【正文】 可達(dá)，就能夠?qū)崿F(xiàn)對(duì)被監(jiān)控的流量分析以及監(jiān)測(cè)。由于系統(tǒng)采用旁路監(jiān)測(cè)手段，避免了鏈路單點(diǎn)故障的可能性，從而對(duì)整個(gè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行的不會(huì)造成任何安全隱患。 2) 分布式拒 絕服務(wù)攻擊（ DDoS） DDoS 把 DoS 又發(fā)展了一步，將這種攻擊行為自動(dòng)化，分布式拒絕服務(wù)攻擊可以協(xié)調(diào)多臺(tái)計(jì)算機(jī)上的進(jìn)程發(fā)起攻擊，在這種情況下，就會(huì)有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，可能使被攻擊目標(biāo)或網(wǎng)絡(luò)因過(guò)載而崩潰。 長(zhǎng)遠(yuǎn)的發(fā)展 Arbor Networks 與 Cisco、 Juniper 和 Foudry公司具有良好的合作伙伴關(guān)系，因?yàn)橛兴伎茷楣咎峁┵Y金， Arbor 網(wǎng)絡(luò)直接涉及 NetFlow 標(biāo)準(zhǔn)的發(fā)展， Arbor 也是Juniper 高級(jí)合作伙伴 （得到這種身份唯一的公司）， Cisco 和 Juniper 都擁有 Arbor Networks 的股份。 這套系統(tǒng)還提供總體圖表和允許 網(wǎng)管人員把圖表放大以詳細(xì)觀看流量趨勢(shì)中細(xì)小的變化。通過(guò)下載 FingerPrint 數(shù)據(jù)庫(kù)，運(yùn)營(yíng)商可以充分借鑒其它運(yùn)營(yíng)商的經(jīng)驗(yàn)，并提高網(wǎng)絡(luò)的防攻擊能力。 DoS 平臺(tái)使用從運(yùn)營(yíng)商網(wǎng)絡(luò)里的路由器收集的 Netflow數(shù)據(jù)來(lái)建立一個(gè)關(guān)于網(wǎng)絡(luò)流量的動(dòng)態(tài)基線(xiàn)。可根據(jù)這一點(diǎn)將其內(nèi)容拿入到內(nèi)部，減少在 Peer上的花費(fèi)，同時(shí)提高內(nèi)部網(wǎng)絡(luò)的服務(wù)質(zhì)量。 多種屬性的相互關(guān)聯(lián)性分析 可真正實(shí)現(xiàn)從 AS、 IP 地址、應(yīng)用、指定用戶(hù)、指定路由器、指定設(shè)備端口、用戶(hù)指定屬性的感興趣點(diǎn)等以上各個(gè)用戶(hù)興趣點(diǎn)在全網(wǎng)內(nèi)的相互關(guān)聯(lián)性分析。從固化的操作系統(tǒng)到基于高速內(nèi)部核心的數(shù)據(jù)流收集子系統(tǒng)， Peakflow SP 是為符合可靠和大量數(shù)據(jù)處理能力的要求而設(shè)計(jì)。由于流量分析系統(tǒng)的結(jié)果已經(jīng)全部存儲(chǔ)到網(wǎng)管系統(tǒng)的統(tǒng)一數(shù)據(jù)庫(kù)，報(bào)表模塊不需要直接從流量分析系統(tǒng)采集原始數(shù)據(jù)，而可以直接從網(wǎng)管系統(tǒng)的數(shù)據(jù)庫(kù)中讀取數(shù)據(jù)，并將 Netflow分析結(jié)果與其它模塊的結(jié)果統(tǒng)一展現(xiàn)。 獲取路由器的 SNMP信息 Arbor 流量分析系統(tǒng)可以通過(guò) SNMP 的方式獲取路由器上系統(tǒng)感興趣的信息，包括設(shè)備描述、 IOS 版本、端口索引、端口描述、端口流量情況、 CPU/Memory利用率等。