内蒙古移动互联网DDoS安全防护手段的设计与实施

摘要

随着互联网技术的发展，包括互联网数据中心、数据专线接入、城域网宽带服务在内的数据通信业务在全部通信业务中所占比例在逐渐提高，其服务质量的好坏极大程度上影响着基础电信运营企业的整体形象和用户感知。内蒙古移动管理运营的互联网网络(CMNet)承载着包括GPRS、TD、WLAN、自有数据增值业务、IDC托管业务、集团/普通客户互联网接入业务、网上营业厅等一系列重要业务。由于网络的开放性，DDoS攻击、黑客入侵等外部攻击威胁日渐严重，如果CMNet网络出口无安全防护措施，一旦有DDoS攻击事件发生时，网络将不能对攻击展开快速响应和精准防御，网络设备或业务系统因受到攻击事件的影响而无法正常运行，面临瘫痪风险。为了保护CMNet网络安全，实现对其上DDoS攻击事件的防御和对大流量DDoS攻击流量的准确清洗，降低或消除攻击流对网络设备或业务系统的影响和压力，保护网络设备和业务系统正常运行成为本文选题的依据。
　　本文旨在依据内蒙古移动CMNet互联网安全现状，遴选合适的专业防护产品，从攻击来源、流量分析、流量清洗、统一管理、防御过程、系统安全等方面探讨设计出最佳的内蒙古移动CMNet互联网DDoS安全防护手段建设方案。

目录

声明

摘要

第一章 绪论

1．1 引言

1．2 课题背景

1．3 课题任务

1．4 论文结构

第二章 DDoS攻防技术简述

2．1 DDoS攻击

2．1．1 攻击原理

2．1．2 攻击表现形式及典型现象

2．1．3 主流攻击类型

2．2 DDoS防护

第三章 互联网集中出口安全防护相关体系要求分析

3．1 中国移动支撑系统与互联网集中出口安全防护体系技术要求

3．1．1 安全威胁分析

3．1．2 安全需求分析

3．1．3 抗拒绝服务攻防体系

3．2 内蒙古移动CMNet现状及需求分析

3．2．1 内蒙古移动互联网安全现状分析

3．2．2 项目建设目标

3．2．3 建设原则

第四章 互联网DDoS安全防护系统总体设计

4．1 攻击来源分析

4．2 清洗能力设计

4．3 系统功能设计

4．4 系统架构设计

4．4．1 防御系统模型分析

4．4．2 内蒙移动互联网DDoS安全防护系统架构设计

第五章 互联网DDoS安全防护系统详细设计方案

5．1 流量分析中心设计方案

5．1．1 流量检测原理

5．1．2 流量分析中心流程设计

5．1．3 流量分析中心功能要求

5．2 流量清洗中心设计方案

5．2．1 流量清洗原理

5．2．2 流量清洗中心流程设计

5．2．3 流量清洗中心功能要求

5．3 统—管理中心设计方案

5．3．1 统一管理中心功能要求

5．3．2 状态监控

5．3．3 数据报表

5．3．4 抓包取证

5．3．5 自服务管理

5．4 防御过程及路由设计

5．4．1 攻击发现

5．4．2 流量牵引

5．4．3 牵引协议选择

5．4．4 BGP部署方式

5．4．5 牵引触发方式

5．4．6 流量回注

5．5 系统安全设计

5．6 系统测试

5．6．1 系统性能测试

5．6．2 防护效果测试

第六章 总结与展望

6．1 本文工作总结

6．2 研究工作展望

致谢

参考文献