[任敏 王彬]
互聯(lián)網專線信安系統(tǒng)作為互聯(lián)網信安系統(tǒng)的重要組成部分,需要對互聯(lián)網專線(含對外提供服務專線和普通專線)進行接入監(jiān)控,實現(xiàn)違法網站過濾封堵、網絡安全與數(shù)據(jù)安全風險探測,活躍資源信息統(tǒng)計及上報等功能。
某電信企業(yè)在運營互聯(lián)網專線信安系統(tǒng)的過程中,發(fā)現(xiàn)隨著專線規(guī)模的不斷增加,需處理的日志流量數(shù)據(jù)量不斷增大,加上專線本身分散在全省各個子網中,要想匯總采集、處理,難度極大。
本次研究目標為用最小成本、最優(yōu)方案,實現(xiàn)某電信企業(yè)全省互聯(lián)網專線納入專線信安系統(tǒng)監(jiān)控。
待監(jiān)控的專線分為兩部分:一部分是對外提供服務(例如帶網站)的互聯(lián)網專線(已按地市接入SR),另一部分為普通互聯(lián)網專線(即為不對外提供服務的互聯(lián)網專線,分散在全省300~500 余臺BRAS 上)。
經調研,普通互聯(lián)網專線數(shù)量遠超對外提供服務的互聯(lián)網專線,如果需要全量專線流量接入做相關安全監(jiān)測分析,則需要對全省縣級BRAS 上承載的普通上網專線進行一對一接入,涉及全網改造,從工程造價、進度、工期來說,都是一個復雜的工程。
由于對外提供服務的互聯(lián)網專線已經匯聚至專線SR路由器上,在SR 設備上部署匯聚分流設備并將流量鏡像給EU 設備,即可實現(xiàn)對外提供業(yè)務的互聯(lián)網專線的流量監(jiān)控。但普通互聯(lián)網專線接在縣級網元-區(qū)縣BRAS 設備,需采用其他數(shù)據(jù)采集方式,業(yè)界主要包括以下4 種。
(1)省級DPI 分光(方式1):通過選取在省網方向覆蓋全省DPI 分光鏡像方式,得到專線側流量,同時新增信安EU 設備、網安EU 設備和數(shù)安EU 設備,達到全量互聯(lián)網專線監(jiān)控。該方式的優(yōu)點僅在省級網元-省公司DPI 側進行設備新增改造,不涉及地市建設內容。缺點是需要新增全量DPI 覆蓋,整體投資比較大,且覆蓋效果不理想。
(2)地市CR 分光(方式2):該方式在地市核心CR 路由器至BRAS/CR 之間新增分光器,一份流量送至到原有地市核心CR 設備,另外一份流量送至匯聚分流設備,匯聚分流設備將流量送至EU 設備,以此獲取專線全流量。該方式優(yōu)勢是監(jiān)控范圍較全面,不涉及專線線路遷改,劣勢是對組網結構改動較大,新增大量分光設備,造價較高,且需要進行多次網絡割接。
(3)區(qū)縣BRAS 旁掛EU 設備(方式3):該方式直接在縣級網元-各區(qū)縣BRAS 設備側新增專線EU 設備、網安EU 設備和數(shù)安EU 設備,該方案可在縣級網元實現(xiàn)全量互聯(lián)網專線監(jiān)控,同時可以采集監(jiān)控到地市內區(qū)縣間互訪流量。優(yōu)點是可以全量采集專線側流量,缺點是整體投資極大,同時還需要新增區(qū)縣到各地市傳輸鏈路,整體實施難度極大、周期長、設備分布散不方便后期維護。
可以看出,方式1 的主要問題是“只能做到部分流量采集,造價較高”,方式2 的主要問題是“組網結構和割接改造大,造價較高”,方式3 的主要問題是“造價極高,傳輸改造和實施難度極大,維護非常不便”。
(4)地市SR 旁掛EU 設備(方式4):為解決上述問題,小組成員不斷選取了多種數(shù)據(jù)采集技術,進行方案論證和比較,最終選擇了“匯聚分流旁邊EU”的方式(方式4),通過利舊現(xiàn)網SR 設備和匯聚分流設備(已經接入對外提供服務的專線),同時將各區(qū)縣BRAS 設備中的不對外提供服務的互聯(lián)網專線流量通過VPN/傳輸鏈路接入匯聚分流設備,從而達到全量專線數(shù)據(jù)采集的目標。
3.1.1 互聯(lián)網專線CU 節(jié)點
專線CU 節(jié)點收到上級管局平臺指令后,將指令信息轉發(fā)給專線CU 接口服務器,CU 接口服務器下發(fā)給各地市專線EU 設備,并接收返回ACK 結果;同時各地市專線EU 將執(zhí)行結果統(tǒng)一上報給CU 接口服務器,CU 接口服務器轉發(fā)EU 上報的文件給專線CU 日志上報服務器。