通過(guò)對(duì)網(wǎng)絡(luò)流量分析， 可以發(fā)現(xiàn)潛在用戶(hù)群，為業(yè)務(wù)人員發(fā)展業(yè)務(wù)提供幫助。 5. 能夠?qū)M(jìn)入 XXXX 網(wǎng)通 互聯(lián)網(wǎng)的流量按照 PEER進(jìn)行分類(lèi)和統(tǒng)計(jì)分析。通過(guò)在網(wǎng)絡(luò)的關(guān)鍵路由器 開(kāi)啟 Netflow 來(lái)采集網(wǎng)絡(luò)流量，對(duì)網(wǎng)絡(luò)的作用主要體現(xiàn)在以下幾個(gè)方面： ? 流量分析和監(jiān)控 ? 根據(jù)流量計(jì)費(fèi) ? 網(wǎng)絡(luò)加速 ? 用于安全分析 下表是基于 SNMP 輪詢(xún)技術(shù)和 NETFLOW 采集技術(shù)的比較： SNMP 輪詢(xún) NETFLOW 采集 采集端口流量統(tǒng)計(jì) 是 否 采集端到端流量 否 是 采集業(yè)務(wù)層流量 否 是 采集完整用戶(hù)業(yè)務(wù)流量 否 是 消耗網(wǎng)絡(luò)設(shè)備資源 較小 較多（但對(duì)高端設(shè)備性能影響不大） 適用電路 各種速率 GE、 POS 、POS 10Gbit/s 及以下 適用范圍 網(wǎng)絡(luò)各個(gè)層次 網(wǎng) 絡(luò)匯聚層和核心層 采集數(shù)據(jù)全面程度 較少 較全面 通過(guò)基于 NETFLOW 技術(shù)的流量分析系統(tǒng)對(duì)網(wǎng)絡(luò)流量的長(zhǎng)期監(jiān)控，有助于網(wǎng)管人員了解網(wǎng)絡(luò)的流量模型，所形成的基準(zhǔn)數(shù)據(jù)，可供網(wǎng)管人員正確分析網(wǎng)絡(luò)使用狀況，并可及時(shí)發(fā)布異常警訊，在故障事件爆發(fā)或擴(kuò)大前實(shí)施防范措施，進(jìn)而提升整體網(wǎng)絡(luò)的質(zhì)量及效能。 在總體設(shè)計(jì)中，應(yīng)采用開(kāi)放式的體系結(jié)構(gòu) ，使網(wǎng)絡(luò)分析系統(tǒng)易于擴(kuò)展，使相對(duì)獨(dú)立的分系統(tǒng)易于進(jìn)行組合和調(diào)整。 但由于市場(chǎng)競(jìng)爭(zhēng)的需要，各廠家對(duì)新產(chǎn)品，新技術(shù)的發(fā)布總是要遠(yuǎn)遠(yuǎn)先于其實(shí)際成熟期的；對(duì)任何一個(gè)用戶(hù)而言，選擇一種不成熟的技術(shù)或產(chǎn)品，總是要冒一定的風(fēng)險(xiǎn)的；尤其是對(duì)那些實(shí)用性要求高的用戶(hù)來(lái)說(shuō)，更是如此；因此，當(dāng)先進(jìn)性的要求與成熟性要求發(fā)生矛盾時(shí)，成熟性則應(yīng)是優(yōu)先考慮的原則。 重點(diǎn)采集 IDC 的 flow數(shù)據(jù) . P a g e 3 C o m p a n y C o n f i d e n t i a l3部署拓?fù)銪ack b o n eOff On n etT r ansit互聯(lián)節(jié)點(diǎn)分布層CM CCIDCCTIDC 大客戶(hù)河北網(wǎng)通分布層骨干 同時(shí) 增加針對(duì) DDoS 的流量清洗設(shè)備 TMS 遠(yuǎn)期： 實(shí)現(xiàn)全網(wǎng)的數(shù)據(jù)采集， 可以分析全網(wǎng)所有流量流向。