广域网络安全防护Word文档下载推荐.docx

1、网络上时时处处都存在着不安全因素，网络安全形势极为严峻，现在，Internet上运行着各种各样的软件以及各种各样的系统，几乎每天都有可供攻击者利用的漏洞被发现，攻击着利用这些漏洞几乎可以为所欲为。那么这些漏洞又从何而来呢？为什么会有这么多的漏洞呢？一、XXX公司DDoS防护管理平台需求分析报告书XXX公司DDoS防护管理平台需求分析报告书项目概述项目的要求、目标、限制：此防护平台可以进行流量清洗（仅限特定的用户）以及封堵，并且可以通过流量监控平台返回告警信息，从清洗设备返回清洗效果。流量监测平台使用netflow进行异常流量的分析，将异常流量信息传输给管理平台，通过LDP协议生成的MPLS L

2、SP隧道进行流量牵引至清洗设备，利用BGP引流的方式进行路由回注从而实现近源、近目的清洗，之后从清洗设备返回清洗效果。项目计划2018.7.15-2018.9.15平台上线2018.9.16-2018.12.31对各省份的D路由器以及清洗设备进行安全加固，开始添加用户2019.1.1至今 安全优化，测试对IPv6地址的引流及回注功能数据定义项目主要涉及网络搭建，暂不涉及数据库功能需求功能划分及功能描述：用户的所有封堵请求通过外部接口，转发给骨干网运维系统，由骨干网运维系统的路由控制器下发封堵路由给骨干网路由器或省分防护中心的出口路由器，再转发给各城域网出口核心路由器。流量近源封堵不同场景对应的

3、骨干网路由控制器的区分边界：（1）由骨干网路由器执行封堵的服务场景，由骨干网路由控制器下发给骨干网路由器（2）由城域网出口路由器执行封堵的服务场景，由骨干网路由控制器下发给DDoS平台省分防护节点的出口路由器，再转发给各城域网出口核心路由器执行封堵。DDoS防护平台提供的流量清洗服务，包括网内近源清洗和近目标清洗。DDoS防护平台各省分防护中心内的DDoS清洗设备是负责进行攻击流量清洗的执行网元，每个防护中心可能有一种或多种清洗设备构成，各个厂家的清洗设备通过自己的清洗管理系统进行管理。通过BGP和MPLS LSP两种路由方式，来区分引流和回注路由，骨干网A路由器、城域网CR路由器、省分防护中

4、心出口路由器相连接口都配置MPLS LDP,省分防护中心出口路由器与各CR之间建立双向的动态LSP隧道。不同的服务场景的引流和回注转发和隔离规划如下：近源清洗：1）流量牵引：各防护中心出口路由器与城域网CR通过BGP+LSP，进行流量牵引2）流量回注：各防护中心出口路由器通过默认路由回注到骨干网未启动清洗任务时流程如下：启动清洗任务后流程如下：近目标清洗：各防护中心出口路由器与骨干网A路由器通过BGP，进行流量牵引2） 流量回注：各防护中心出口路由器通过接收的城域网CR的BGP路由，通过LSP回注到对应的城域网流程如下：上述通过BGP与LSP隧道进行流量牵引与回注的方式仅针对IPv4地址，IP

5、v6的流量牵引与回注则是通过6PE LDP，2019.1.1之后将进行IPv6地址流量牵引与回注的测试。性能需求条件与限制1、自服务平台仅限用户使用，管理平台仅限运维人员使用。2、封堵任务可以给任意属于联通的IP下发，清洗任务只可以给签约的客户IP下发。3、新建清洗任务时的IP掩码只能大于或等于26位。4、金牌客户的需求需要五分钟之内响应，银牌客户十分钟之内。 其他1、该异常流量检测方式只能根据包头信息粗略的判断是不是攻击，并不能准确地判断出是何种类型的攻击。2、清洗设备流量的过滤策略在新建清洗任务时是使用的默认策略，所以对于有一些类型的攻击不能在第一时间进行有效的防护。3、当启动实时清洗的时

6、候不能第一时间检测出来扫段攻击。导师签字需求成绩二、XXX公司DDoS防护管理平台设计报告书XX公司DDoS防护管理平台设计报告书在骨干网层面统一管理攻击防护事件，统一调度全网资源，调度骨干网攻击防护及流量清洗系统，并与各省公司协同完成攻击防护任务建设骨干网DDoS统一防护平台，启动近源防护，处理手段包括清洗、封堵和压制，同时对于未建设流量清洗系统的省份提供近目的清洗服务。本项目系统集成工作包括新建一个DDoS统一防护平台中心节点和32个省分节点的China骨干网专用路由器等网络设备的集成，涉及全国各省骨干网设备的集成、与各省城域网核心设备的对接，与DDoS统一防护平台的对接以及全网联调。总体

