［任敏 王彬］

1 背景

互聯(lián)網專線信安系統(tǒng)作為互聯(lián)網信安系統(tǒng)的重要組成部分，需要對互聯(lián)網專線（含對外提供服務專線和普通專線）進行接入監(jiān)控，實現(xiàn)違法網站過濾封堵、網絡安全與數(shù)據(jù)安全風險探測，活躍資源信息統(tǒng)計及上報等功能。

某電信企業(yè)在運營互聯(lián)網專線信安系統(tǒng)的過程中，發(fā)現(xiàn)隨著專線規(guī)模的不斷增加，需處理的日志流量數(shù)據(jù)量不斷增大，加上專線本身分散在全省各個子網中，要想匯總采集、處理，難度極大。

2 研究現(xiàn)狀

本次研究目標為用最小成本、最優(yōu)方案，實現(xiàn)某電信企業(yè)全省互聯(lián)網專線納入專線信安系統(tǒng)監(jiān)控。

待監(jiān)控的專線分為兩部分：一部分是對外提供服務（例如帶網站）的互聯(lián)網專線（已按地市接入SR），另一部分為普通互聯(lián)網專線（即為不對外提供服務的互聯(lián)網專線，分散在全省300～500 余臺BRAS 上）。

經調研，普通互聯(lián)網專線數(shù)量遠超對外提供服務的互聯(lián)網專線，如果需要全量專線流量接入做相關安全監(jiān)測分析，則需要對全省縣級BRAS 上承載的普通上網專線進行一對一接入，涉及全網改造，從工程造價、進度、工期來說，都是一個復雜的工程。

由于對外提供服務的互聯(lián)網專線已經匯聚至專線SR路由器上，在SR 設備上部署匯聚分流設備并將流量鏡像給EU 設備，即可實現(xiàn)對外提供業(yè)務的互聯(lián)網專線的流量監(jiān)控。但普通互聯(lián)網專線接在縣級網元-區(qū)縣BRAS 設備，需采用其他數(shù)據(jù)采集方式，業(yè)界主要包括以下4 種。

（1）省級DPI 分光（方式1）：通過選取在省網方向覆蓋全省DPI 分光鏡像方式，得到專線側流量，同時新增信安EU 設備、網安EU 設備和數(shù)安EU 設備，達到全量互聯(lián)網專線監(jiān)控。該方式的優(yōu)點僅在省級網元-省公司DPI 側進行設備新增改造，不涉及地市建設內容。缺點是需要新增全量DPI 覆蓋，整體投資比較大，且覆蓋效果不理想。

（2）地市CR 分光（方式2）：該方式在地市核心CR 路由器至BRAS/CR 之間新增分光器，一份流量送至到原有地市核心CR 設備，另外一份流量送至匯聚分流設備，匯聚分流設備將流量送至EU 設備，以此獲取專線全流量。該方式優(yōu)勢是監(jiān)控范圍較全面，不涉及專線線路遷改，劣勢是對組網結構改動較大，新增大量分光設備，造價較高，且需要進行多次網絡割接。

（3）區(qū)縣BRAS 旁掛EU 設備（方式3）：該方式直接在縣級網元-各區(qū)縣BRAS 設備側新增專線EU 設備、網安EU 設備和數(shù)安EU 設備，該方案可在縣級網元實現(xiàn)全量互聯(lián)網專線監(jiān)控，同時可以采集監(jiān)控到地市內區(qū)縣間互訪流量。優(yōu)點是可以全量采集專線側流量，缺點是整體投資極大，同時還需要新增區(qū)縣到各地市傳輸鏈路，整體實施難度極大、周期長、設備分布散不方便后期維護。

可以看出，方式1 的主要問題是“只能做到部分流量采集，造價較高”，方式2 的主要問題是“組網結構和割接改造大，造價較高”，方式3 的主要問題是“造價極高，傳輸改造和實施難度極大，維護非常不便”。

（4）地市SR 旁掛EU 設備（方式4）：為解決上述問題，小組成員不斷選取了多種數(shù)據(jù)采集技術，進行方案論證和比較，最終選擇了“匯聚分流旁邊EU”的方式（方式4），通過利舊現(xiàn)網SR 設備和匯聚分流設備（已經接入對外提供服務的專線），同時將各區(qū)縣BRAS 設備中的不對外提供服務的互聯(lián)網專線流量通過VPN/傳輸鏈路接入匯聚分流設備，從而達到全量專線數(shù)據(jù)采集的目標。

3 技術方案

3.1 互聯(lián)網專線信安系統(tǒng)現(xiàn)狀

3.1.1 互聯(lián)網專線CU 節(jié)點

專線CU 節(jié)點收到上級管局平臺指令后，將指令信息轉發(fā)給專線CU 接口服務器，CU 接口服務器下發(fā)給各地市專線EU 設備，并接收返回ACK 結果；同時各地市專線EU 將執(zhí)行結果統(tǒng)一上報給CU 接口服務器，CU 接口服務器轉發(fā)EU 上報的文件給專線CU 日志上報服務器。