既要考慮原有投資的保護(hù)，又要兼顧未來(lái)的發(fā)展 和變化。 可靠性原則 鑒于 XXXX 網(wǎng)通 互聯(lián)網(wǎng)規(guī)模較大，設(shè)備類(lèi)型復(fù)雜，要求網(wǎng)絡(luò)分析系統(tǒng)必須具有較高的可靠性，和良好的網(wǎng)絡(luò)分析能力，這就要求充分考慮設(shè)備和線(xiàn)路的冗余備份。而且由于 SNMP 采集的數(shù)據(jù)是基于端口的，無(wú)法提供端到端的準(zhǔn)確的流量信息，因此對(duì)流向的統(tǒng)計(jì)手段不明確 。能夠根據(jù)用戶(hù)的地址范圍、互聯(lián)端口、 AS 號(hào)、 Community等靈活的設(shè)定用戶(hù)范圍，并能夠反映用戶(hù)的業(yè)務(wù)使用情況、訪(fǎng)問(wèn)熱點(diǎn)地區(qū)、 Transit 流量以及用戶(hù)內(nèi)部的 TOP N Talker 等。 16. 流量分析系統(tǒng)支持分級(jí)分權(quán)管理功能，支持用戶(hù)根據(jù)需要進(jìn)行自定義的授權(quán)，開(kāi)放相應(yīng)的權(quán)限和功能。如果路由器配置的采樣比過(guò)高（如 1000： 1 或更高），流量分析的誤差將加大，尤其對(duì)小數(shù)據(jù)流或混雜在大流量中的部分關(guān)鍵的小數(shù)據(jù)流的分析，更容易產(chǎn)生比較大的誤差。綜合網(wǎng)管平臺(tái)更加強(qiáng)調(diào)面向業(yè)務(wù)、面向用戶(hù)以及系統(tǒng)數(shù)據(jù)的綜合和統(tǒng)一。當(dāng)網(wǎng)絡(luò)擴(kuò)容時(shí)，隨著網(wǎng)絡(luò)中路由氣臺(tái)數(shù)的增加通過(guò)增加 Collector 方式即可實(shí)現(xiàn)擴(kuò)展，保護(hù)用戶(hù)的 投資。 單臺(tái) Arbor Peakflow設(shè)備在配置大量監(jiān)控條件，并學(xué)習(xí) Inter 全部國(guó)際路由的情況下，能夠處理 50,000session/s（ 150 萬(wàn) session/分鐘）的 Netflow原始數(shù)據(jù)。 這些模型很好的 為 Peakflow 提供統(tǒng)計(jì)能力，超越以往只測(cè)量接口或者個(gè)別路由器的技術(shù)水平。運(yùn)營(yíng)商的大客戶(hù)可以對(duì)自己的流量進(jìn)行監(jiān)控，并 自己配置監(jiān)控條件對(duì)其關(guān)心的內(nèi)容進(jìn)行分析。如果只找到源地址而無(wú)法知道病毒從哪里近來(lái)的話(huà)，現(xiàn)在大多數(shù)病毒都是通過(guò)地址欺騙來(lái)偽造的源地址，將無(wú)法實(shí)現(xiàn)病毒源頭的有效監(jiān)控。并且用戶(hù)可以通過(guò)一個(gè)界面了解到系統(tǒng)管理的所有設(shè)備和網(wǎng)絡(luò)的情況。 系統(tǒng)監(jiān)控 Arbor Peakflow系統(tǒng)能夠自動(dòng)監(jiān)測(cè)系統(tǒng)所用設(shè)備的運(yùn)行情況， 以及系統(tǒng)監(jiān)控的Netflow Session數(shù)量，并能夠監(jiān)控各個(gè)設(shè)備的 CPU/Memory/磁盤(pán)等使用情況。