10月11日起,北京市在五环路以内道路(含五环路)试行新的限行措施,为了基本的社会保障需求,相应特殊机动车不在限制范围之内。之所以提及此事,并不是要对此新的限行措施说三道四,而是顾左右而言他,说说网络虚拟社会中存在的"同样"的事情:第一:网络流量管理对应于交通道路及机动车管理;第二:服务质量对应于社会保障需求。
众所周知,异常流量,尤以DDoS为首,严重浪费着用户的资源和时间,是目前网络"拥塞"的罪魁祸首,而手段也频频翻新,最新的"闪断"攻击,其行为诡秘,寻踪困难,应对非常棘手。
● 异常流量借路 管理亟需创新
援引中国移动通信集团公司某工作人员的话说,在如今P2P、IM盛行的时代,对于局域网的流量管理,抑制、监测、溯源可谓六字箴言;而对于骨干网络流量的管理,其精髓在于监测和溯源。
而如何追本溯源,应对和管理网络异常流量呢?该内部人士介绍,对于异常流量管理这场遭遇战,可以说最早即在电信行业打响,可以追溯到2004年前后。经过近5年的发展,攻防的招术也几经变化,对于我们来说,从最初的串接式设备,诸如防火墙、DDoS过滤器;到网络设备管理手段,如ACL列表、手动调整QoS流量整形策略,都不能很好的对网络流量以及异常流量进行抑制、监测和溯源。
东软网络安全产品营销中心副总经理李青山在回忆他多年来对抗网络异常流量,进而有效管理网络流量的工作经验时,不无感慨的说,网络流量管理的根本就在于能够对网络中传输的流量进行细粒度分析,并可以进行宏观和微观溯源,部署合理的策略,进而制定相应的应对计划,不再担心异常流量的发生;其次,还可以帮助运维者掌握带宽的利用效率,制定合理的购买计划,节省成本。
同时,相关业内人士同样认为,高端网络骨干链路在应对异常流量威胁时所需要的既不是脆弱的传统DDoS过滤设备,也不能是简单粗暴的网络层ACL访问控制机制;高端网络需要的是一种既可保持网络系统健壮性又能提供较高检测命中率的新颖思路。
据笔者了解,针对网络流量管理问题的新颖思路,目前,国内外只有少数几家产品和解决方案提供商具备多年的经验积累、掌握了相对成熟的技术。
● 技术适时更新 异常流量减缩
串接式设备举步维艰
普通企业网络通常会采用类似于防火墙、IPS、DDoS过滤器等设备,通过在企业网边界点上的部署防止异常流量由低等级区域向关键区域渗透。然而,这种解决思路并不适合高端网络,主要表现如下:
1.防火墙、DDos过滤器等串接设备显着降低高端网络的稳定性
大家知道,诸如防火墙或DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性,其系统MTBF指标比主流网络设备要逊色许多。在高端网络区域边界点上部署此类设备将直接造成两个负面影响:一是人为增加了单一故障点,二是把高端网络整体稳定性直接拉低为DDoS过滤器设备本身的稳定性。因此,在高端网络上部署串联式设备是得不偿失的;
2.串接设备难以提供足够的处理性能
高端网络动辄采用的万兆以上链路是现有串接设备难以望之项背的。一般FW、DDoS过滤器通常针对普通企业用户进行设计,其系统处理性能往往局限在10000M bps以下,因此无法提供与保护目标相称的处理能力;
3.串接设备无法提供对应的接口类型
防火墙等过滤设备主要面向下游接入网络提供服务,网络接口基本局限为100/1000M以太链路,而作为中间互连通道的高端网络骨干链路中却广泛采用了10GE、OC-192 POS等规程,这对于构建在通用硬件平台上的DDoS过滤设备来难以配置相应接口板卡。
正是由于传统串接防护设备显而易见的局限性,决定了其无法在高端网络中进行应用部署。
网络设备捉襟见肘
