控制,有效解决带宽滥用、访问非法网站感染病毒等问题;安全管理平台有SecCenter硬件设备和ACG Manager管理软件两种产品形态,对应用控制网关检测出的网络安全事件进行深入分析并输出审计报告,同时收集防火墙发送的NAT日志,帮助管理员全面了解用户行为和流量趋势,为加强整网安全、满足合规性要求提供决策依据。
2.2.解决方案典型组网图
 |
| 图1 |
2.3.解决方案关键规格
通过对种类繁多的应用协议进行模型化,分类进行识别,在模型化识别的基础上进行智能决策,从而准确识别多种应用协议,包括P2P、IM、炒股应用软件、游戏以及其它如流媒体、WEB访问、FTP下载、网络管理等多种应用协议。提供可扩展、可升级的应用识别和行为识别能力 。可以动态的升级新的应用及其行为实体的定义,并及时扩展新的应用协议的分析模块。
2.3.1.ACG深度应用识别
ACG深度应用识别技术的核心是H3C i-Ware软件平台的UAAE应用控制感知引擎。它和i-Ware深度检测引擎配合,智能高效识别网络中的各种应用协议及其行为。i-Ware应用识别引擎(UAAE)为解决复杂的应用识别需求,同时深入应用发掘其内容特征行为,尤其是攻击行为,采用了一系列的自主研发技术。它的整体架构如图2-1所示:
 |
| 图 2 i-Ware UAAE 架构 |
UAAE引擎对种类繁多的应用协议进行模型化,分类进行识别,同时在模型化识别的基础上进行智能决策;
UAAE为在应用中识别攻击等特征行为,对重要的应用协议进行数据解析,结合应用对数据进行分类深度检测,同时UAAE对深度检测结果再次结合应用环境进行分析;UAAE可以对应用的数据特征进行有状态的跟踪,而不仅仅依据单个数据报文特征做出判决;
UAAE内置提供统一的定义语言,为i-Ware平台可扩展、可升级的应用识别和行为识别能力。
2.3.2.用户上网行为控制
通过有状态的特征状态机可更精确的识别出多种P2P/IM等应用类型,如BitTorent、Thunder(迅雷)、eMule(电骡)、eDonkey(电驴)、Kugoo(酷狗)、Poco、KazaA、Napster、iMesh、Gnutella、FileTopia、DirectConnect、Tencent Download、PPLive Stream、PPStream、MSN、QQ、Yahoo Messenger、GTalk等等。可以通过限流措施对P2P/IM业务带宽进行限制,同时提供基于用户、应用、时间段、源/目的IP等丰富的业务流量统计信息。
同时,采用先进的技术分析手段,全面分析网络应用的流量类型和流量流向趋势,能对网络多媒体、网络游戏、网络炒股等应用进行识别与控制,通过URL过滤、关键字过滤、内容过滤等多种Internet访问控制策略,规范内网用户上网行为。
支持的主要应用类型包括:
|
应用类型 |
说明 |
|
P2P监控 |
BitTorrent、eMule、Kugoo、Thunder(迅雷)、Tencent Download、PPLive Stream、PPStream …… |
|
即时通讯 |
MSN、QQ、Google Talk、Yahoo Messenger…… |
|
炒股软件 |
Big Wisdom (大智慧) 、Straight Flush(同花顺)…… |
|
游戏 |
World of Warcraft(魔兽世界)、Globallink…… |
|
其它 |
流媒体、WEB访问、FTP下载、网络管理…… |
2.3.3.应用流量分析
根据ACG上报的流量信息,安全管理平台进行应用流量分析,通过对用户、时间、协议、IP地址、端口的纵深分析,提供基于应用协议的流量趋势、详细数据、使用排名等信息并生成分析报告,为管理员进行流量管理提供有力依据
 |
| 图3 |
 |
| 图4 |
2.3.4.用户行为审计
安全管理平台收集ACG记录的用户应用访问信息和防火墙发送的NAT日志,对HTTP、Email、FTP、IM等行为进行分析,记录网页域名、地址、邮件收发人、主题、附件名、FTP上传下载文件等内容,实时输出用户行为审计报告,满足公安部第82号令要求。当发生安全事故后,可以根据记录的信息对用户既往行为进行分析和追根朔源,对潜在的破坏者可起到威慑作用。
 |
| 图5 |
 |
| 图6 |
| 共2页: 1 [2] 下一页 | ||
|
