IPTV 业务解决方案之IPTV业务的安全维护1 IPTV业务的安全维护从安全性的角度来看,IPTV业务承载网不同于传统宽带网。它不但需要像传统宽带网一样防止网络病毒和网络攻击,同时对用户向网络发送的内容是否合法也一定要严格地控制,并对IDC中节目源进行保护。在保证IP网安全性方面,思科已经可以通过自防御网络战略,帮助运营商将网络从被动的防御,转为主动的防御。特别是在对DDOS攻击防护方面,CISCO 提供的解决方案能够有效的保护IPTV的业务服务器,业务管理平台不受DDOS攻击。 1.1 利用CISCO Guard 提供IPTV视频源的保护Cisco Guard解决方案提供完整保护来防御各种DDoS攻击,甚至那些还未出现的DDOS攻击。以积极缓解性能为特色,快速检测攻击,从合法业务中分离出恶意数据包,Cisco Guard解决方案提出以秒计而不是以小时计的快速DDoS响应。该方案容易布署在关键路由器和交换机附近,并且不影响现存的网络部件的性能和可靠性。 Cisco Guard解决方案套件包括两个独立的组件 -- Cisco Detector和Cisco Guard,两部分协同工作,能为任何环境提供DDoS保护。
当保护器被通知有一个目标处于被攻击状态(无论是来自Cisco检测器还是其它诸如入侵检测或防火墙的安全监测设备)时,指向目标的业务将被转移到与该目标设备相连的保护器。然后,业务将通过五个阶段的分析和过滤,以除去所有恶意业务使得好的数据包能不间断的继续传送。 保护器位于一个单独网络接口处的路由器或交换机附近,在不影响其他系统的数据业务流情况下实现按需保护。由于它的位置,保护器可同时保护多个可能的目标,包括路由器、Web服务器、DNS服务器、LAN和WAN带宽。 思科公司完整的DDoS防护解决方案实施具体实现过程请参见下图 首先看看网络的部署情况,左边是原有网络结构,不受任何影响。将CISCO DDoS保护器部署在上层路由器旁边,一般是PoP点,CISCO保护器和此路由器有BGP的连接;再靠近需要保护的对象网络区域,部署CISCO DDoS监测器,或IDS入侵检测,或流量检测等设备,用以发现DDoS攻击的发生 第一步:DDoS检测器发现有DDoS攻击发生,而且确认被攻击对象的地址或网段 第二步:DDoS检测器通过SSH发出告警信息给DDoS保护器,DDoS保护器知道哪段IP地址被攻击了。DDoS保护器可以自动启动防护,也可以是管理员人为干涉启动防护 第三步:DDoS保护器一旦启动对于相应网段的防护功能,将向旁边的路由器广播一条相关于被攻击网段的BGP路由,支出下一跳地址是DDoS保护器的地址。由于BGP路由的优先级高于OSPF/ISIS等IGP路由,这时路由器中关于被攻击网段的路发生变化,下一跳不再是原来的下一跳地址,而变成了DDoS保护器的地址 第四步:这时所有面向被攻击者的流量被路由器转向到了DDoS保护器,如上图的红色的流量表示。红色的流量是混合流量,包含有攻击流量和正常用户请求流量;混合流量送达DDoS保护器后,DDoS保护器拥有MVP多级验证体系结构,具有识别攻击流量和正常流量的能力(具体技术细节参见下段的MVP多级验证体系结构),将DDoS攻击流量区分和过滤掉 第五步:DDoS保护器将合法流量再转发到原有的网络中,因此合法流量可以到达被攻击的服务器。这时,我们可以知道,DDoS攻击已经被有效防止了,不管是哪一种攻击,对于服务器而言,基本没有感觉到被攻击了,网络实现自动防护 第六步:其他的非被攻击流量的路由没有任何改变 总结以上过程,这是一种非常适合电信网络的解决方案,对网络结构没有任何改变,同时可以透传正常流量;DDoS保护器的资源不是被独占的,而是动态随机的资源分享;其他流量没有任何影响和变化 思科公司的创新技术和体系结构提供了这种全新的防护DDoS攻击的方法,对业务进行最详细的审查,不仅能检测最复杂的DDoS攻击,也能提供阻断日益复杂和难于检测的攻击的能力,同时不影响合法业务的正常处理,确保DDoS攻击停止业务操作的目的失败。此创新技术解决方案超越了简单过滤,它能自动检测数据并去除恶意业务,允许好的数据包通过,确保了业务的持续进行和完整性,为有效防护大规模互联网突发事件提供了一个好的参考模型。 1.2 组播技术的安全维护IPTV业务的大规模开展,组播技术将是必不可少的。与传统IP业务不同的是,组播业务的安全更多的是体现在对组播源和组播流的控制上。由于每台运行组播路由协议并转发组播流的路由器都会保留大量的组播组的状态信息。因此,当有恶意的组播源向网内随即发送组播数据流时,如不作控制,不但可能造成对网络带宽的恶意占用,影响其他业务的品质,也会在路由器之间造成大量的协议数据包,加重路由器的计算负载。 通常情况下,组播数据流与组播协议在路由器中是时时互相影响的。组播数据包经过路由器时会影响组播路由的信息状态,反之,组播协议的变化也会触发数据转发层面的变化。举例来说,假设网络运行PIM-SM组播路由协议,某接收终端需要预定某组播地址的组播数据流。网关路由器会根据自身学习到的RP信息查找到关于这个组播组的RP,并显示的向RP发出Join信息,要求加入RP的组播共享树。假设RP已经有了此组播组的一个数据源的信息,并与源建立了源树,接收到了组播源的数据流。RP会将组播流下发到共享树。当网关路由器接收到第一个组播包时,就获得了这个组的组播源信息。缺省情况下,网关路由器就会直接向组播数据源发起一个请求,要求直接与数据源的第一跳路由器建立一棵最短路径树,也就是源树,以便于绕开RP,获得更好的转发路径。这就是一个比较典型的组播中,数据转发影响协议和路由状态的情况。同时,还有很多情况下,协议的变化会影响数据的转发。 因此,在对组播业务的运维中,应尽量部署控制策略,最大限度的保证业务的正常进行。通常可以通过以下一些手段来完成。
|