1、流量清洗服务
1.1市场分析
传统的攻击都是通过对业务系统的渗透,非法获得信息来完成,而DDoS攻击则是一种可以造成大规模破坏的黑客武器,它通过制造伪造的流量,使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高,从而最终导致系统崩溃,无法提供正常的Internet服务。由于防护手段较少同时发起DDoS攻击也越来越容易,所以DDoS的威胁也在逐步增大,它们的攻击目标不仅仅局限在Web服务器或是网络边界设备等单一的目标,网络本身也渐渐成为DDoS攻击的牺牲品。许多网络基础设施,诸如汇聚层/核心层的路由器和交换机、运营商的域名服务系统(DNS)都不同程度的遭受到了DDoS攻击的侵害。2009年5月,一次大规模DDoS攻击影响了整个Internet的通讯,5月19日部分地区互联网网络故障情况通报。由于暴风影音网站域名解析系统受网络攻击出现故障,致使运营商递归域名解析服务器阻塞,造成用户无法正常上网。
随着各种业务对Internet依赖程度的日益加强,DDoS攻击所带来的损失也愈加严重。包括运营商、企业及政府机构的各种用户时刻都受到了DDoS攻击的威胁,而未来更加强大的攻击工具的出现,为日后发动数量更多、破坏力更强的DDoS攻击带来可能。正是由于DDoS攻击非常难于防御,以及其危害严重,所以如何有效的应对DDoS攻击就成为Internet使用者所需面对的严峻挑战。网络设备或者传统的边界安全设备,诸如防火墙、入侵检测系统,作为整体安全策略中不可缺少的重要模块,都不能有效的提供针对DDoS攻击完善的防御能力。面对这类给Internet可用性带来极大损害的攻击,必须采用专门的机制,对攻击进行有效检测,进而遏制这类不断增长的、复杂的且极具欺骗性的攻击形式。流量清洗服务可以有效的解决DDoS攻击问题,面对日益严重的DDoS攻击,此服务的市场需求将会越来越大。
根据调查的结果,IDC用户中超过60%的用户对抗DDoS攻击增值服务有兴趣,甚至会购买。由于IDC出口带宽扩容以后,针对某个用户的攻击很难把整个IDC出口带宽占满,用户原来的那种依赖思想会逐渐被削弱。因为同样流量的攻击会把某个用户的服务器打瘫痪,却无法影响到对其它用户服务器的访问。这样一来,抗DDoS的责任更倾斜到单个用户头上。另外,针对应用层的攻击也逐渐增多。同时基于这两个原因,用户购买抗DDoS服务的积极性必将有所提高。
1.2 DDoS 介绍
DDoS概念
DoS:DoS的英文全称是Denial of Service,也就是“拒绝服务”的意思,就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。
DDoS: DDoS是英文Distributed Denial of Service的缩写,即"分布式拒绝服务",是在传统的DOS 攻击基础之上产生的一类攻击方式,这种分布式拒绝服务是黑客利用在已经侵入并已控制的不同的高带宽主机(可能是数百,甚至成千上万台)上安装大量的攻击程序,这些被植入攻击程序的主机称为“僵尸主机”,由它们形成僵尸网络,这个僵尸网络等待来自控制中心的命令,对一个特定目标服务器发送尽可能多的网络访问请求,被攻击服务器产生大量等待的TCP 连接,导致网络中充斥着大量的无用的数据包,造成网络带宽拥塞,使受害主机无法提供正常的网络服务,严重时会造成系统死机。
攻击类型
应用型DDoS 攻击:应用型攻击是指利用TCP、HTTP 等高层协议或者应用系统的某些特性,通过非法占用被攻击目标的有限资源,从而达到阻止被攻击目标处理合法访问目的。如某个以100M 带宽接入网络的WEB 主机,在遭受到1M 流量的TCP 半连接攻击时,可能就已经瘫痪了。针对特定业务模型的攻击,如SYN Flood 攻击、TCP 全连接攻击、CC 攻击、DNS 攻击、特定游戏类攻击等都属于此类攻击。
带宽型DDoS 攻击:带宽型DDoS 攻击是指通过发出巨大的网络流量,导致被攻击目标在网络路径上发生拥塞,耗尽网络带宽,从而使得被攻击者无法收到合法报文。例如某个WEB 主机,受到几百兆甚至几千兆流量的UDP非法报文攻击,即使该WEB 主机前有一个最理想的100M 的安全设备,能够精确识别出非法攻击报文和合法业务报文,但由于安全设备前面的网络已被非法报文挤占,合法报文根本无法到达——或者到达的几率很低。以攻击目的网络为目的的攻击,如UDP FLOOD、ICMP FLOOD 攻击都为此类攻击,宽带型攻击和应用型攻击之间并没有明显的界限,很多的应用型攻击都会引发带宽攻击,如TCP FLOOD 既是业务型攻击,也是宽带性攻击。
其它类型攻击:其它类型攻击主要是指利用主机、协议的漏洞,构造畸形或者异常报文导致协议栈失效,系统崩溃、主机死机等后果而无法提供正常的网络服务功能,而造成拒绝服务。常见的此类攻击包括Tear Drop、Land、IP Spoofing、Smurf等。
攻击造成的影响:DoS 攻击利用IP 协议的无连接的弱点,通过制造大量非法流量,耗尽目标系统资源、挤占网络带宽,此类攻击以其技术门槛低、防护理论和措施缺乏而广泛流行,严重影响了网络的使用。特别僵尸网络Botnet 和分布式DDoS 攻击相结合而产生的新攻击模式的出现,因控制了数量庞大的终端,集中攻击产生的非法流量十分可观,此类攻击的能量巨大、危害愈来愈严重,不仅影响用户业务使用,同时对运营商滋生网络也造成了严重影响。举例来说:国内网络游戏运营商完美时空2007 年6 月11 日遭受到严重的DDoS 攻击,造成了近千万元的经济损失。
