电信级互联网安全需求和实践中国电信广州研究院.ppt

,电信级互联网安全需求和实践,徐建锋 X中国电信运行维护部中国电信广州研究院http:/,主要内容,运营商看互联网安全中国电信的安全实践互联网安全的进一步需求,IP技术及其网络本质上是安全的，实际的网络基本上也是安全的，造成安全漏洞问题的主要原因是管理制度不到位，设备选择不合理，设计不到位、工程实施不到位，缺少人才。,网络安全包括：网络层安全（IP）传送层安全（UDP/TCP）应用层安全(HTTP，SMTP、DNS等等)信息层安全（电子邮件内容、WEB站点内容等等）互联网是现代网络分层的代表，各层次之间完全独立，各层也是由不同的系统实现的，所以保证互联网的基本原则是各自做好本身安全。如果每一个人都管好了自己，世界将太平无事。,互联网是分层的，各层的安全措施也是独立分离的，各层之间是流量共享造成的影响，所以运营商、ICP和客户应该各司其职，明确分工，同时建立有效的沟通配合机制,IP网络是所有业务的统一承载网络，其安全性是第一位的，是决定全局的，同时用户数据在网络上安全、及时、完整地送达目的地是客户的基本要求，也是运营商提供业务的基础。网络安全包括：网络组织的安全路由协议的安全路由信息的安全网络设备的安全域名解析的安全，数据传送的安全，包括完整性、私密性和及时性电信级的网络安全实现贯穿于网络规划设计、工程实施、设备选型、运行维护、业务实现等各个环节。,确保网络安全稳定运行和用户数据的安全传送是运营商的第一职责,理论上讲，运营商只保证数据在传输过程中的完整性、私密性和及时性，应用层和信息层其他安全问题主要靠客户自己完成但是运营商管理着网络，在安全定位跟踪、安全隔离上具有控制权，同时有较强的人才队伍和完整的管理流程，而大部分客户不具备这种能力，需要依赖专业化服务公司来完成。为此中国电信提供了MISS安全产品系列。运营商与ICP和客户之间通过服务和被服务方式建立起来的关系是快速及时解决安全问题的最佳机制。,运营商应该通过提供安全业务来帮助客户实现应用和信息安全，通过客户应用和信息安全的提高来保证网络的安全。,互联网经过多年的发展，技术基本成熟，设备也基本支持了相关功能，但是如何将这些技术在实际的网络中部署实施，是关键。其次，缺少部署实施的法律和政策，在竞争的市场生态下，任何一家运营商也不敢在没有明确法律依据的情况下主动制约客户的行为。比如不受控制的邮箱服务是产生垃圾邮件的根源之一，其次不受限制的Web Server服务，也是产生大量垃圾流量和信息的主要因素。政府部门应该出台相关的管理办法，对类似服务进行有效管理。,目前互联网安全遇到的问题大部分在技术上是可以解决的，关键依赖于网络科学的规划设计和部署实施，还依赖于政府管理部门及时出台相关的法律和政策。,主要内容,运营商看互联网安全中国电信的安全实践互联网安全的进一步需求,中国电信刚刚建成的CN2和城域网系统地部署了科学的安全体系，并且向客户提供了安全服务系列产品，是电信级网络安全理念的最新实践。,CN2网络安全考虑的内容包括：网络组织的安全网络协议的安全路由信息的安全网络设备的安全配置操作的安全域名解析的安全信息传送的安全MISS安全产品系列,中国电信实现网络安全的主要思路是：,冗余备份隐形设计铜墙铁壁安全加密事前防范事后审计规范流程,CN2是基于IP/MPLS技术建设的下一代多业务融合承载网络,采用“业务边缘化，骨干简洁化”的思路，实现承载和业务提供相对独立：2个功能层面分别是高速转发层和业务提供层4个结构层次指核心层、汇聚层、边缘层和业务接入层高速转发层包括4个厂家设备，业务提供层采用单一的厂家设备，既实现了多厂家共存，有保证了业务顺利提供。一个AS，一个IGP协议（ISIS L2-only），一级iBGP Peer，全网范围内任何故障下小于1秒的故障切换和恢复时间。覆盖国内200个城市，国际9个城市，800多台路由器提供有区分的MPLS 二层/三层VPN、组播、组播VPN和专线接入等数据业务,Core,Aggregation,Edge,Service,高速转发层,业务层,IP城域网,IP城域网,PE/ASBR,SR/PE,SR/PE,SR/PE,CE,MSTP,ASBR,SDH,TG/AG,MSTP,IDC,ChinaNet,注1：绿色虚线内属于CN2网络管理范围注2：CN2直接延伸交换机属于CN2网络管理范围,延伸交换机,CN2网络核心POP节点之间采用全网状拓扑结构，并且任何一对POP节点之间采用双链路互联，并且双链路沿着不同的物理传输路径，确保核形层的安全可靠性，同时也控制故障影响的范围。