7、设计处理流程1、近源清洗（例：X省攻击Y省）流程图（流量走向）：网络拓扑图流量走向：详情：启动近源清洗任务后来自X省的攻击流量到达该省的城域网CR路由器，CR路由器与D路由器之间通过LDP协议生成动态LSP隧道，流量经CR路由器之后通过MPLS LSP隧道经过骨干网边缘路由器（A路由器），D路由器通过EBGP收到管理平台核心路由器（K路由器）下发的清洗命令，清洗设备通过IBGP学习到流量在通过D路由器的下一跳地址为清洗设备地址，也就是本机地址，流量转发到清洗设备时是通过D路由器的Local，清洗设备清洗完成之后流量走清洗设备的BGP路由表将流量回注到D路由器的VRF，之后再走VRF的BGP路由

8、表回注到骨干网边缘路由器，清洗完成的流量到达X省A路由器后走EBGP路由表通过骨干网转发到Y省的A路由器，A路由器再通过EBGP路由表转发至本省的城域网CR路由器，之后就可以正常访问目的IP，达成近源清洗效果。2、近目的清洗（例：来自X省的攻击流量通过EBGP路由表流向该省A路由器流入骨干网并通过IBGP路由表流向Y省A路由器，启动清洗任务后D路由器的local与Y省CR路由器之间建立LSP隧道，D路由器通过IBGP收到管理平台核心路由器下发的近目的清洗命令，清洗设备通过IBGP学习到流量通过D路由器的下一跳地址为清洗设备地址，此时流量经过Y省A路由器时通过EBGP路由牵引到D路由器的VRF，

9、之后通过IBGP路由牵引到清洗设备进行流量清洗，清洗完成后流量通过BGP路由表回注到D路由器的local再通过LSP隧道回注到Y省CR路由器，之后就可以正常访问目的IP，达成近目的清洗效果。总体结构和模块设计：整体路由政策根据骨干网现有路由政策规划和DDos防护平台网络的特点，建议的整体路由政策规划如下：（1）自治域设置 按照网络层次模型的划分，本期DDOS平台网络建议采用独立的网络自治域，统一申请一个自治域号，通过eBGP用于向骨干网宣告业务路由；本期目前各防护中心对外宣告的业务路由，均为联通网内地址，为减少网络复杂度，使用私有AS号。未来平台有与外部网络直连，并需要发布自有地址段时，再申请

10、改造为公有AS。（2）IGP路由协议 骨干网使用IS-IS作为IGP，运行在IS-IS的Level 2骨干区域；本期新建的DDos统一防护的网络平台与骨干网属于一个相同的管理域，因此本期建议DDos统一防护的网络平台加入骨干网现有的IGP路由域，与骨干网运行IS-IS路由协议，并运行在IS-IS的Level 2骨干区域；DDos统一防护的网络平台通过IGP向骨干网宣告设备管理和互联地址路由；（3）BGP路由协议 DDos专用路由器与骨干网边缘路由器之间运行eBGP；DDos统一防护平台通过eBGP向骨干网宣告业务路由，路由掩码长度不小于24；（4）LDP路由协议 DDos专用路由器通过LDP与

11、城域网CR路由器建立动态LSP；骨干网边缘路由器与DDos专用路由器与之间运行LDP；骨干网边缘路由器与城域网CR路由器与之间运行LDP；路由控制策略（1）IGP路由控制策略 本期DDos专用路由器同时上联两台骨干网边缘路由器，由骨干网为DDos专用路由器上联链路依据现有策略配置较大的METRIC值，防止骨干网流量通过DDos专用路由器透传；（2）eBGP路由控制策略本期通过eBGP向骨干网宣告的业务路由主要包括以下两类：由中心节点通过Trigger路由器向骨干网RR宣告的全网或分区域封堵路由由各省分节点专用路由器向骨干网A路由器宣告近目标牵引路由路由的封堵、清洗和分区等业务属性由DDos平台

12、通过BGP community标记，传递给骨干网；中心节点向骨干网宣告的业务路由同时标记no-export属性，骨干网不向域外宣告该业务路由；各省分节点骨干网宣告的业务路由同时标记no-advertise属性，骨干网路由器不向其他路由器宣告该业务路由；（3）LDP路由控制策略骨干网A路由器上建立两个LDP outbound分组：城域网CR分组仅宣告D路由器loopback的标签 D路由器分组仅宣告城域网CR loopback的标签功能分配：各防护中心出口路由器的角色和任务：1）与各CR之间建立双向动态LSP隧道，实现在骨干网层面牵引和回注路由的隔离；2）接收骨干网控制路由器下发的近源清洗和近目