1.3产品概述
产品定义:防DDoS攻击流量清洗服务是提供给租用IDC服务的政企、金融等客户,针对对客户发起的DoS/DDoS攻击的监控、告警和防护的一种网络安全服务。该服务对进入客户IDC的数据流量进行实时监控,检测到DDoS 攻击流量后,通过自动或者手动方法,将攻击流量牵引到防DDoS攻击流量清洗业务平台进行过滤和清洗,将清洗后的正常流量送回用户网络,从而确保用户业务的正常开展。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。
产品定位:IDC客户防DDoS攻击流量清洗产品主要面对IDC的中大型客户,尤其对互联网络有高度依赖性的商业客户和那些不能承担由于DDoS攻击所造成巨额营业损失的客户是本产品的主要目标客户,这类客户主要有金融机构、游戏服务提供商、电子商务和内容提供商等,如:如网上银行、网上证券、网上基金、游戏网站、网上招投标、音乐下载网站、门户网站等。
1.4服务提供
自动清洗模式:流量检测设备实时监测客户业务流量,当攻击流量达到或超过客户业务的安全基线时,流量检测设备将攻击告警信息通告给清洗设备,同时开启清洗过滤流程。
手动清洗模式:当客户发现业务异常或中断时,主动与IDC的运维支撑人员联系,IDC运维人员对攻击行为进行诊断分析,断定该故障的确是由DDoS攻击引起,然后与客户确认后在限定时间内开启防护流程。鉴于可能存在误清洗风险,建议采用人工启动流量清洗方式。一般业务提供方式如下:
1. 根据用户网络及应用情况,双方协商确定DDoS 防护策略或者采用通用的防御策略。
2. 当平台检测到DDoS 攻击时,通知用户,或者用户发现DDoS 攻击后,均需要获取用户启动流量清洗授权,如传真授权,启动DDoS攻击流量清洗。
3. 根据用户要求或者攻击流量小于事先约定条件,在获得用户同意后,停止流量清洗。
4. 按月或者按次提供流量清洗报告。
5. 业务服务等级
说明:
1. 服务响应时间定义为用户授权可以启动清洗到正式清洗开始时间。
2. 承诺清洗带宽为正常流量和攻击流量之和,对于正常流量(互联网接入带宽)比较大的客户,用户在确定清洗带宽时需适当增大。
3. 如果用户需清洗流量超过承诺清洗带宽,超过部分缺省方式是丢弃,或者清洗,但需要付费。
4. 如果受保护IP 地址数量超过承诺保护数量,需要付费。
5. 仅承诺清洗攻击列表之内的攻击类型。
6. 只负责清洗经过直接到用户网络方向的DDoS 流量,不包括其它运营商到用户流量。
1.5产品功能
实时/按需的流量清洗功能:当攻击发生时,可实时启动流量清洗服务,也可根据SLA中所签订的要求,在客户通知发生攻击后的规定时间内启动流量清洗服务。
针对多种应用类型的流量清洗功能:能够针对UDP,ICMP,HTTP,TCP等传统应用和SIP,DNS等新型应用均能进行准确的流量清洗,DDoS攻击类型列表具体如下所示:
动态调整防DDoS攻击策略:针对网络安全管理的情况,结合种类用户的需要,动态调整防DDoS攻击策略的配置,达到最佳的防攻击模式。
客户订制报表:定期向用户提供服务报表,对攻击过程进行记录和分析,使用户了解自身设备受到防护的过程和结果,主要内容包括:客户基本信息:客户的通信信息和客户选择的防DDoS 攻击服务等级、防护策略等基本信息。DDoS 攻击统计信息:客户统计周期内遭受攻击的目的地址、攻击次数、攻击类型、攻击流量大小、清洗流量大小、统计周期内的攻击TOPN 排序等。支持统计报表的图形化显示方式(曲线图|柱图|饼图),支持以HTML 格式显示,支持PDF 格式输出。统计周期支持日、周、月及自定义时间段。
1.6产品解决方案建议
产品平台架构:防DDoS攻击流量清洗系统由流量检测、流量清洗和管理平台三大部分构成。流量检测系统检测网络流量中隐藏的非法攻击流量,发现攻击后及时通知并激活清洗设备进行流量的清洗;管理平台对流量清洗系统的设备进行集中管理配置、展现实时流量、告警事件、状态信息监控、及时输出流量分析报告和攻击防护报告等报表。
1. 流量检测模块
流量检测用于观察现网状况,受保护客户的流量是否正常,是否正在遭受攻击,如果检测到有攻击,那么检测平台将发出告警,经过用户确认(根据用户签署的防护协议),做相应的安全防护措施。目前常用的流量检测技术有两种类型,采样技术(NetFlow)和深度包检测(DPI)技术。
采样技术:检测设备通过路由器设备发出的Netflow 流进行流量的检测,通过放大流量模型,获取粗略的攻击信息。深度包检测技术:检测设备通过对现网全流量采集,结合DPI 深度包检测技术,提取报文应用层数据进行分析,实现攻击流量、攻击类型的精确识别。考虑到DPI 需要一定的算法支撑,比较耗费设备性能,业界先进检测设备可结合DFI(深度流检测)技术和DPI 技术一起,在DPI 识别之前通过DFI 进行流量的统计和建模,当DFI 技术鉴定此类流量具有潜在的威胁时,在对此类流量做DPI 识别。这样的检测技术能够很好的实现性能和检测准度的平衡,实现应用层面攻击的识别。
2. 流量清洗模块