3.1.2 互聯(lián)網專線EU 節(jié)點
互聯(lián)網專線EU 節(jié)點主要功能如下。
(1)保存CU 控制平臺下發(fā)的違法網站、免過濾網站列表,基于IP、端口、域名、URL、關鍵詞等條件的違法信息規(guī)則庫。
(2)接收CU 控制平臺下發(fā)的監(jiān)測/過濾指令,并依據(jù)監(jiān)測指令進行流量監(jiān)測,依據(jù)過濾指令進行過濾封堵,生成將監(jiān)測/過濾日志并上報至控制系統(tǒng)。
(3)可以對指定類型報文數(shù)據(jù)進行內容還原,并依據(jù)關鍵詞監(jiān)測/過濾指令進行監(jiān)測并生成監(jiān)測/過濾日志。
(4)將命中關鍵詞監(jiān)測/過濾指令轉換為基于源/目的IP、源/目的端口、傳輸層協(xié)議(TCP/UDP)、域名URL 等監(jiān)測/過濾指令。
(5)對活躍資源信息進行統(tǒng)計并將結果定時上報至CU 控制平臺。
在項目建設過程中,項目小組成員發(fā)現(xiàn)能否高效、全面的采集互聯(lián)網專線流量,是決定互聯(lián)網專線EU 系統(tǒng)運行效果的關鍵因素。
因此,項目小組成員參考現(xiàn)網經驗,對4 種流量采集場景方式及其運行效果進行了研究對比。
3.2.1 省級DPI 分光(方式1)
3.2.1.1 實現(xiàn)原理
如圖1 所示,目前多數(shù)電信省份關于互聯(lián)網專線路由方式為:互聯(lián)網專線從縣級網元(BRAS 設備)接入市級網元(CR 設備),然后通過CMNET 城域網傳輸上傳至省級網元(CMNET 省網、CMNET 骨干網、IDC)。
圖1 新建省級DPI 方式組網圖
選取在省網方向增加DPI 設備,全量覆蓋全省DPI,通過DPI 分光方式采集專線側流量,同時新增信安EU 設備、網安EU 設備和數(shù)安EU 設備,達到全量互聯(lián)網專線監(jiān)控,實現(xiàn)流量采集管理、信息安全管理、數(shù)據(jù)安全管理、網絡安全管理等功能。
3.2.1.2 運行效果
實驗證明,該方案優(yōu)勢是能夠充分利用現(xiàn)有設備并實現(xiàn)集中化部署,僅在省級網元-省公司側進行設備新增改造,不涉及地市建設內容。
劣勢是目前地市CR 到CMNET 骨干網需要新增全量DPI 覆蓋,投資預計1500+萬,而且地市內區(qū)縣互訪流量無法明確監(jiān)控采集。整體投資比較大,覆蓋效果不理想。
3.2.2 地市CR 分光(方式2)
3.2.2.1 實現(xiàn)原理
考慮到省網DPI 采集存在造價高和區(qū)縣側采集范圍不全等問題,項目小組成員調整了方案,如圖2 所示,采集位置設置在市級網元-地市CR 核心路由器側。
圖2 地市CR 分光方式組網圖
該方式在地市核心CR 路由器至BRAS/CR 之間新增分光器,一份流量送至到原有地市核心CR 設備,另外一份流量送至匯聚分流設備,專線EU、網安設備和數(shù)安設備即可通過匯聚分流設備獲取全量互聯(lián)網專線流量,實現(xiàn)數(shù)據(jù)安全、網絡安全、信息安全的各類功能。
3.2.2.2 運行效果
根據(jù)現(xiàn)網實際經驗測算,地市核心CR 設備總鏈路數(shù)為2 000~3 000 條,按照1:1 分光配置,故所需分光器約為2 000~3 000 套。按照目前設備價格,單臺SR 設備造價約12 萬,單套分光器造價約100 元,同時還需要新增區(qū)縣到地市側傳輸鏈路,共計投資約為1 200~1 500萬。
該方式優(yōu)勢是監(jiān)控范圍較全面,不涉及專線線路遷改。劣勢是對組網結構改動較大,造價較高,涉及到兩點。
(1)新增大量分光設備,且需要進行多次網絡割接。
(2)后續(xù)鏈路擴容均涉及分光器新增及網絡割接,實施過程繁瑣。
3.2.3 區(qū)縣BRAS 旁掛EU(方式3)
3.2.3.1 實現(xiàn)原理