,2*10G,6*10G,2*10G,2*10G,2*10G,4*10G,6*10G,2*10G,2*10G,2*10G,2*10G,2*10G,2*10G,2*10G,南京,武汉,成都,西安,北京,上海,广州,2*10G,2*10G,2*10G,任何汇接层节点至少与两个以上核心节点连接，任何边缘节点至少与两个核心或者汇接节点连接，并且两个局向的IP电路经由不同的物理传输路径。,宁德,三明,莆田,漳州,泉州,广州,上海,福州,厦门,PE,城域网,PE,城域网,PE,城域网,通过科学的路由组织设计，严格控制故障的影响范围,宁德,三明,莆田,漳州,泉州,广州,上海,福州,厦门,PE,城域网,PE,城域网,PE,城域网,通过科学的路由组织设计，严格控制故障的影响范围,Cn2采用业务提供层和骨干层分离的网络结构，实现了骨干网络与客户的隔离，保证了骨干网络安全，同时有效控制对客户安全的影响范围。,Cn2网络的Infrastructure-Block IP Address是对外隐藏的，国际互联网上路由不可见，所以也不可达。CN2在网络边界的所有UNI和PNNI接口上部署了面向基础设施的ACL（infrastructure ACL，I-ACL），任何企图到达CN2网络任何路由器的行为都将被拒绝。CN2网络不允许针对基础设施的Ping、Traceroute等操作。,通过隐性网络设计和I-ACL的部署，完全杜绝了来自网络外部针对网络基础设施的任何攻击。,伪地址攻击是常见的DDOS等攻击的常用方式，由于采用伪地址，攻击源的定位、跟踪和隔离相当困难，部署uRPF机制是关键的措施。溯源能力是安全跟踪和定位的关键，给犯罪分子威慑力。中国电信在新建的CN2网络和城域网内个人接入的BRAS上部署了uRPF，杜绝了来自客户的伪地址攻击。现在只有部分通过城域网的业务路由器SR接入的专线客户端口上没有部署uRPF，存在伪地址攻击的可能。接入中国电信CN2网络的客户基本可以保证没有伪地址攻击。,全网具备所有客户接入的溯源能力，并在业务接入路由器业务接入端口上部署了反向路径查找uRPF，基本控制了针对客户和网络基础设施的伪地址攻击。,CN2网络管理系统具备集中的配置下发能力，并专门为安全策略下发开发了专门的模块。CN2明确划分了UNI接口、网间互连接口和网内互连接口，当故障发生的时候将快速在UNI和网间互连接口上部署安全策略。安全信息可以从互连网上各种安全专业服务上那里获得，也可以从自己的监测中获得。,CN2建设了全网集中安全检测和策略下发系统、具备及时的安全报警能力和快速的准确的策略下发的能力,CN2网络为网络管理控制分配了专门的QOS等级和资源，并且绝对保证，任何网络拥塞和病毒泛滥都不可能造成协议中断和信息交互堵塞。在所有对外联路上关闭任何IGP路由协议，与客户之间只允许静态和BGP协议，不允许和客户之间运行任何动态IGP协议。保证路由信息不被伪造，不被欺骗。所有对外的EBGP部署基于MD5的协议加密。不接受来自任何外部网络的缺省路由，防止缺省路由欺骗。,Cn2通过部署QOS技术和路由协议安全加密技术保证路由协议和路由信息交换的畅通，保证路由信息的完整和准确，完全避免了流量拥塞可能造成路由协议中断和信息交换延缓的问题。,Cn2采用保护白名单的方式保证正常业务的畅通，任何其他的流量将被正常流量压制和挤占，所以病毒等垃圾流量不可能影响正常业务。同时可以将部分非法流量引入best effort的QOS等级中去，空制这些流量最网络的影响。,通过全程全网部署基于Diff Serv 架构QOS技术来控制病毒等垃圾流量。,CN2网络制定了详细的权限分配规则，并通过AAA系统部署实现。全网络集中的syslog实时反映网络上的任何软件、硬件和数据的变化，并作详细的记录。CN2部署了专门的、基于IPSec的远程管理用的VPN系统，保证远程访问的安全性。,部署了全网集中的AAA和syslog系统，确保操作配置的安全授权和事后审计。,中国电信CN2和城域网通过科学系统的设计和部署最新网络安全技术，以及网络的低延时、顺序传送，保证了客户数据的完整性、私密性和及时性，杜绝了数据的截取、伪造、串改的可能，为客户提供了高速安全的绿色通道。,TOC 服务,依托中国电信强大的网络资源、运营经验和渠道优势，联合业界领先的安全产品和服务提供商，提供模块化的网络安全专家服务（CTVIP-MSS）产品，帮助客户低成本地构建可靠的安全防御体系，保障其关键业务系统。,模块化的客户安全解决方案,SOC 服务,病毒防护(Anti-Virus)服务,DDOS攻击防护（Anti-DDOS）服务,安全网关服务,安全快车道,安全接入,专项防护,咨询代维,CT VIP-MSS产品架构,e通VPN,网络安全咨询,网络安全分析,产品定位,CTVIP-MSS系列产品定位,维护和保证中国电信大客户的业务连续性，提供世界级安全服务。