河北移动联合华为率先完成国内首个智能路由安全解决方案商用部署近日

近日，中国移动河北分公司（以下简称“河北移动”）联合华为在河北省省干核心路由器NetEngine 5000E-20上成功部署了智能路由安全解决方案。该解决方案凭借实时感知域内/跨域节点千万级路由信息的多维智能分析、智能防御和历史路由变化一键回溯等核心能力，实现了路由安全风险精准识别、主动防御，有效提升网络韧性，将助力河北移动重塑安全的智能IP网络边界。
BGP作为业界应用最广的域间路由协议，一直以来都是各大ISP互通路由信息的桥梁。由于BGP协议的设计是基于信任机制的，使得虚假或错误的路由信息也会在网络间传播，从而给互联网带来不安全和不稳定的因素，路由泄露、路由劫持等安全事故频发，导致网络中断、业务中断、客户投诉、经济损失等问题，影响面可达到全球级别。
随着5G和云时代的到来，河北移动网络应用与流量规模持续保持高速发展，对IP承载网的基础设施安全提出了更高的挑战。河北移动IP承载网承载了家宽、集客、IDC、4G/5G等重要业务，亟需提升网络出口的路由安全能力，打造安全边界，保证互联网业务的平稳运营。因此，河北移动在省干出口核心路由器部署了华为智能路由安全方案，转发层面为华为NetEngine 5000E-20核心路由器，控制层面通过标准的BGP监控协议BMP（BGP Monitoring Protocol）动态获取网络路由信息，由华为融合管控析平台iMaster NCE（以下简称“NCE”）进行IGP/BGP路由信息的采集、分析、呈现及历史信息记录。从而提供异常路由识别更全、问题定位更准、安全性更高的解决方案，主动识别并防御异常路由带来的风险，保障网络安全可靠的运行。
华为智能路由安全解决方案，是华为智能IP骨干网络智能运维能力的一个关键支撑，主要具有以下能力：
路由实时采集，多维可视传统方案单纯采集分析IPv4单播路由，无法获得设备上BGP全量路由信息，呈现信息有限。华为智能路由安全解决方案，通过BMP协议机制拓展了BGP路由监控的能力，保证了针对不同BGP PEER路由收发分析的全面性和准确性，结合NCE的智能管控能力，实现路由变化实时采集及可视化呈现，并且具备千万级的路由处理能力，充分满足大型网络的应用场景。
智能路由分析，主动防御实现BMP之前，通常要通过人工查询方式来获得设备的BGP运行状态，效率较低。 NCE可智能、全面的分析路由异常波动、明细路由突现等异常路由，支持按需设置告警类别及阈值，路由告警结合网络拓扑可视化呈现。异常路由定位迅速、准确，极大提升了网络边界的安全性。此外，华为NetEngine 5000E-20核心路由器支持基于ROA（Route Origin Authentication）校验路由前缀与AS号的合法性，在转发层面也具备主动防御路由劫持的能力，从而实现控制层面与转发层面的双重防护。
多维历史回溯，一键查询在省干和城域网络出口，每天路由更新量大，路由变化频繁，而且许多攻击是短暂的，由此引发的业务质量问题都难于回溯和定位。华为智能路由安全解决方案可根据BGP路由属性、路由前缀特征等多维信息组合查询，并且数据实时刷新，可随时查看历史数据，显著提升路由故障定位效率的同时，还可长期监控及回溯。
河北移动网络运维专家王立欣表示：“河北移动致力于通过不断的创新提高产品与业务的品质，网络安全是第一道屏障。本次现网部署，是与华为在智能IP网络领域创新又一成功实践，前期现网实际情况的验证结果表明，本次路由安全方案的部署可全面识别异常路由，主动防御异常路由带来的风险，高效保障网络安全可靠的运行。 ”
【河北移动联合华为率先完成国内首个智能路由安全解决方案商用部署】本次智能路由安全解决方案的商用部署对于IP承载网络的安全具有重大意义，尤其在5G和云计算蓬勃发展的大背景下，能够为各种层出不穷的新业务提供全面智能化的路由安全防护，实现路由安全风险的最小化。未来，双方将通力合作，继续在智能IP网络的安全能力加大创新投入，以智能化为网络安全边界注入新动力，携手打造高效安全的新型ICT基础设施。