13、标清洗服务路由，并根据路由标识，通过BGP转发给骨干网或城域网CR，执行流量牵引；3）接收清洗设备宣告的清洗服务路由，并进入本机路由表，通过本机路由表，把待清洗流量转发至清洗设备执行清洗4）区分近源清洗和近目标清洗服务场景，隔离牵引和回注路由，通过不同的BGP会话和逻辑子端口把清洗后的流量回注到城域网（近目的清洗）或骨干网（近源清洗）；清洗设备的角色和任务：1）区分近源清洗和近目标清洗两个服务场景，通过不同的BGP会话和逻辑子端口进行流量牵引；2）流量清洗：对异常流量进行清洗3）区分近源清洗和近目标清洗两个服务场景，根据本机路由表，通过不同的逻辑子端口进行清洗后的流量回注；各省防护中心出口路由

14、器分别采用单条100G或多条10G电路上联对应省份两台骨干网接入路由器，同时防护中心出口路由器需实现近源清洗和近目标清洗两个防护应用场景的牵引和回注流量的隔离转发，建议采用VRF方式实现，具体实现方式如下：1）防护中心出口路由器配置一个VRF：ddos-to-A，路由器本机与VRF的功能及路由协议分配如下表：表1：路由器本机与VRF的功能及路由协议分配表转发VRF功能路由协议local与城域网CR交互，用于近源牵引+近目标回注Default、EBGP、LDPVrf：ddos-to-A与骨干网A交互，用于近目标牵引+近源回注EBGP+Default2）防护中心出口路由器与骨干网A路由器使用单条1

15、00G或多条10G电路互联，多条10G电路不进行链路聚合，全部采用IP互联，在每个物理接口中，配置两个IP子接口：子接口10和子接口20，子接口用途如下；表2:路由器接口及功能表子接口Dot1q tag10近源牵引+近目标回注子接口Local20近目标牵引+近源回注子接口VRF：3）防护中心出口路由器与节点内的DDOS清洗设备分别使用多条10GE物理链路互联，多条10G电路进行链路聚合，在聚合链路接口中，配置两个IP子接口：子接口10和子接口20，子接口用途举例如下；表3:清洗设备子接口及功能表设备Ddos#1近源牵引（EBGP）+近目标回注（EBGP）近目标牵引（EBGP）+近源回注（Def

16、ault）Ddos#2各省份节点网络拓扑图如下：近源、近目标清洗实现：IPv4引流：D给A发送32位路由引流，通过私网EBGP邻居发送；流量引导D设备后走VPN转发；IPv4回注：D路由器和城域CR之间建立EBGP邻居，通过BGP路由（非标签路由）迭代入LDP LSP隧道；D路由器配置route recursive-lookup tunnel；IPv6引流：D给A发送128位路由引流，通过私网EBGP邻居发送；IPv6回注：D路由器和城域CR之间建立6PE邻居，D路由器到城域CR的回注流量走6PE转发；接口设计外部接口:流量监控系统向管理平台传输告警信息的接口、清洗平台向管理平台发送清洗效果图

17、的接口、客户通过自服务平台下发封堵任务、清洗任务的接口。内部接口:管理平台下发封堵和清洗任务的接口。数据库设计出错处理设计1、API报“没有可用的业务资源”日志故障现象：客户通过API新建封堵任务，报错error-code: 412 error-msg: 没有可用的业务资源，无法新建该全网封堵任务。无法正常下发任务。处理思路：一般出现“没有可用的业务资源”，均为套餐被不恰当修改的原因2、客户无法连接API接口客户预通过API新建封堵任务，无法连接，提示“connetion timed out”。一般的，关于connetion timed out的故障，建议思路为：1先核心，后边缘；即先查核心应

18、用（server是否正常，其他客户是否故障），再查边缘客户。2先本端，后对端；即确认服务正常后，检查本端网络侧是否存在异常，确认本端无故障后，再配合客户查询对端网络网络安全建议：1、关闭路由器和交换机上不必要的服务。2、设置加密特权密码，尽量是容易记住、不用看键盘就能敲出来的密码。3、打开密码标记，使明文密码以加密符号的方式显示出来。4、远程登录时，设置 认证和超时选项。5、设置NTP Server，配置日志服务。6、BGP在作EBGP Peer时采用BGP邻居认证。设计成绩三、XXX公司DDoS防护管理平台运维报告书XX公司DDoS防护管理平台运维报告书要求：确保系统正常运行。目标：确保客户

