互联网视听节目监测网络安全防护技术应用与实践
2022-03-08刘永勇
刘永勇
【摘要】本文以贵阳市互联网视听节目监测系统中网络安全防护系统的建设作为范例,分析和介绍广播电视行业互联网视听节目监测网络安全防范的一些做法和具体运用,结合信息系统网络安全要求,给出了互联网视听节目监测系统的一种网络安全防范功能方案。通过防范恶意攻击、防病毒等自身的安全任务,从而增强我市互联网视听节目监测系统的抗攻击能力,保障系统的正常运行和监测数据的准确可靠。
【关键词】互联网;节目检测系统;安全防护;技术应用
中图分类号:TN929 文献标识码:A DOI:10.12246/j.issn.1673-0348.2022.02.028
系统建设按照“实用、可靠、高效、可管理、安全、可扩展”的原则,力争为客户提供更多、更好的技术手段。
1. 防范原则和必要性
随着业务规模的扩大,监播平台上的许多服务器上软件系统的规模越来越大,复杂度越来越高,大量的漏洞不断涌现;网络上信息资源的丰富使得普通人很容易就能够掌握各种计算机技术,迅速找到各种软件的漏洞;此外,计算机安全知识涉及面太广,传统防护产品中防火墙的防护等级很低,相关入侵防御类产品只能从事边界防护,主要功能是为操作系统和网络提供保护,缺乏对WEB核心数据的保护能力,难于采取有效的措施对网络进行安全防护。
2. 系统方案设计
监测网络部署了防火墙以及DDOS防御系统以防御来自外部网络的攻击,但是防火墙主要以网络层的访问控制为主,DDOS防御系统也仅仅能抵制DDOS这类简单粗暴的网络层攻击,无法对更高层协议进行深度检测,发现其中蕴含的威胁。
根据业务系统需要,对抗DDoS攻击及网页防篡改等功能需求提供技术解决方案如下:
2.1 专业的抗拒绝服务攻击产品(流量清洗系统)
抗拒绝服务系统主要职责就是抵御DDoS攻击行为,通过对流量的分析和识别,检测流量中的各种DDoS攻击行为,使用阈值限制,流量算法、识别验证等多种方式识别DDoS流量,高效的抵御DDoS攻击和保障用户网络的完整性和可靠性。
2.2 功能特点
抗拒绝服务系统实现急速的流量处理能力,从低端千兆到万兆高端产品均为64字节小包限速能力,急速的小包处理能力可以完全处理大流量DDoS攻击。抗拒绝服务系统从软件到网卡驱动都做了大量的优化,因DDoS攻击行为主要是流量型攻击,因此对于抗拒绝服务系统来说64字节小包的性能要求尤为重要。
随着IPv6的高速普及,抗拒绝服务系统支持双协议栈过滤,通过对IP地址的识别,自动区分是IPv4还是IPv6协议。快速适应网络的高速发展需求和DDoS防御需求。
抗拒绝服务系统具备自主开发的独立防护算法,包含连接代理、数据转发、内核防护、数据挖掘等防护算法。防护算法主要是抵御来自网络层、应用层的DDoS攻击。
抗拒绝服务系统针对应用层的CC攻击时,使用切入页面防护手段进行防御。僵尸网络、CC攻击器都是电脑系统,无法输入验证码、验证页面等内容。对于开启防护的Web服务器,防护模块会主动插入Web页面,客户端可无察觉的自动完成验证过程,已达到高效的防御Web类连接攻击的目的。
抗拒绝服务系统也使用标准的“阈值”设置。针对TCP、UDP、ICMP等协议进行数据包流量限制。通过对流量限制、报文限制、连接限制等多维度的阈值限制来保障带宽的有效使用。
抗拒絕服务系统有规则匹配防御方式,通过对协议、端口号、标识位等多元素的正则匹配过滤方式,通过对TCP、UDP、ICMP等协议数据包的多维度字符的过滤来有效抵御DDoS攻击行为。
抗拒绝服务系统的端口保护功能,主要基于重要应用业务的,通过端口来识别应用业务。通过设置延迟提交、验证TTL值、同步连接等多种处理方式来抵御针对应用业务的DDoS攻击行为。
抗拒绝攻击系统支持旁路抵御模式,支持BGP旁路牵引防护模式。产品提供手工牵引、自动牵引模式。当没有DDoS攻击时,流量不经过抗拒绝攻击系统进入网络设备。当发现DDoS攻击,流量牵引进入抗拒绝攻击系统进行流量过滤。