3.1.2 互聯(lián)網專線EU 節(jié)點

互聯(lián)網專線EU 節(jié)點主要功能如下。

（1）保存CU 控制平臺下發(fā)的違法網站、免過濾網站列表，基于IP、端口、域名、URL、關鍵詞等條件的違法信息規(guī)則庫。

（2）接收CU 控制平臺下發(fā)的監(jiān)測/過濾指令，并依據(jù)監(jiān)測指令進行流量監(jiān)測，依據(jù)過濾指令進行過濾封堵，生成將監(jiān)測/過濾日志并上報至控制系統(tǒng)。

（3）可以對指定類型報文數(shù)據(jù)進行內容還原，并依據(jù)關鍵詞監(jiān)測/過濾指令進行監(jiān)測并生成監(jiān)測/過濾日志。

（4）將命中關鍵詞監(jiān)測/過濾指令轉換為基于源/目的IP、源/目的端口、傳輸層協(xié)議（TCP/UDP）、域名URL 等監(jiān)測/過濾指令。

（5）對活躍資源信息進行統(tǒng)計并將結果定時上報至CU 控制平臺。

3.2 多種數(shù)據(jù)采集監(jiān)控方案研究對比

在項目建設過程中，項目小組成員發(fā)現(xiàn)能否高效、全面的采集互聯(lián)網專線流量，是決定互聯(lián)網專線EU 系統(tǒng)運行效果的關鍵因素。

因此，項目小組成員參考現(xiàn)網經驗，對4 種流量采集場景方式及其運行效果進行了研究對比。

3.2.1 省級DPI 分光（方式1）

3.2.1.1 實現(xiàn)原理

如圖1 所示，目前多數(shù)電信省份關于互聯(lián)網專線路由方式為：互聯(lián)網專線從縣級網元（BRAS 設備）接入市級網元（CR 設備），然后通過CMNET 城域網傳輸上傳至省級網元（CMNET 省網、CMNET 骨干網、IDC）。

圖1 新建省級DPI 方式組網圖

選取在省網方向增加DPI 設備，全量覆蓋全省DPI，通過DPI 分光方式采集專線側流量，同時新增信安EU 設備、網安EU 設備和數(shù)安EU 設備，達到全量互聯(lián)網專線監(jiān)控，實現(xiàn)流量采集管理、信息安全管理、數(shù)據(jù)安全管理、網絡安全管理等功能。

3.2.1.2 運行效果

實驗證明，該方案優(yōu)勢是能夠充分利用現(xiàn)有設備并實現(xiàn)集中化部署，僅在省級網元-省公司側進行設備新增改造，不涉及地市建設內容。

劣勢是目前地市CR 到CMNET 骨干網需要新增全量DPI 覆蓋，投資預計1500+萬，而且地市內區(qū)縣互訪流量無法明確監(jiān)控采集。整體投資比較大，覆蓋效果不理想。

3.2.2 地市CR 分光（方式2）

3.2.2.1 實現(xiàn)原理

考慮到省網DPI 采集存在造價高和區(qū)縣側采集范圍不全等問題，項目小組成員調整了方案，如圖2 所示，采集位置設置在市級網元-地市CR 核心路由器側。

圖2 地市CR 分光方式組網圖

該方式在地市核心CR 路由器至BRAS/CR 之間新增分光器，一份流量送至到原有地市核心CR 設備，另外一份流量送至匯聚分流設備，專線EU、網安設備和數(shù)安設備即可通過匯聚分流設備獲取全量互聯(lián)網專線流量，實現(xiàn)數(shù)據(jù)安全、網絡安全、信息安全的各類功能。

3.2.2.2 運行效果

根據(jù)現(xiàn)網實際經驗測算，地市核心CR 設備總鏈路數(shù)為2 000～3 000 條，按照1:1 分光配置，故所需分光器約為2 000～3 000 套。按照目前設備價格，單臺SR 設備造價約12 萬，單套分光器造價約100 元，同時還需要新增區(qū)縣到地市側傳輸鏈路，共計投資約為1 200～1 500萬。

該方式優(yōu)勢是監(jiān)控范圍較全面，不涉及專線線路遷改。劣勢是對組網結構改動較大，造價較高，涉及到兩點。

（1）新增大量分光設備，且需要進行多次網絡割接。

（2）后續(xù)鏈路擴容均涉及分光器新增及網絡割接，實施過程繁瑣。

3.2.3 區(qū)縣BRAS 旁掛EU（方式3）

3.2.3.1 實現(xiàn)原理

如圖3 所示，該方式直接在縣級網元--各區(qū)縣BRAS設備側新增專線EU 設備、網絡安全設備和數(shù)據(jù)安全設備，該方案可在縣級網元實現(xiàn)全量互聯(lián)網專線監(jiān)控，同時可以采集到地市內區(qū)縣間互訪流量。

