［任敏 王彬］

1 背景

互联网专线信安系统作为互联网信安系统的重要组成部分，需要对互联网专线（含对外提供服务专线和普通专线）进行接入监控，实现违法网站过滤封堵、网络安全与数据安全风险探测，活跃资源信息统计及上报等功能。

某电信企业在运营互联网专线信安系统的过程中，发现随着专线规模的不断增加，需处理的日志流量数据量不断增大，加上专线本身分散在全省各个子网中，要想汇总采集、处理，难度极大。

2 研究现状

本次研究目标为用最小成本、最优方案，实现某电信企业全省互联网专线纳入专线信安系统监控。

待监控的专线分为两部分：一部分是对外提供服务（例如带网站）的互联网专线（已按地市接入SR），另一部分为普通互联网专线（即为不对外提供服务的互联网专线，分散在全省300～500 余台BRAS 上）。

经调研，普通互联网专线数量远超对外提供服务的互联网专线，如果需要全量专线流量接入做相关安全监测分析，则需要对全省县级BRAS 上承载的普通上网专线进行一对一接入，涉及全网改造，从工程造价、进度、工期来说，都是一个复杂的工程。

由于对外提供服务的互联网专线已经汇聚至专线SR路由器上，在SR 设备上部署汇聚分流设备并将流量镜像给EU 设备，即可实现对外提供业务的互联网专线的流量监控。但普通互联网专线接在县级网元-区县BRAS 设备，需采用其他数据采集方式，业界主要包括以下4 种。

（1）省级DPI 分光（方式1）：通过选取在省网方向覆盖全省DPI 分光镜像方式，得到专线侧流量，同时新增信安EU 设备、网安EU 设备和数安EU 设备，达到全量互联网专线监控。该方式的优点仅在省级网元-省公司DPI 侧进行设备新增改造，不涉及地市建设内容。缺点是需要新增全量DPI 覆盖，整体投资比较大，且覆盖效果不理想。

（2）地市CR 分光（方式2）：该方式在地市核心CR 路由器至BRAS/CR 之间新增分光器，一份流量送至到原有地市核心CR 设备，另外一份流量送至汇聚分流设备，汇聚分流设备将流量送至EU 设备，以此获取专线全流量。该方式优势是监控范围较全面，不涉及专线线路迁改，劣势是对组网结构改动较大，新增大量分光设备，造价较高，且需要进行多次网络割接。

（3）区县BRAS 旁挂EU 设备（方式3）：该方式直接在县级网元-各区县BRAS 设备侧新增专线EU 设备、网安EU 设备和数安EU 设备，该方案可在县级网元实现全量互联网专线监控，同时可以采集监控到地市内区县间互访流量。优点是可以全量采集专线侧流量，缺点是整体投资极大，同时还需要新增区县到各地市传输链路，整体实施难度极大、周期长、设备分布散不方便后期维护。

可以看出，方式1 的主要问题是“只能做到部分流量采集，造价较高”，方式2 的主要问题是“组网结构和割接改造大，造价较高”，方式3 的主要问题是“造价极高，传输改造和实施难度极大，维护非常不便”。

（4）地市SR 旁挂EU 设备（方式4）：为解决上述问题，小组成员不断选取了多种数据采集技术，进行方案论证和比较，最终选择了“汇聚分流旁边EU”的方式（方式4），通过利旧现网SR 设备和汇聚分流设备（已经接入对外提供服务的专线），同时将各区县BRAS 设备中的不对外提供服务的互联网专线流量通过VPN/传输链路接入汇聚分流设备，从而达到全量专线数据采集的目标。

3 技术方案

3.1 互联网专线信安系统现状

3.1.1 互联网专线CU 节点

专线CU 节点收到上级管局平台指令后，将指令信息转发给专线CU 接口服务器，CU 接口服务器下发给各地市专线EU 设备，并接收返回ACK 结果；同时各地市专线EU 将执行结果统一上报给CU 接口服务器，CU 接口服务器转发EU 上报的文件给专线CU 日志上报服务器。