在检测设备检测到攻击流量时,将自动或手动将受保护对象被攻击对象的流量牵引到清洗设备,实现对攻击流量的过滤,并将正常流量回送到用户网络,从而使得用户免于遭受攻击,业务正常运行。目前清洗设备主要由基于防火墙设备和基于路由器设备,另外有一些是基于IPS 设备原理演进而来的。不同清洗设备实现防范的原理各有所异,基于防火墙设备防范基础是流表,路由器的检测设备是逐包分析,做流量模型的判定。基于流转发的设备可实现对会话状态的监控,可实现深度业务型攻击的防范。基于逐包转发的设备只能根据流量统计,得出流量模型,做FLOOD 攻击防范。
3. 平台管理模块
实现业务管理和网络管理。业务管理包括客户管理、业务生成、客户报表等功能;网络管理包括系统管理、设备管理、性能管理、日志管理、告警管理、统计分析等功能。
4. 产品实现部署方案建议
根据DDOS 攻击原理,防DDOS 攻击流量清洗平台部署层次越高,远离用户,攻击流量越早被清洗掉,对网络资源的浪费越小,但防范范围较小,比如在骨干网上部署则只能清洗来自它网攻击,省内以下攻击流量不能清洗;流量清洗平台部署层次越低,越靠近用户,防范攻击范围越大,但网络资源浪费也大。基于上述情况,作为面向大客户的服务,如果在远离客户的骨干网上部署是不合适的,建议在省骨干网上部署,取得防范范围和节省资源的平衡。也可以在一些大型城域网出口部署防DDOS 攻击流量清洗业务平台。建议部署成双流量清洗模块方式,形成负载分担,互为备份,检测模块可以部署一套,同时与主备清洗模块进行联动,检测攻击流量。
2、防火墙服务
2.1 市场分析
随着互联网的迅速发展,网络安全问题已摆到各企业用户面前,防火墙作为网络安全保障的第一道防线也显得更加重要,而随着安全硬件市场的进一步成熟,以及性价比的提高,越来越多的用户趋向于选择防火墙硬件类安全管理工具。因此防火墙业务的需求会随着人们对安全意识的提高成为首选安全管理工具。而对于IDC用户,其相对一般用户而言安全需求更高,并且安全意识也较高,会更关注于安全类的增值产品,因此防火墙作为一项基础安全增值产品将会有着很大的市场前景。
2.2 产品定义
防火墙:是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
虚拟防火墙:是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。
2.3产品概述
防火墙服务是指基于高性能的硬件防火墙平台,为用户提供7*24小时的防火墙安全服务,包括端口访问控制、应用层检测、端口阻断等高级服务,确保受保护企业服务器资源免遭非法入侵和访问。
2.4产品定位
防火墙服务适合所有IDC用户,尤其适用于对核心数据和应用具有高敏感度的政府和商业客户。IDC网络安全架构,要充分利用防火墙技术保护敏感的核心数据,保护关键商业应用,防止IDC用户遭受来自外部或其它区域的安全威胁。业务发展初期应以政府、金融、证券类用户为主要业务发展目标,其次游戏运营商、内容提供商等服务器数量较多的用户也是业务发展的主要目标。
2.5服务模式
1.共享防火墙模式:对于中小型IDC用户,可以实行多个用户共享一个防火墙,安全策略统一配置和管理。共享防火墙基于保护对象的IP地址部署安全访问策略,过滤非法访问行为和常见的攻击行为。
2.独享防火墙模式:根据硬件使用情况,可分为硬件防火墙独享和虚拟防火墙独享。硬件防火墙独享是指用户专用一个硬件防火墙,拥有安全策略自主配置和管理的权利。虚拟防火墙独享是指为多个IDC客户部署一台硬件防火墙,将其划分成若干逻辑设备分配给不同的IDC客户,并且为其设置相应逻辑设备的管理权限,这样每个被服务的IDC客户可以单独地管理安全策略。
3.防火墙顾问服务模式:在用户使用独享防火墙后,可根据用户的授权,向其提供防火墙策略配置的顾问服务。指导用户使用防火墙和动态策略配置,使用户完善自身安全体系,并定期向用户提供防火墙运行状况的综合分析报告。
2.6平台部署方案
1.在IDC核心交换机上部署高性能防火墙,或在汇聚层和接入层接入独立的防火墙设备,通过物理防火墙或者虚拟防火墙功能,为IDC内部的用户主机提供定制的防火墙服务。根据防火墙的使用情况,可将IDC机房分为不使用防火墙的基础业务区,共享防火墙的共享增值业务区,独享防火墙的独享业务区,则防火墙部署架构如图所示:
共享增值服务区托管或出租的主机分别接入汇聚层交换机,经防火墙安全防护后,连接到IDC网络核心设备。独享增值服务区托管或出租的主机通过接入交换机再连接到防火墙,或者直接连接到防火墙。再由防火墙连接到汇聚层交换机以及网络核心设备。虚拟防火墙技术,通过防火墙硬件资源的共享化和虚拟防火墙资源的独享/共享化,保证部署方案的简洁性和防火墙资源利用的高效性,节约成本,提高效率,通过既定的SLA提供等级化服务。目前,硬件防火墙可以在同一个硬件装置中配置多个虚拟防火墙——即所谓的“ 安全环境”。安全环境是指一个具有自己的安全策略和接口的虚拟防火墙。在正确配置的情况下,安全环境可以实现与多个独立防火墙相同的功能,同时可以大大减轻管理负担。事实上,这些环境可以提供完全独立的安全域(如图所示)。
对于集成在核心交换机上的防火墙模块,可使交换机上的任何端口都成为防火墙端口,从而将防火墙安全集成到网络基础设施内部。网络管理员可以利用这种基础设施,在每个模块上创建上百个独立的安全环境,使客户服务器独享或者共享一个虚拟防火墙。
图中的交换机设备包括一个多服务交换机功能卡,即防火墙模块,虚拟了四个安全环境,分别是管理安全环境,安全环境A、安全环境B和安全环境C.每个安全环境分别负责管理网络,客户A,客户B和客户C.