網(wǎng)絡(luò)管理人員往往無(wú)法預(yù)先發(fā)現(xiàn)這些潛在的病毒與攻擊，一直要到有重大攻擊或者是大量病毒散播時(shí)才會(huì)收到告警開(kāi)始處理，而此時(shí)電信運(yùn)營(yíng)商或企業(yè)已經(jīng)因網(wǎng)絡(luò)中斷或性能下降遭受重大的損失。通過(guò)異常流量監(jiān)測(cè)系統(tǒng)的流量自學(xué)習(xí)功能掌握正常流量模型，同時(shí)利用系統(tǒng)的異常流量特征庫(kù)技術(shù)，及時(shí)發(fā)現(xiàn)和定位來(lái)自網(wǎng)絡(luò)內(nèi)部或外部的蠕蟲(chóng)攻 擊、 DDOS 攻擊、網(wǎng)絡(luò)濫用行為等安全問(wèn)題，分析和判斷異常流量、病毒或攻擊類(lèi)型（例如 SQL、 Slammer 等大量占用鏈路資源的蠕蟲(chóng)病毒攻擊）。 如下圖所示： “異常流量監(jiān)測(cè)系統(tǒng) IS”與“智能 流量過(guò)濾系統(tǒng) TMS”相配合共同對(duì)網(wǎng)絡(luò)流量的異常行為進(jìn)行監(jiān)測(cè)與控制的具體過(guò)程如下： 1) 由“異常流量監(jiān)測(cè)系統(tǒng)”實(shí)時(shí)的對(duì)全網(wǎng)流量進(jìn)行監(jiān)測(cè)； 2) “異常流量監(jiān)測(cè)系統(tǒng)”一旦發(fā)現(xiàn)異常流量事件，準(zhǔn)確的對(duì)該異常流量進(jìn)行定位，用戶(hù)可選擇使用“智能流量過(guò)濾系統(tǒng) TMS”進(jìn)行過(guò)濾； 3) “異常流量監(jiān)測(cè)系統(tǒng)”觸發(fā)“智能流量過(guò)濾系統(tǒng) TMS”的保護(hù)機(jī)制； 4) “智能流量過(guò)濾系統(tǒng) TMS”根據(jù)預(yù)先設(shè)定保護(hù)機(jī)制，向目標(biāo)路由器發(fā)送流量轉(zhuǎn)移路由策略，將該“異常流量”引至“ 智能流量過(guò)濾系統(tǒng) TMS”之中； 5) “ 智能流量過(guò)濾系統(tǒng) TMS”智 能對(duì)引入的流量進(jìn)行分析與識(shí)別，智能過(guò)濾所有攻擊或病毒流量； 6) 過(guò)濾后的“干凈”流量從“ 智能流量過(guò)濾系統(tǒng) TMS”出來(lái)，繼續(xù)對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行正常訪(fǎng)問(wèn)。 ? 實(shí)時(shí)提供網(wǎng)絡(luò)中熱點(diǎn)應(yīng)用分析，幫助運(yùn)營(yíng)商掌握網(wǎng)絡(luò)的各類(lèi)業(yè)務(wù)應(yīng)用的狀況。 ? 能夠提供 詳細(xì)的異常流量行為分析報(bào)告， 包括嚴(yán)重程度、起 /止時(shí)間、持續(xù)時(shí)間、異常類(lèi)型、出 /入網(wǎng)方向、源 /目的地址、協(xié)議號(hào)、源 /目的端口、 TCP flag 信息、包大小、攻擊入 /出的設(shè)備端口，影響 的網(wǎng)絡(luò)設(shè)備 、攻擊流量的統(tǒng)計(jì)圖、平均速率、最大速率等信息。 ? 能夠?qū)崿F(xiàn)對(duì)指定大用戶(hù)和網(wǎng)絡(luò)中運(yùn)營(yíng)商較為關(guān)心的 地區(qū)如 IDC 等的安全監(jiān)控和掃描，提供安全報(bào)告，保證重要用戶(hù)的安全。 ? 提供網(wǎng)絡(luò)中熱點(diǎn)應(yīng)用的流向特征和源頭分析，幫助運(yùn)營(yíng)商找到應(yīng)用特征 和熱點(diǎn)地區(qū)，有助于運(yùn)營(yíng)商的應(yīng)用發(fā)展決策，提高用戶(hù)服務(wù)。