3.1.2 互联网专线EU 节点

互联网专线EU 节点主要功能如下。

（1）保存CU 控制平台下发的违法网站、免过滤网站列表，基于IP、端口、域名、URL、关键词等条件的违法信息规则库。

（2）接收CU 控制平台下发的监测/过滤指令，并依据监测指令进行流量监测，依据过滤指令进行过滤封堵，生成将监测/过滤日志并上报至控制系统。

（3）可以对指定类型报文数据进行内容还原，并依据关键词监测/过滤指令进行监测并生成监测/过滤日志。

（4）将命中关键词监测/过滤指令转换为基于源/目的IP、源/目的端口、传输层协议（TCP/UDP）、域名URL 等监测/过滤指令。

（5）对活跃资源信息进行统计并将结果定时上报至CU 控制平台。

3.2 多种数据采集监控方案研究对比

在项目建设过程中，项目小组成员发现能否高效、全面的采集互联网专线流量，是决定互联网专线EU 系统运行效果的关键因素。

因此，项目小组成员参考现网经验，对4 种流量采集场景方式及其运行效果进行了研究对比。

3.2.1 省级DPI 分光（方式1）

3.2.1.1 实现原理

如图1 所示，目前多数电信省份关于互联网专线路由方式为：互联网专线从县级网元（BRAS 设备）接入市级网元（CR 设备），然后通过CMNET 城域网传输上传至省级网元（CMNET 省网、CMNET 骨干网、IDC）。

图1 新建省级DPI 方式组网图

选取在省网方向增加DPI 设备，全量覆盖全省DPI，通过DPI 分光方式采集专线侧流量，同时新增信安EU 设备、网安EU 设备和数安EU 设备，达到全量互联网专线监控，实现流量采集管理、信息安全管理、数据安全管理、网络安全管理等功能。

3.2.1.2 运行效果

实验证明，该方案优势是能够充分利用现有设备并实现集中化部署，仅在省级网元-省公司侧进行设备新增改造，不涉及地市建设内容。

劣势是目前地市CR 到CMNET 骨干网需要新增全量DPI 覆盖，投资预计1500+万，而且地市内区县互访流量无法明确监控采集。整体投资比较大，覆盖效果不理想。

3.2.2 地市CR 分光（方式2）

3.2.2.1 实现原理

考虑到省网DPI 采集存在造价高和区县侧采集范围不全等问题，项目小组成员调整了方案，如图2 所示，采集位置设置在市级网元-地市CR 核心路由器侧。

图2 地市CR 分光方式组网图

该方式在地市核心CR 路由器至BRAS/CR 之间新增分光器，一份流量送至到原有地市核心CR 设备，另外一份流量送至汇聚分流设备，专线EU、网安设备和数安设备即可通过汇聚分流设备获取全量互联网专线流量，实现数据安全、网络安全、信息安全的各类功能。

3.2.2.2 运行效果

根据现网实际经验测算，地市核心CR 设备总链路数为2 000～3 000 条，按照1:1 分光配置，故所需分光器约为2 000～3 000 套。按照目前设备价格，单台SR 设备造价约12 万，单套分光器造价约100 元，同时还需要新增区县到地市侧传输链路，共计投资约为1 200～1 500万。

该方式优势是监控范围较全面，不涉及专线线路迁改。劣势是对组网结构改动较大，造价较高，涉及到两点。

（1）新增大量分光设备，且需要进行多次网络割接。

（2）后续链路扩容均涉及分光器新增及网络割接，实施过程繁琐。

3.2.3 区县BRAS 旁挂EU（方式3）

3.2.3.1 实现原理

如图3 所示，该方式直接在县级网元--各区县BRAS设备侧新增专线EU 设备、网络安全设备和数据安全设备，该方案可在县级网元实现全量互联网专线监控，同时可以采集到地市内区县间互访流量。