,通过中国电信的安全服务，7x24地保护客户拥有的品牌和信息资产。,通过实施先进的模块化大客户安全解决方案中国电信与战略性伙伴合作提供完整的安全产品和服务,CT VIP MSS-安全网关服务,A客户,UTM,中国电信网管中心,业务管理服务器,数据库服务器,B客户总部,UTM,B客户分支,UTM,Internet,电信支撑系统,管理终端,通过在客户侧部署可管理安全CPE设备，为客户提供个性化、可定制的集成多种安全功能的互联网安全接入服务。,安全网关产品主要功能,防火墙功能,防病毒功能,防垃圾邮件功能,内容过滤功能,IDS/IPS功能,管理功能,报表功能,可管理安全网关业务,自服务功能,适用范围：可管理安全网关业务主要适用于党政军、大型集团/跨国/中小型企业大客户。,CT VIP MSS-安全快车道服务,通过在运营商侧集中部署安全网关设备组，为客户提供统一的多种安全功能可组合的互联网安全接入服务。,产品主要功能,安全快车道业务,基础防火墙功能,日志报表,入侵检测/防护功能,防病毒功能,防垃圾邮件功能,上网管理,适用范围：,安全快车道业务主要适用于一些采用ADSL拨号以及LAN虚拟拨号接入方式的中小型企业大客户或各行业的分支机构。,CT VIP MSS-Anti-DDOS服务业务实现（二）,4.分辩和过滤恶意的攻击,Non-targeted servers,DDoS 防护设备,DDoS 监测设备,DDOS防护业务的特点,只有在目标主机受到攻击时，流量才会被转移到DDOS过滤设备。正常情况下流量不经过过滤设备，所以不会造成性能的瓶颈。,DDOS攻击流量被清洗后，正常流量仍能继续到达被攻击目标。,业 务 特 点,只对指向被攻击目标的流量进行清洗，对其它服务器不会造成影响。,中国电信为客户免费提供DDOS过滤设备和检测设备;中国电信建成流量清洗中心专门部署DDOS过滤设备,而在客户接入端部署检测设备,为客户提供详细的过滤报表以及月统计报表等,适用范围：DDOS攻击防护业务主要适用于金融证券机构、内容/娱乐门户/电子商务网站、政府机构对外服务网站等。,CT VIP MSS-Anti-Virus服务,总部LAN,AV设备,中国电信病毒监控中心,病毒防护监控服务器,数据库服务器,总部服务器,分支机构,Internet,电信支撑系统,病毒监控管理终端,AV设备,AV设备,在客户侧部署病毒集中监控防护系统，通过运营商监控中心进行运营管理，为大客户信息网络、IT应用系统提供全面的病毒防护服务。,病毒防护业务,病毒防护业务功能网络流量侦测与网络病毒过滤；帮助客户隔离其内网中的薄弱环节；强制实施防毒安全策略；客户端补丁及防病毒软件管理；自动清除病毒；报表管理。,适用范围：病毒防护业务适用于各种行业的大中小型大客户。,方案升级建议：病毒防护业务可以借鉴DDOS防护业务实现方法。,主要内容,运营商看互联网安全中国电信的安全实践互联网安全的需求探讨,制定互联网网络模型及其接口，规范各接口协议标准，比如UNI、NNI等网络接口。,互联网本质上是一个平等的网络，没有定义各种网络接口，但是实际的网络中存在各种网络接口，从网络安全运行和业务提供的角度也需要定义和规范网络接口。网络接口最基本的划分要求就是用户网络接口UNI和网络网络接口NNI。,ADSL 论坛 TR-58/59 参考模型,互联网的应用业务是叠加在互联网之上的，互联网业务的提供和接受是通过接入互联网进行交互的，对网络来讲，两者都是接入，但是解决的目的不一样，行为也不一样。通过服务的定义来规范服务提供商接口，并规范服务提供商的服务内容。公众客户接口只能够接受服务，不能够提供服务，比如邮件服务器、Web服务器、DNS服务器等等。互联网,建议对UNI接口进一步划分为业务提供用户接口s-UNI和业务接受用户接口c-UNI。,网间接口包括路由协议、安全、QOS、时间同步等等接口内容。路由接口的规范是基础和重点，但是也是难点。,建议在网络模型NNI接口中进一步划分公众网间、公众网内、公众网和客户网间的接口，并定义基本的接口规范。,网络模型中的各项功能实现最终依赖设备来实现，包括安全功能的实现，同时设备只有在科学合理的网络模型的体系下考虑安全，才能才能满足运行商网络安全实现的需求，才能建成电信级的安全网络。设备的安全部分依赖于网络结构和整体安全策略的部署，网络和设备两者相辅相成。,建议从网络结构模型和设备自身安全两个角度制定设备的安全标准。,应用层身份认证和检查是解决应用层“伪地址”攻击的主要技术手段，是避免各种垃圾流量产生的有效途径。比如强制要求实现反向地址解析，强制执行对邮件发送者身份认证，对邮件服务器的合法性进行认证。,建议政府管理部门对部分应用强制进行应用层溯源性验证，加强对应用服务的规范化管理。,谢谢!,