一旦發(fā)現(xiàn)“異常流量”，兩套系統(tǒng)間可實(shí)現(xiàn)聯(lián)動(dòng)，準(zhǔn)確的將異常流量進(jìn)行引導(dǎo)。 SP IS 安全 解決方案 Peakflow SP IS 是 Arbor Networks 為運(yùn)營(yíng)商度身定做的一套異常流量智能監(jiān)測(cè)系統(tǒng)。 電信運(yùn)營(yíng)商網(wǎng)絡(luò)作為互聯(lián)網(wǎng)的載體和服務(wù)提供商，為廣大用戶(hù)綜合提供互聯(lián)網(wǎng)接入業(yè)務(wù)、信息業(yè)務(wù)、和增值業(yè)務(wù)。 精確的數(shù)據(jù)查詢(xún)和結(jié)果輸出 用戶(hù)通過(guò) Arbor Peakflow系統(tǒng)可以以日 /周 /月 /年方式查詢(xún)歷史結(jié)果，同時(shí)還可以查詢(xún)一年內(nèi)任意時(shí)間段的分析結(jié)果。 先進(jìn)的報(bào)表能力 Peakflow SP 提供內(nèi)置最大和最尖端的流量特征化和網(wǎng)絡(luò)使用報(bào)表 —— 全部 為實(shí)時(shí)。 真正的 DDOS 攻擊分析 Peakflow SP 解決方案通過(guò)分析明顯的攻擊行為（ TCP Syn、 IP null、 TCP null、 Fragement、 TCP RST等明顯的攻擊行為）， 這些行為是明顯針對(duì)網(wǎng)絡(luò)中的服務(wù)器的攻擊事件，通過(guò)簡(jiǎn)單的流量分析將無(wú)法分析出來(lái)，流量雖小，一旦針對(duì)某個(gè)重要服務(wù)器，如內(nèi)部提供內(nèi)容的 IDC 或 服務(wù)器，這些攻擊將是致命的。 Peakflow系統(tǒng)持續(xù)學(xué)習(xí)和對(duì)網(wǎng)絡(luò)流量和拓?fù)涞恼Ｇ闆r建立模型。 Peakflow 系統(tǒng)有獨(dú)特的能力分辨進(jìn)入，出外和骨干流量。 因此一臺(tái) Arbor Peakflow設(shè)備就能夠完成 。 目前 Arbor Peakflow系列產(chǎn)品在國(guó)外的大型運(yùn)營(yíng)商的網(wǎng)絡(luò)中已經(jīng)得到了廣泛的應(yīng)用，其中包括 ATamp。 結(jié)合 TMN 和 TOM 功能模型， IP 網(wǎng)管系統(tǒng)功能分為網(wǎng)元層、網(wǎng)絡(luò)層、業(yè)務(wù)層、事務(wù)處理層和客戶(hù)層，還包括系統(tǒng)自身的管理。因此在路由設(shè)備的 NETFLOW 采樣比率設(shè)置時(shí)，應(yīng)根據(jù)設(shè)備上需要打開(kāi) Netflow功能的板卡的主要類(lèi)型并結(jié)合設(shè)備上開(kāi)通的電路的流量情況重要程度，靈活 的設(shè)置路由設(shè)備的 NETFLOW 采樣比率，包括 100： 1， 500： 1，1000： 1 和 3000： 1 等。通過(guò)對(duì)網(wǎng)絡(luò)中業(yè)務(wù)情況的分析，了解用戶(hù)的使用習(xí)慣和訪(fǎng)問(wèn)熱點(diǎn)，以便于更好的為用戶(hù)提供服務(wù)。流量分析系統(tǒng)應(yīng)能夠根據(jù)（源 /目的） IP 地址段 /自治域號(hào) /Community/接入端口 /協(xié)議端口號(hào) /BGP 屬性等定制流量分析內(nèi)容，并完成針對(duì)性的流量分析。