图3 区县BRAS 旁挂EU 组网图

3.2.3.2 运行效果

根据相关运营经验，由于中小型省份BRAS 设备较多，共有300～500 台，根据现网BRAS 实际承载专线带宽约8～10G，预计需要新增300～500 套信安EU、网安EU 和数安EU 设备，预计设备投资约8 000 万～1 亿左右。同时还需要新增区县到各地市传输链路，整体实施难度极大、周期长、设备分布散不方便后期维护。

3.2.4 地市SR 旁挂EU（方式4）

3.2.4.1 实现原理

为规避方式1、2、3 中存在的造价高、采集范围不全、现网传输改造大等问题，项目小组技术人员经过调研学习行业先进经验，结合某电信企业专线信安系统现状，给出了“地市SR 旁挂EU 设备”方式的解决方案，如图4 所示，主要思路如下。

图4 地市SR 旁挂EU 组网图

将所有专线统一迁改至各地市SR 设备统一管理、监控。因SR 同机房均部署汇聚分流设备（配置端口选用盒式汇聚设备，48*10GE+4*100GE 端口），汇聚分流设备侧已经纳入了对外提供服务的互联网专线。本试验方案将各区县BRAS 设备中的不对外提供服务的互联网专线流量通过VPN/传输链路接入汇聚分流设备，同时在汇聚分流侧新增专线EU、网安设备和数安设备。

该试验方案中，通过利旧现网SR 设备和汇聚分流设备（已经接入对外提供服务的专线），将各区县BRAS 设备中不对外提供服务的互联网专线流量接入汇聚分流设备，从而达到全量专线数据采集。

大部分地市级的汇聚分流设备剩余端口可满足各区县BRAS 设备互联网专线流量接入需求（按每个区县2 台BRAS，每台BRAS 预留1 个10GE 端口）。若后期业务需求量大，只需要把汇聚分流设备侧扩容端口即可满足，投资很小。

3.2.4.2 运行效果

经方案对比，本方式充分利用现网地市级网元设备资源，对BRAS 设备、SR 设备和地市核心CR 设备均不要进行改造，有效规避了造价高、采集范围不全、现网传输改造大的问题。

综上所述，按本方式改造后，所有互联网专线流量均接入到汇聚分流设备。如后期流量增加需要扩容，仅需要扩容汇聚分流设备端口即可。随着后期业务需求流量增加，可考虑在后期方案中将盒式汇聚分流设备替换为框式汇聚分流设备。

3.2.5 对比及结论

4 种采集监控方案的对比情况分析如表1所示。

表1 从方案、造价、周期等维度对四种方案进行了对比论证，其中方式1～3 不同程度的存在造价高、周期长、效果差等问题。

表1 四种采集监控方案对比表

方式4 的主要思路是充分利用现网地市级网元，对BRAS 设备、SR 设备和地市核心CR 设备均不要进行改造，有效的规避了造价高、采集范围不全、现网传输改造大的问题。从而保证互联网专线流量日志被高效、完整的提取和传输，最终实现专线违法信息被及时分析、研判和处置。因此，为本研究推荐的方案。

4 结束语

本方案设计过程中，专线EU 设备需要对全省所有地市的互联网专线进行接入监控，并对违法网站进行过滤封堵。互联网专线信安系统的运行效果很大程序上取决于专线的日志流量数据能否被高效、全面的采集和处理。

本文通过对比省级DPI 分光、地市CR 分光、区县BRAS 旁挂EU、地市SR 旁挂EU 方式等4 种数据采集方案的原理和优劣势，得出了“汇聚分流旁边EU 设备”方式是最优的数据采集和处理方式。

该研究结论为互联网专线信安系统的高效运行和可持续发展打下了重要基础，同时为同类数据的分析应用提供了组网架构和数据处理的借鉴方案。