19、下发的清洗任务无异常。限制：严禁使用超级权限进行操作。日常维护1、确保监控页面正常打开。2、确保各设备网络畅通。（可以ping通）3、检查客户的任务状态并根据要求形成文档。4、确保监控页面的监控脚本无异常输出。5、确保平台下发清洗任务以及封堵任务可以正常执行并且达到正常清洗效果。6、确保清洗设备正常工作且无异常告警。（清洗平台显示设备在线且每天建立的清洗任务可以查到）管理平台部署在Cent OS 7系统，清洗设备管理平台部署在Windows Server系统1、每天建立清洗任务，建立完成后观察自服务页面任务状态是否为防护以及管理平台的任务详情，如果全部为防护则正常，其他则不正常，需要进一步排查

20、；2、登陆后台目录观察是否有任务存在，如果有，则为正常，无则为异常；3、登陆K路由器查看任务下发状态：首先看任务里的ID是否为下发任务对应的ID，其次看是否将任务下发到了对应的D路由器上。4、如果全部正常则登陆D路由器查看：用dis bgp routing-table命令查看from（是否为K路由器地址）next-hop（下一跳地址是否为清洗设备地址）community（是否为对应的下发任务）；5、登陆CR路由器查看是否收到了来自D路由器的命令，看from地址是否为D路由器地址，如果是，则为正常；6、登陆受攻击IP省份对应的A路由器查看路由表是否与攻击源有BGP邻居关系，如果有，则为正常。7、

21、最后登陆受到攻击的PC端ping攻击源，看是否能ping通，通的话则清洗效果良好。处理流程图如下：问题解决遇到的问题：1、平台有一个柬埔寨的国际客户，应客户需求我们为其启动了实时清洗，有一次此客户发现一次攻击的清洗效果并不是很好，之后组内成员发现此客户被攻击时流量监控平台并未发现有告警，但是从清洗设备传到管理平台的日志里面显示确实有攻击，而且攻击流量峰值达到了10G。处理过程：之后我们分析了一下流量监控系统产生告警的原理。原理为此系统采集流量是采集的是各省A路由器的入流量信息，至于为何没有产生告警，是因为此客户添加了许多C类的IP，数量太多，而且此次攻击类型为扫段攻击，就是每一个IP都会受到攻

22、击，虽然从清洗设备传过来的日志里面显示峰值很大，但是分到每个IP的攻击就很小了，并没有达到告警阀值，并且由于此客户启用的是近源实时清洗，这样的话由CR路由器引流到清洗设备的时候不是走的正常路由，而是LSP隧道，这样攻击流量会被加上MPLS的包头，流量监控系统就会将带有MPLS包头的攻击流量判断为正常流量，所以没有向平台发送告警信息。2、因为一个sql语句执行时间过长，数据库的表被锁，导致清洗任务无法正常下发。如果锁表，则登陆数据库执行show full processlist;查询结果可以看到sql语句的具体执行时间以及sql语句的内容，找出有问题的sql语句通知客户，让客户去kill掉3、客

23、户启动清洗任务后未达到预期效果，部分攻击流量未清洗，网站仍不能进行正常访问。 处理过程：查看清洗设备的清洗日志并且通过抓包操作发现流量只清洗了一部分，UDP的攻击并没有清洗掉，通过与客户沟通发现此客户大部分业务都为UDP，而客户申请开户后清洗任务的过滤策略采用的默认，默认清洗策略没有过滤UDP的过滤器，所以我们对这个客户格外加了一个UDP的过滤器，再次启动清洗任务后发现达到了清洗效果，并且客户反应业务可以正常进行，外部可以正常访问。有时候清洗设备会离线，导致其省份的清洗任务不能正常下发，需要每天隔一段时间看一下清洗平台上面设备在线情况，因为是现网环境，涉及到业务的正常流程，所以如果有设备离线情况需要立刻处理，防止影响到正常业务。每天注意看邮箱有没有满，防止收不到客户反馈的一些信息。运维成绩结论网络安全的社会化要求网络上的每一个人都有义务保障网络环境的安全，这一点在防范DDoS攻击时体现的尤其明显。除了企业网络安全管理员，应保证企业网的安全性，避免被黑客利用成为跳板机之外，运营商必须加强网络的监视和控制能力，减轻拒绝服务攻击对网络造成的影响，保障用户的权益。首先要保证网络设备的安全，