安全环境的功能类似于一组独立的物理防火墙,但是更加便于管理。因为它们是虚拟设备,所以组织可以轻松地根据用户的增长情况添加或者删除安全环境。这可以降低管理成本,因为组织无需部署多个设备,就可以获得相同的功能,而且可以从一个集中的平台保持对防火墙基础设施的全面控制。防火墙提供了很多关键的防火墙和网络功能,可以帮助安全管理人员在整个交换式园区网络或者企业数据中心中部署多个安全区域,与在整个网络中安装数百个小型防火墙不同,客户只需要安装一个硬件平台,就可以管理多个防火墙。这可以大幅度地减轻管理负担。
在实际的使用中,可管理服务的客户会以为他们使用的是独立的物理防火墙——尽管他们实际上使用的是防火墙服务模块上的虚拟防火墙。安全环境可以采用路由模式(第三层)或者透明模式(第二层)。产品平台可以支持基于IP[第三层]或者基于以太网[第二层]安全服务的多种环境,这些多样化的环境的部署可以完全地隔离安全策略,包括身份验证、网络地址解析、状态化访问控制和系统日志/统计信息记录等。使用多个环境就像是拥有多个独立的防火墙。但是,为了有效地使用这些防火墙,管理员必须审慎地分配FWSM 资源。网络管理员可以随时限制为任何一个安全环境分配的资源,从而确保安全环境不会互相干扰,虚拟资源共享可能会产生资源使用冲突的问题,即有时可能所有的资源都会被某一个环境所占用,而其他一些小型环境则得不到任何资源。网络管理员可以平等地分配资源,并通过PDM 对防火墙进行统一的管理。这能有效地避免一个环境占用过多资源的情况。
实现方案如上图所示,可在IDC核心交换机上部署防火墙安全服务模块,通过物理防火墙或者虚拟防火墙为IDC内客户提供防火墙安全服务。在网络核心交换机中增加防火墙服务模块,或者在网络中增加防火墙设备,这些网络元件均为串联接于网络中,此时并不需要复杂的流量割接等处理,对于路由型防火墙,需要对网络路由进行部分的重新规划,保证被保护服务器的流量通过防火墙设备进行安全处理。
2.6产品功能
客户服务器访问控制:产品平台可根据客户需要基于路由工作模式、透明工作模式,以及路由与透明两种模式混合的工作模式,在网络层和传输层对被保护的客户服务器提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分析,保护客户服务器资源免遭非法入侵和访问,能够提供7*24小时的专业级防火墙安全服务,可承诺的每用户保护带宽在千兆数量级。
应用层深度内容检测与控制:产品平台能够在应用层通过深度内容检测机制,支持对HTTP、SMTP、FTP的内容过滤,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;支持HTTP、FTP、SMTP内容检测,可提供Local DB、Radius、MAC地址等的认证功能支持。
基本攻击检测功能:产品平台支持IP,TCP/UDP层的基本攻击检测,包括 Syn Flood、Smurf、Targa3、Syn Attach、ICMP flood、Ping of death、Land、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof端口扫描、DOS、DDOS等各种攻击。并支持碎片,TCP流重组,为客户服务器提供Websense/N2H2 URL过滤,fixup配置与重名等功能。
VOIP业务深入检测功能:VOIP是今后IDC业务的重要发展方向,因此产品平台可为VOIP业务服务器提供VOIP流量深入检测功能,支持H.323、MGCPNAT、GTP Fixup、SIP、Skinny Video等主流语音应用防护。
提供端口阻断和客户服务器的SYN代理功能:产品平台能够支持端口阻断功能,可以根据数据包的来源和数据包的特征进行阻断设置,并可为客户服务器提供SYN代理,对来自定义区域的SYN FLOOD攻击行为进行阻断过滤,保护客户服务器。
3、入侵防护服务
IDC客户面向互联网提供的服务,因为应用广泛性、互联开放性、服务交互性等,将面临很大的安全风险,如各种各样的网络攻击:DoS攻击、漏洞攻击、蠕虫病毒、木马侵入、间谍软件、扫描攻击等。这些攻击隐蔽强,往往能够穿越普通的安全访问控制设备。时时对访问大客户业务的流量进行入侵检测分析和防御,将有利于全面掌握和控制安全风险,保障大客户业务的安全运行。
3.1产品概述
入侵防护安全增值服务产品:在物理上划分区域来建立安全增值服务区域,在这一区域的网络边界提供入侵检测和防护的安全服务。防御操作系统漏洞攻击;防御木马传播;防御间谍软件;防御Web系统攻击;提供安全防护审计报告。入侵防护安全增值服务产品,定位于中端的增值服务,可以面向各类主机托管和主机出租的IDC客户。大客户-独立使用入侵防护设备等安全服务;中小客户-共享使用入侵防护设备等安全服务。
3.2产品部署方案
为了提供入侵防护增值服务,需要建立增值服务区域。以下分两种服务类别介绍。
入侵防护共享增值业务区:托管或出租的主机分别接入汇聚层交换机,经双机部署入侵防护设备,连接到防火墙,再连接到IDC网络核心设备。入侵防护设备基于保护对象的IP地址部署入侵检测和防护,过滤各种常见的应用层攻击行为。可以针对不同的IDC客户进行特定的策略管理、运行风险管理、日志审计等。