如圖3 所示,該方式直接在縣級網元--各區(qū)縣BRAS設備側新增專線EU 設備、網絡安全設備和數(shù)據(jù)安全設備,該方案可在縣級網元實現(xiàn)全量互聯(lián)網專線監(jiān)控,同時可以采集到地市內區(qū)縣間互訪流量。
圖3 區(qū)縣BRAS 旁掛EU 組網圖
3.2.3.2 運行效果
根據(jù)相關運營經驗,由于中小型省份BRAS 設備較多,共有300~500 臺,根據(jù)現(xiàn)網BRAS 實際承載專線帶寬約8~10G,預計需要新增300~500 套信安EU、網安EU 和數(shù)安EU 設備,預計設備投資約8 000 萬~1 億左右。同時還需要新增區(qū)縣到各地市傳輸鏈路,整體實施難度極大、周期長、設備分布散不方便后期維護。
3.2.4 地市SR 旁掛EU(方式4)
3.2.4.1 實現(xiàn)原理
為規(guī)避方式1、2、3 中存在的造價高、采集范圍不全、現(xiàn)網傳輸改造大等問題,項目小組技術人員經過調研學習行業(yè)先進經驗,結合某電信企業(yè)專線信安系統(tǒng)現(xiàn)狀,給出了“地市SR 旁掛EU 設備”方式的解決方案,如圖4 所示,主要思路如下。
圖4 地市SR 旁掛EU 組網圖
將所有專線統(tǒng)一遷改至各地市SR 設備統(tǒng)一管理、監(jiān)控。因SR 同機房均部署匯聚分流設備(配置端口選用盒式匯聚設備,48*10GE+4*100GE 端口),匯聚分流設備側已經納入了對外提供服務的互聯(lián)網專線。本試驗方案將各區(qū)縣BRAS 設備中的不對外提供服務的互聯(lián)網專線流量通過VPN/傳輸鏈路接入匯聚分流設備,同時在匯聚分流側新增專線EU、網安設備和數(shù)安設備。
該試驗方案中,通過利舊現(xiàn)網SR 設備和匯聚分流設備(已經接入對外提供服務的專線),將各區(qū)縣BRAS 設備中不對外提供服務的互聯(lián)網專線流量接入匯聚分流設備,從而達到全量專線數(shù)據(jù)采集。
大部分地市級的匯聚分流設備剩余端口可滿足各區(qū)縣BRAS 設備互聯(lián)網專線流量接入需求(按每個區(qū)縣2 臺BRAS,每臺BRAS 預留1 個10GE 端口)。若后期業(yè)務需求量大,只需要把匯聚分流設備側擴容端口即可滿足,投資很小。
3.2.4.2 運行效果
經方案對比,本方式充分利用現(xiàn)網地市級網元設備資源,對BRAS 設備、SR 設備和地市核心CR 設備均不要進行改造,有效規(guī)避了造價高、采集范圍不全、現(xiàn)網傳輸改造大的問題。
綜上所述,按本方式改造后,所有互聯(lián)網專線流量均接入到匯聚分流設備。如后期流量增加需要擴容,僅需要擴容匯聚分流設備端口即可。隨著后期業(yè)務需求流量增加,可考慮在后期方案中將盒式匯聚分流設備替換為框式匯聚分流設備。
3.2.5 對比及結論
4 種采集監(jiān)控方案的對比情況分析如表1所示。
表1 從方案、造價、周期等維度對四種方案進行了對比論證,其中方式1~3 不同程度的存在造價高、周期長、效果差等問題。
表1 四種采集監(jiān)控方案對比表
方式4 的主要思路是充分利用現(xiàn)網地市級網元,對BRAS 設備、SR 設備和地市核心CR 設備均不要進行改造,有效的規(guī)避了造價高、采集范圍不全、現(xiàn)網傳輸改造大的問題。從而保證互聯(lián)網專線流量日志被高效、完整的提取和傳輸,最終實現(xiàn)專線違法信息被及時分析、研判和處置。因此,為本研究推薦的方案。
本方案設計過程中,專線EU 設備需要對全省所有地市的互聯(lián)網專線進行接入監(jiān)控,并對違法網站進行過濾封堵?;ヂ?lián)網專線信安系統(tǒng)的運行效果很大程序上取決于專線的日志流量數(shù)據(jù)能否被高效、全面的采集和處理。
本文通過對比省級DPI 分光、地市CR 分光、區(qū)縣BRAS 旁掛EU、地市SR 旁掛EU 方式等4 種數(shù)據(jù)采集方案的原理和優(yōu)劣勢,得出了“匯聚分流旁邊EU 設備”方式是最優(yōu)的數(shù)據(jù)采集和處理方式。
該研究結論為互聯(lián)網專線信安系統(tǒng)的高效運行和可持續(xù)發(fā)展打下了重要基礎,同時為同類數(shù)據(jù)的分析應用提供了組網架構和數(shù)據(jù)處理的借鑒方案。