圖3 區(qū)縣BRAS 旁掛EU 組網圖

3.2.3.2 運行效果

根據(jù)相關運營經驗，由于中小型省份BRAS 設備較多，共有300～500 臺，根據(jù)現(xiàn)網BRAS 實際承載專線帶寬約8～10G，預計需要新增300～500 套信安EU、網安EU 和數(shù)安EU 設備，預計設備投資約8 000 萬～1 億左右。同時還需要新增區(qū)縣到各地市傳輸鏈路，整體實施難度極大、周期長、設備分布散不方便后期維護。

3.2.4 地市SR 旁掛EU（方式4）

3.2.4.1 實現(xiàn)原理

為規(guī)避方式1、2、3 中存在的造價高、采集范圍不全、現(xiàn)網傳輸改造大等問題，項目小組技術人員經過調研學習行業(yè)先進經驗，結合某電信企業(yè)專線信安系統(tǒng)現(xiàn)狀，給出了“地市SR 旁掛EU 設備”方式的解決方案，如圖4 所示，主要思路如下。

圖4 地市SR 旁掛EU 組網圖

將所有專線統(tǒng)一遷改至各地市SR 設備統(tǒng)一管理、監(jiān)控。因SR 同機房均部署匯聚分流設備（配置端口選用盒式匯聚設備，48*10GE+4*100GE 端口），匯聚分流設備側已經納入了對外提供服務的互聯(lián)網專線。本試驗方案將各區(qū)縣BRAS 設備中的不對外提供服務的互聯(lián)網專線流量通過VPN/傳輸鏈路接入匯聚分流設備，同時在匯聚分流側新增專線EU、網安設備和數(shù)安設備。

該試驗方案中，通過利舊現(xiàn)網SR 設備和匯聚分流設備（已經接入對外提供服務的專線），將各區(qū)縣BRAS 設備中不對外提供服務的互聯(lián)網專線流量接入匯聚分流設備，從而達到全量專線數(shù)據(jù)采集。

大部分地市級的匯聚分流設備剩余端口可滿足各區(qū)縣BRAS 設備互聯(lián)網專線流量接入需求（按每個區(qū)縣2 臺BRAS，每臺BRAS 預留1 個10GE 端口）。若后期業(yè)務需求量大，只需要把匯聚分流設備側擴容端口即可滿足，投資很小。

3.2.4.2 運行效果

經方案對比，本方式充分利用現(xiàn)網地市級網元設備資源，對BRAS 設備、SR 設備和地市核心CR 設備均不要進行改造，有效規(guī)避了造價高、采集范圍不全、現(xiàn)網傳輸改造大的問題。

綜上所述，按本方式改造后，所有互聯(lián)網專線流量均接入到匯聚分流設備。如后期流量增加需要擴容，僅需要擴容匯聚分流設備端口即可。隨著后期業(yè)務需求流量增加，可考慮在后期方案中將盒式匯聚分流設備替換為框式匯聚分流設備。

3.2.5 對比及結論

4 種采集監(jiān)控方案的對比情況分析如表1所示。

表1 從方案、造價、周期等維度對四種方案進行了對比論證，其中方式1～3 不同程度的存在造價高、周期長、效果差等問題。

表1 四種采集監(jiān)控方案對比表

方式4 的主要思路是充分利用現(xiàn)網地市級網元，對BRAS 設備、SR 設備和地市核心CR 設備均不要進行改造，有效的規(guī)避了造價高、采集范圍不全、現(xiàn)網傳輸改造大的問題。從而保證互聯(lián)網專線流量日志被高效、完整的提取和傳輸，最終實現(xiàn)專線違法信息被及時分析、研判和處置。因此，為本研究推薦的方案。

4 結束語

本方案設計過程中，專線EU 設備需要對全省所有地市的互聯(lián)網專線進行接入監(jiān)控，并對違法網站進行過濾封堵?；ヂ?lián)網專線信安系統(tǒng)的運行效果很大程序上取決于專線的日志流量數(shù)據(jù)能否被高效、全面的采集和處理。

本文通過對比省級DPI 分光、地市CR 分光、區(qū)縣BRAS 旁掛EU、地市SR 旁掛EU 方式等4 種數(shù)據(jù)采集方案的原理和優(yōu)劣勢，得出了“匯聚分流旁邊EU 設備”方式是最優(yōu)的數(shù)據(jù)采集和處理方式。

該研究結論為互聯(lián)網專線信安系統(tǒng)的高效運行和可持續(xù)發(fā)展打下了重要基礎，同時為同類數(shù)據(jù)的分析應用提供了組網架構和數(shù)據(jù)處理的借鑒方案。