入侵防护专享增值业务区:托管或出租的主机通过接入交换机再连接到入侵防护设备,或者直接连接到入侵防护设备。再由入侵防护设备连接到汇聚层交换机以及网络核心设备。这类客户使用一台物理的入侵防护设备。
上述两种入侵防护增值服务,为使网络部署和运维工作最简化,建议入侵防护设备工作在透明模式,支持快速双机切换功能。在实现入侵防护增值服务方案时,应具备以下两个功能要求:
虚拟系统:虚拟系统可以将入侵防护设备划分出若干逻辑的虚拟设备,每个虚拟设备可以单独设置路由、防火墙策略、IPS、内容层的防病毒等功能。基于角色的管理允许不同的管理员仅管理它们授权的虚拟系统,使它们建立和维护它们自己的一套安全策略、地址和地址组,以及监视系统状态。
集中管理:在一些大型的IDC,将会部署多台入侵防护设备,对这些设备进行集中的安全策略管理、安全日志管理是实现可运营的重要支撑。IDC增值业务管理员只需要在集中管理平台上,即可开通增值业务和进行运维处理。
方案部署对现有网络的影响。购买此服务的新IDC客户,他们的托管服务器、租用主机等直接安装到此增值业务区域。对于购买此服务的老IDC客户,可以通过网络连接调整,接入到增值业务区的网络设备上。为此,方案部署可能会对网络产生某些影响,如:网络连接的调整,需要将当前的主机连接到指定的增值业务交换机上。网络设备配置的调整,为保持IDC客户当前IP地址不变,可能会在接入/汇聚交换机上修改VLAN配置等。
所需设备(软件)清单
3.3产品功能
阻止漏洞攻击:针对黑客入侵,IPS具备基于协议异常、会话状态识别和七层应用行为等攻击识别功能。并且可针对Windows、Unix、Linux等操作系统漏洞的攻击进行阻止,漏洞类型包括了Stack and Heap Buffer overflow、Format string error、Memory access error、Memory corruption、 Access control and Design weakness等等。
阻止木马传播:IPS在阻止木马传播上有以下特点:可检测基于ActiveX、XML、VML、MDAC等的漏洞,可阻止访问者在浏览网站时被诱使植入木马的攻击;可检测利用Dropper技术隐藏木马的Microsoft Office文件,可阻止下载并启动这些文档;如 Rootkit的木马,它们被黑客植入系统后也会跟外界通讯或进行扫瞄等,IPS可以侦测这些特殊的行为,如TFN、Trin00、Stacheldraht、Phatbot、Netbus、Evilbot等跟外界通讯行为,以及TCP、UDP scan 或 ICMP probing等行为;具有丰富的漏洞特征库可以实现对木马的精准拦截。
阻止间谍软件:大部分间谍软件由于是通过广告、浏览器漏洞、自订功能如ActiveX插件来诱使不够小心谨慎的用户安装的。IPS内置如Gator、180solutions、Internet Optimizer Spyware等相关的特征,通过检测下载可执行程序、ActiveX、Java applet等可疑的活动,实现阻止间谍软件通过广告、浏览器漏洞、自定义ActiveX插件等渠道实现安装。
阻止蠕虫扩散:IPS具备阻止已知和未知蠕虫的扩散。阻止已知蠕虫扩散,针对已知蠕虫通过扫描存在漏洞的主机来进行扩散,IPS内建完善的对Zotob Worm、MS SQL Slammer Worm等蠕虫的控制攻击特征识别码,可以检测蠕虫企图扫描漏洞主机的行为,并进而拦阻丢弃其恶意数据包。
阻止未知蠕虫扩散:针对未知蠕虫通过扫瞄存在漏洞的主机来进行扩散,IPS厂商跟踪着各种最新发布的漏洞,为相应漏洞及时构建攻击识别码,当发现蠕虫尝试利用这些漏洞来入侵时会立即拦阻丢弃尝试入侵的数据包,阻止蠕虫扩散。
4、数据存储备份服务
非常停机所造成的后果各不相同,对金融、民航等信息化程度较高的行业,直接关系到公众切身利益和社会稳定,一旦出了问题,极易造成灾难事件;而有些行业或企业对IT系统依赖性不高或未涉及到关键业务,往往不易形成灾难事件。因此不同行业不同应用,对灾备需求程度并不一样。通过对行业需求的分析,金融客户的容灾需求最为迫切,商业客户的容灾需求最为广泛,政府客户的容灾需求紧急而复杂,其它行业也都在不同程度上对数据备份有所需求。随着国内信息化建设的发展,人们对重要信息系统的灾难恢复日益重视,灾难备份中心的建设已经得到电信、金融、政府、大企业等行业客户的高度重视。07年11月1日国务院信息化工作办公室编制的《重要信息系统灾难恢复指南》正式升级成为国家标准《信息系统灾难恢复规范》(GB/T 20988-2007),标志着中国的灾备市场已经进入了快速增长期。存储服务是一个系统工程,其建设和维护专业性要求非常高,建立运营级共享灾备平台,面向行业用户提供全面的灾备外包服务产品,共享灾备已经成为业务转型中的新亮点。
4.1产品概述
数据存储服务(Data Storage Service):依托集中存储业务平台,为客户提供数据存储、数据备份/恢复等服务,同时可以提供加密、防病毒等增值服务。既一旦客户生产中心发生灾难,存储服务平台将在协议约定的恢复时间点(RPO)内,迅速协助客户恢复丢失的数据,或在协议约定的恢复时间目标(RTO)内接替客户生产中心的运行,迅速协助客户恢复协议约定范围内的业务运作。从目前看它包括外包服务中的咨询、开发、集成服务,最终将以统一的数据存储服务交付用户。参考《重要信息系统灾难恢复指南》:
数据备份系统:数据备份的技术,范围,RPO,RTO约定。
备用基础设施:大客户平台中心选址与建设,备用的机房及工作辅助设施和生活设施。
备用数据处理系统:备用的服务器、小型机,符合客户应用数据处理能力,处于就绪还是运行状态。
备用网络系统:备用网络通信设备系统与备用通信线路的选择、使用状况。
技术支持:软件、硬件和网络等方面的技术支持要求,技术支持的组织架构,各类技术支持人员的数量和素质等。
运行维护管理:运行维护管理组织架构,人员的数量和素质,运行维护管理制度。
灾难恢复预案:明确“整体要求”,“制订过程的要求”,“教育、培训和演练要求”,“管理要求”。
4.2产品定位
本产品适用于金融、民航等信息化程度较高的行业,中小企业客户也有需求,政府客户的容灾需求紧急而复杂,其它行业也都在不同程度上对数据备份有所需求。可适用于IDC内的托管用户,也适用于外部行业用户和中小企业用户。
4.3产品功能
1.数据存储功能
存储空间租赁:将存储空间提供给用户,并供用户使用。需要依据用户业务配置相应带宽,但是,应同时对存储空间的访问状态、稳定性负责。租用空间分级:提供给用户的空间可划分为不同性能和不同可靠性的等级。如:对于高性能的应用提供SAS快速空间,对于性能要求不高的应用提供大容量SATA空间,不同的空间可以划分不同的可靠性等级,如:高等级的RAID10空间和普通等级的RAID5空间。历史时间点保存:对于提供给用户的存储空间,提供连续的时间点备份,在用户放在租用空间上的数据提供数据丢失或中病毒后的迅速恢复,恢复时间即为之前做过相应备份的时间点。数据存储功能列表:
2.数据备份功能
备份空间提供:根据用户的数据量按需提供备份数据存储空间;远程备份功能:通过备份软件实现定制备份方案和备份、恢复策略,提供相应的备份链路,并满足用户的备份需求;备份文件多时间点保存:对备份空间内的数据进行多时间点的保存,保存效果同存储空间租用,备份空间的数据最多可保存255个历史版本;对Windows提供系统备份功能:利用Windows保护软件,为Windows的操作系统及应用数据提供系统级备份,同时提供数据及操作系统的恢复。对备份数据的二次备份:备份的数据可以提供二次保护手段,在其它独立设备另存数据副本;备份加密功能:对备份软件的备份数据提供加密,保障客户的数据安全性,此项功能为增强型功能。数据备份功能列表:
类型 |
种类 |
涉及组件 |
参数选项 |
||
数据备份与恢复 |
备份空间租用 |
链路 |
10/100/1000Mb/s |
||
机房 |
参考IDC托管服务 |
||||
维护 |
参考IDC托管服务 |
||||
备份存储空间 |
RAID5 |
低速硬盘(7200rpm) |
|||
备份存储空间快照 |
12小时/1次 |
||||
24小时/1次 |
|||||
二次备份 |
备份空间数据复制至其它独立空间 |
||||
备份空间+ |
链路 |
100Mb/s |
|||
1000Mb/s |
|||||
机房 |
参考IDC托管服务 |
||||
维护 |
参考IDC托管服务 |
||||
备份存储空间 |
RAID5 |
低速硬盘(7200rpm) |
|||
备份存储空间快照 |
12小时/1次 |
||||
24小时/1次 |
|||||
备份软件客户端 |
文件备份操作系统代理(Windows、UNIX/Linux) |
||||
数据代理(oracle、SQL server、Sybase) |
|||||
备份加密 |
备份软件加密 |
||||
二次备份 |
复制备份空间数据至其它独立空间 |
||||
Windows数据保护(Disksafe空间+Disksafe软件租用) |
链路 |
10Mb/s |
|||
100Mb/s |
|||||
1000Mb/s |
|||||
机房 |
参考IDC托管服务 |
||||
维护 |
参考IDC托管服务 |
||||
备份存储空间 |
RAID5 |
高速硬盘(15000rpm) |
|||
RAID5 |
低速硬盘(7200rpm) |
||||
备份存储空间快照 |
1小时/1次 |
||||
2小时/1次 |
|||||
6小时/1次 |
|||||
12小时/1次 |
|||||
软件客户端 |
Disksafe软件 |
||||
数据代理(oracle、SQL server、Sybase) |
|||||
二次备份 |
复制备份空间数据至其它独立空间 |
3.数据灾备功能
数据实时灾备功能:采用基于策略的IP复制技术,根据用户需求定制复制策略和恢复策略,并为用户提供跨广域的灾备服务。用户IT架构优化功能:提供本地集中存储方案、虚拟化整合方案优化用户本地存储架构;灾备空间租赁:平台按需提供数据副本存储空间,按容量收费;并对灾备空间数据提供最小时间间隔的副本备份,大可实现255个历史数据点;复制传输加密:灾备数据传输过程加密;复制传输压缩:灾备数据传输过程压缩数据,提高效率;二次备份:灾备到平台的数据可以提供二次保护手段,在其它独立设备另存数据副本。数据备份功能列表:
类型 |
种类 |
产品组件 |
参数选项 |
|||
数据备份与恢复服务类 |
复制设备+复制空间租用 |
链路 |
2Mb/s |
|||
10Mb/s |
||||||
100Mb/s |
||||||
1000Mb/s |
||||||
机房 |