同時(shí)電信運(yùn)營(yíng)商目前的網(wǎng)管系統(tǒng)不具備業(yè)務(wù)層面的協(xié)議分析能力，對(duì)增值業(yè)務(wù)的開(kāi)拓?zé)o法提供有力的依據(jù)和方案。用戶(hù)身份的假冒、應(yīng)用程序的非授權(quán)使用和損害或破壞性程序引入都是邏輯方面的威脅。這主要指： “從實(shí)際出發(fā)，講求實(shí)效” 業(yè)內(nèi)人士一致公認(rèn)，計(jì)算機(jī)技術(shù)，尤其是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展速度往往超乎人們的想象；每年新推出的技術(shù)和產(chǎn)品層出不窮；人們永遠(yuǎn)希望利用新技術(shù)，新產(chǎn)品，不要落后，但是，成熟的新產(chǎn)品也可能會(huì)對(duì)應(yīng)用環(huán)境提出新的要求，如果環(huán)境的改造不能同步，再新的技術(shù)和產(chǎn)品，也不能真正發(fā)揮起自身的優(yōu)勢(shì)；因此設(shè)計(jì)者必須根據(jù)投資的強(qiáng)度以及運(yùn)行條 件的可能，對(duì)所建系統(tǒng)、以及所用技術(shù)和產(chǎn)品進(jìn)行客觀地評(píng)估。 目前 IP 網(wǎng)絡(luò)的不斷發(fā)展對(duì)原有網(wǎng)絡(luò)可視化的管理提出了更高的要求， 主要如下： 由網(wǎng)絡(luò)攻擊的實(shí)時(shí)告警自動(dòng)生成黑洞路由和 ACL模版 . BGP路由的穩(wěn)定行分析 更加靈活的 Flow監(jiān)控技術(shù)，用戶(hù)自定義 flow的采樣比或系統(tǒng)自學(xué)習(xí)采樣比的變化 支持多方的流量清洗設(shè)備互動(dòng) 系統(tǒng)自動(dòng)識(shí)別網(wǎng)內(nèi)網(wǎng)間互聯(lián)端口 被管理對(duì)象流量模型的靈活門(mén)限值設(shè)定 更加靈活的自定 蠕蟲(chóng)傳播的實(shí)時(shí)發(fā)現(xiàn)與報(bào)告 . XMLSOAP 開(kāi)發(fā)接口 Active Threat Feed 全球網(wǎng)絡(luò)指紋實(shí)時(shí)更新 針對(duì) MPLS, IPv6, 和匯聚端口的豐富報(bào)表： 1) Visibility into VPN traffic, especially site x site. 2) BGPVPN route analytics (subset of BGP features). High Availability高可靠性的實(shí)時(shí)主備方案 最新的 Inter 匿名攻擊統(tǒng)計(jì) 流量清洗 方案必要性 本方案的必要性主要體現(xiàn)在以下幾個(gè)方面： (1) 通過(guò)本工程的建設(shè)，可以更好的實(shí)現(xiàn)基于業(yè)務(wù)流的性能測(cè)試和資源可用性監(jiān)測(cè)，分析總體業(yè)務(wù)發(fā)展趨勢(shì)和客戶(hù)行為，為網(wǎng)絡(luò)瓶頸排除和性能優(yōu)化提供依據(jù)； (2) 可以對(duì)網(wǎng)絡(luò)資源的使用情況進(jìn)行管理，避免因?yàn)橘Y源使用過(guò)度或使用狀況不明所導(dǎo)致的網(wǎng)絡(luò)服務(wù)質(zhì)量下 降； (3) 可以實(shí)現(xiàn)性能統(tǒng)計(jì)和性能趨勢(shì)分析，提供靈活的報(bào)表功能，提高網(wǎng)絡(luò)運(yùn)行維護(hù)水平；