抗拒绝攻击系统有配套产品——流量分析器。流量分析器主要针对网络层、应用层流量进行分析,发现DDoS攻击流量。与抗拒绝服务系统形成组合方案并旁路部署在网络中。当DDoS攻击流量出现,流量分析器除了进行分析流量也同时把流量自动牵引至抗拒绝服务系统进行流量过滤。
抗拒绝服务系统支持扩展集群方式,针对流量不断扩展的同时,与老旧设备形成集群扩展部署方式,旧设备与新设备形成一个整体的防御体系。
抗拒绝攻击系统支持多维度的数据分析功能,提供基于攻击主机、攻击类型、流量分析、性能分析等多种数据分析。并为多种数据塑造成线形、饼型等分析方式。
2.3 部署方式
2.3.1 单机串联部署
抗拒绝服务系统接入机房核心交换机前端防护,核心交换机下所有主机进入防护区,连接方式:将ISP(运营商)分配的光纤接入到抗拒绝服务系统设备的入口,再将抗拒绝服务系统的设备出口接到下层核心交换机,被保护主机可置于核心交换机下。
双机热备模式采用了两种工作模式,主-主模式和主-从模式,两种模式详细介绍如下。
主-主模式:工作模式即让两台抗拒绝服务系统产品同时工作,当任意服务器发生故障,如接口及连线故障、意外宕机、关键进程失败等情况,另外一台抗拒绝服务系统能够平滑的接替该抗拒绝服务系统的工作,并保持连接,实现负载均衡。
主-從模式:正常情况下主抗拒绝服务系统处于工作状态,另一个抗拒绝服务系统处于备份状态,称为从抗拒绝服务系统。当主抗拒绝服务系统发生意外宕机、网络链路发生故障、硬件故障等情况时,从抗拒绝服务系统自动进行切换工作状态,从抗拒绝服务系统代替主抗拒绝服务系统正常工作,从而保证了网络的正常使用。
集群型抗拒绝服务系统依靠多台抗拒绝服务产品实现防护带宽及防护能力的增加,目前可支持多台抗拒绝服务系统形成集群,抵御大的攻击流量。首先在交换机的相应端口设置端口聚合,或者直接设置路由器完成端口聚合,分别接入抗拒绝服务系统,每个抗拒绝服务系统接入一路数据。
Web应用防火墙系统属于串联部署产品,产品部署在网站服务器的前端。对外来访问网站的流量进行过滤。
2.3.2 拓扑图
Web应用防火墙是专注于网站及Web应用系统的应用层网关类防护产品,产品致力于解决应用层深度防御的问题,有效地缓解网站及Web应用系统面临如0WASP TOP10中定义的Web安全威胁并可以急速地应对恶意攻击者对Web业务的攻击行为。如图1
2.4 功能特点
Web应用防火墙的实时流量态势感知功能,根据流量提供分析攻击源、源地域、攻击类型、攻击趋势、目标服务器和流量趋势等实时态势分析展示功能。并提供攻击源与被攻击源的态势攻击展示效果。
所有态势展示效果来源于在线流量的实时分析展现效果,让客户通过实时大屏幕最直观的、最便捷的了解网站安全防护情况。
对于网站安全的大数据来说,最有价值的主要是入站数据的分析情况,威胁情报中的入站数据有僵尸网络、网络攻击、扫描器、钓鱼网站等网站安全等相关安全情报。威胁情报中心与Web应用防火墙实现数据共享后,可以根据情报来阻断访问网站的攻击行为。大大提高了网站的安全性,降低了网站的安全风险。
网站安全问题来势汹汹,每次攻击事件发生的都很突然,让大家防不胜防。针对突发事件,Web应用防火墙响应时代号召,推出一键管控功能,不用按照APP或第三方插件,通过浏览器就可以登录设备,管理防护的网站的上线和下线功能。方便客户在攻击时第一时间下线网站的应急措施。
3. 结束语
此网络安全防护系统安全、高效、经济实用,为防止黑客传统攻击以及新兴的SQL注入和跨站脚本等攻击手段。对防火墙进行升级,提供完善的抗拒绝服务DDoS,防护各类带宽及资源耗尽型拒绝服务攻击。尤其是针对HTTP Get Flood以及CC攻击,智能关联分析技术能够有效识别并提供应用层细粒度的防护,对于细粒度应用层的DDoS攻击防护进行实时阻断,防止网络出现瘫痪。从而保证监播网络的安全。
参考文献:
[1]包力伟.基于大数据的互联网视听节目监管系统建设[J].广播与电视技术,2020,47(09):117-122.
[2]李峰.互联网舆情音视听节目监测技术研究[J].数字通信世界,2020(08):89-90.
[3]何丽媛.互联网视听节目监管系统的分析与研究[D].内蒙古大学,2018.