参考IDC托管服务 |
|||||
维护 |
参考IDC托管服务 |
|||||
用户端复制硬件 |
IX1500(低端) |
|||||
IX3000(中端) |
||||||
复制存储空间 |
用户端空间 |
随硬件采购 |
高速硬盘(15000rpm) |
|||
低速硬盘(7200rpm) |
||||||
平台端空间 |
RAID5 |
高速硬盘(15000rpm) |
||||
低速硬盘(7200rpm) |
||||||
RAID10 |
高速硬盘(15000rpm) |
|||||
低速硬盘(7200rpm) |
||||||
复制存储空间快照 |
用户端快照 |
随硬件采购 |
||||
平台端快照 |
1小时/1次 |
|||||
2小时/1次 |
||||||
6小时/1次 |
||||||
12小时/1次 |
||||||
复制增强选项 |
加密 |
|||||
压缩 |
||||||
二次备份 |
备份软件 |
|||||
虚拟化设备+复制空间租用 |
链路 |
2Mb/s |
||||
10Mb/s |
||||||
100Mb/s |
||||||
1000Mb/s |
||||||
机房 |
参考IDC托管服务 |
|||||
维护 |
参考IDC托管服务 |
|||||
用户虚拟化硬件 |
IV5240 |
|||||
IX5680 |
||||||
复制存储空间 |
RAID5 |
高速硬盘(15000rpm) |
||||
低速硬盘(7200rpm) |
||||||
RAID10 |
高速硬盘(15000rpm) |
|||||
低速硬盘(7200rpm) |
||||||
复制存储空间快照 |
用户端快照 |
随硬件采购 |
||||
平台端快照 |
1小时/1次 |
|||||
2小时/1次 |
||||||
6小时/1次 |
||||||
12小时/1次 |
||||||
复制增强选项 |
加密 |
|||||
压缩 |
||||||
二次备份 |
备份软件 |
4.4服务模式
数据存储提供模式分为两种,一种是租赁服务模式,另一种是系统集成模式。租赁服务模式是指客户以租赁的方式来使用存储空间和服务,根据租赁空间和服务支付一定的租赁服务费用。在租赁服务模式下,客户可以通过运营存储管理平台用于数据存储、备份、恢复等服务,满足了自身数据安全需求,不需另行购买数据存储相关的软件和硬件等设施,不会形成固定资产投资,节约了开发、维护、培训、管理等成本。此种模式可使客户从巨额IT投资的重压之下解脱出来,将有限的资金与人力资源投入到更有效的核心业务之中。集成服务模式,由于每个客户自身条件的不同,在空间容量、链路带宽和增值服务上会有不同的要求,因此集中存储产品还根据客户的特点提供了系统集成模式,对不同客户的需求进行相应的定制。系统集成模式主要包括方案设计、设备集成、工程设计、系统建设、联调测试、培训、系统维护等。客户支付所有设备的一次性费用和网络使用费、设备维护费。
1.服务等级
高级:
服务等级 |
金牌 |
数据备份系统 |
1、完全数据备份至少每天一次; |
2、备份介质场外存放; |
|
3、采用远程IP数据复制技术或光纤复制技术,并利用通信网络将关键数据实时复制到备份场地 |
|
备用数据处理系统 |
平台配备灾难恢复所需的全部数据恢复设备,包括存储、网络等,并处于就绪或运行状态。 |
备用网络系统 |
1、配备灾难恢复所需的通信线路; |
2、配备灾难恢复所需的网络设备,并处于就绪状态; |
|
3、具备通信网络自动或集中切换能力。 |
|
备用基础设施 |
1、配备符合介质存放条件的备用场地; |
2、配备符合备用数据处理系统和备用网络设备运行要求的场地; |
|
3、配备满足关键业务功能恢复运作要求的场地; |
|
4、以上场地应保持7 x 24运作。 |
|
技术支持 |
在备用场地有: |
1、7×24专职计算机机房管理人员; |
|
2、7×24专职数据备份技术支持人员; |
|
3、7×24专职硬件、网络技术支持人员。 |
|
运行维护支持 |
1、有介质存取、验证和转储管理制度; |
2、按介质特性对备份数据进行定期的有效性验证; |
|
3、有备用计算机机房运行管理制度; |
|
4、有硬件和网络运行管理制度; |
|
5、有实时数据备份系统运行管理制度。 |
|
灾难恢复预案 |
有相应的经过完整测试和演练的灾难恢复预案。 |
说明:客户对RTO要求很高,因此为IDC客户或其他行业客户提供独立专用的灾难恢复基础设施、灾难备份网络、备份数据处理系统,以及数据实时复制备份系统。该模式具备高等级快速灾难恢复能力。该模式的服务目标为:一旦客户生产中心发生灾难,数据灾难备份中心将在协议约定的恢复时间目标(RTO)内接替客户生产中心的运行,迅速协助客户恢复协议约定范围内的业务运作。该种模式下,可以实现至少4级至5级的灾难恢复等级。
独立的备用基础设施\独立的数据备份系统\独立的备用网络系统
中级:
服务等级 |
银牌 |
数据备份系统 |
1、完全数据备份至少每天一次; |
2、备份介质场外存放; |
|
3、采用远程IP数据复制技术或光纤复制,并利用通信网络将关键数据实时复制到备份场地 |
|
备用数据处理系统 |
为用户提供灾备数据恢复 |
备用网络系统 |
1、预定时间内调配所需的复所需的通信线路;; |
2、预定时间内调配所需的网络设备 |
|
3. 接到客户通知确认后,手动切换 |
|
备用基础设施 |
1、配备符合介质存放条件的备用场地; |
2、配备符合备用数据处理系统和备用网络设备运行要求的场地; |
|
3、配备满足关键业务功能恢复运作要求的场地; |
|
4、以上场地应保持7 x 24运作。 |
|
技术支持 |
在备用场地有: |
1、7×24专职计算机机房管理人员; |
|
2、专职数据备份技术支持人员; |
|
3、专职硬件、网络技术支持人员。 |
|
运行维护支持 |
1、有介质存取、验证和转储管理制度; |
2、按介质特性对备份数据进行定期的有效性验证; |
|
3、有备用计算机机房运行管理制度; |
|
4、有硬件和网络运行管理制度; |
|
5、有实时数据备份系统运行管理制度。 |
|
灾难恢复预案 |
有相应的经过完整测试和演练的灾难恢复预案。 |
说明:对于一般客户,对RTO要求不高,对客户的灾备系统将配备专用的数据实施复制备份系统,但是备用数据处理系统,基础设施则采用共享的方式,同时降低备用网络级别,从而降低建设和运营的成本。该模式的服务目标为:生产数据实时复制,一旦客户生产中心发生灾难,第三方灾难备份中心将在协议约定的时间内,迅速协助客户恢复协议约定范围内的数据恢复。该种模式下,可以实现至少3级的灾难恢复等级。
初级:
服务等级 |
铜牌 |
数据备份系统 |
1、完全数据备份至少每天一次; |
2、备份介质场外存放; |
|
3、采用备份软件等,每天多次利用通信网络将关键数据定时备份到备份场地 |
|
备用数据处理系统 |
平台不提供备用数据处理设备 |
备用网络系统 |
平台不提供备用网络系统 |
备用基础设施 |
1、配备符合介质存放条件的备用场地; |
2. 配备满足信息系统和关键业务功能恢复运作要求的场地。 |
|
技术支持 |
在备用场地有: |
在备用场地有专职的计算机机房运行管理人员 |
|
运行维护支持 |
1、有介质存取、验证和转储管理制度; |
2、按介质特性对备份数据进行定期的有效性验证; |
|
3、有备用计算机机房运行管理制度; |
|
4、有硬件和网络运行管理制度; |
|
5、有实时数据备份系统运行管理制度。 |
|
灾难恢复预案 |
有相应的经过完整测试和演练的灾难恢复预案。 |
说明:客户对RTO没有要求,但对RPO有一定的要求,备用基础设施,数据备份系统采用共享的方式,不提供备份数据处理系统,不提供备用网络系统,但可提供灾难恢复环境设施条件。该服务模式目标为:客户业务数据备份介质异地保存,在生产中心和灾备中心之间建立数据复制线路,客户通过网络定时将生产中心的备份数据运送到异地数据备份存储系统进行存储;分支机构网络备份采用低成本方式。一旦客户生产中心发生灾难,客户使用备份工具在备份中心备用设备上进行系统恢复,逐步恢复业务运作。该模式下,可以达到2级或者3级的灾难恢复级别。
1. 共享的备用基础设施\2. 共享的数据备份系统\3. 无数据处理系统\4. 共享的备用基础设施\5. 独立的数据备份系统\6. 共享的备用网络系统\7. 无备用网络系统
4.5平台方案
1.业务平台构成:运营存储平台由系统硬件(存储设备,虚拟化设备,虚拟磁带库),系统软件(复制/备份/防病毒等软件),及统一管理平台(UDM)三个部分构成。运营存储平台,是在一个平台上整合灾备服务的各种功能,能提供针对大客户的多种数据保护解决方案,并且以外包服务产品提供给客户。
资源租用模块:平台为用户提供资源租用服务,为块级别存储服务,此服务主要针对本地用户,即已在IDC机房托管服务器的客户,在需要额外SAN空间时,为其应用服务器挂载空间。
数据备份模块: 使用备份软件进行定时的数据备份和恢复。可采用专线或VPN方式接入,RTO,数小时至数天;RPO,一般为一天(12-24小时),灾难恢复损失自上一次备份后修改的数据。用户本地目前已有备份环境,但希望做异地的备份,只须远程给其备份服务器挂载资源。客户自行维护自己的备份系统。 运营商维护所提供的空间。用户希望做异地备份,要求定时进行备份,客户端无任何备份措施,无维护力量,要求运营商维护人员为其安装备份软件,并提供备份空间资源。后续承担备份软件及备份空间维护工作。
数据复制模块: 采用网络层或存储层复制技术进行实时的数据备份,通过专线或VPN将数据复制到存储平台空间。数据保护RTO、RPO较好,可达到小时级甚至分钟级;用户希望实现实时的备份,但用户现有IT系统数据存储在服务器内部硬盘或直连存储(DAS),数据不能共享,采用集中存储,部署SAN架构,整合用户数据并统一进行灾备。运营商提供复制硬件设备及空间,并承担维护。用户希望实现实时的备份,但用户现有IT系统存在多个异构的存储阵列,采用虚拟化整合异构存储,数据统一进行灾备。可提供虚拟化硬件设备及空间,并承担维护。
2.部署建议
采用备份软件接入,当用户端已有备份系统,只需要在其备份服务器上加一块网卡,这样可以完全不影响客户现有系统实现接入。
当采用存储复制功能接入,在用户接入端配置一台IP/SAN存储,作为用户生产系统的业务存储或镜像存储,通过IP存储/光纤将灾备的数据实时复制到灾备中心。基于IP的远程复制功能以数据块为单位将数据增量复制到远端,支持断点续传和传输加密、压缩,对带宽的要求相对较低,能够达到用户的期望灾备等级。