IPS产品白皮书
Leadsec-IPS V2.1
内外兼修
?“对外”净化流量。支持入侵防护和访问控制功能,有效拦截外网攻击。
?“对内”优化流量。支持绿色上网和带宽管理功能,合理管控内网应用。
检测精准
Smart Filter行为跟踪分析技术,跟踪应用层行为特征,应对端口变形、隧道加密等各种
规避手段,从而准确识别各种应用。
可靠性高
内置软/硬件Bypass,支持HA、集群部署,多重机制确保网络运行的稳定可靠,降低断网
几率。
部署灵活
支持透明、交换、路由、混合、HA集群部署等多种部署方式,适应各种复杂的网络环境。
协同防护
联想网御IPS与内网安全管理产品的协同防护减轻了IPS的网络负担,可最终确定威胁点进
行阻断。
版权信息
?版权所有2001-2009,联想网御科技(北京)有限公司
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属联想网御科技(北京)有限公司所有,受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可,不得以任何方式复制或引用本文档的任何片段。
商标信息
联想网御,Legend,Lenovo,leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标,受商标法和有关国际公约的保护。
第三方信息
本文档中所涉及到的产品名称和商标,属于各自公司或组织所有。
联想网御科技(北京)有限公司
Lenovo Security Technologies Inc.
北京市海淀区中关村南大街6号中电信息大厦8层100086
8/F Zhongdian Information Tower No.6 Zhongguancun South Street,
Haidian District,Beijing
电话(TEL):010-********
传真(FAX):010-********
技术热线(Customer Hotline):400-810-7766
电子信箱(E-mail):infosec@https://www.doczj.com/doc/1713381571.html,
公司网站:https://www.doczj.com/doc/1713381571.html,
目录
1引言 (4)
2产品简介 (5)
3产品特色 (6)
3.1内外兼修 (6)
3.1.1访问控制功能 (6)
3.1.2入侵防护功能 (6)
3.1.3绿色上网功能 (9)
3.1.4带宽管理功能 (10)
3.2检测精准 (11)
3.3可靠性高 (11)
3.4部署灵活 (11)
3.5协同防护 (12)
4基本功能 (12)
5典型部署 (14)
5.1外网防护解决方案 (14)
5.2服务器群保护解决方案 (15)
5.3上网行为管理解决方案 (16)
5.4内外兼顾解决方案 (17)
1 引言
近几年来,随着网络与信息化建设的飞速发展,信息安全问题也越来越广泛,导致用户对安全设备的需求也越来越高。尽管防火墙、入侵检测等传统安全产品在不断地完善和发展,但是道高一尺魔高一丈,黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测,在攻击和入侵的形式上也与应用结合的越来越紧密。这些都使传统的安全设备在保护网络安全上越来越难。
●混合攻击带来新挑战
随着红色代码、Nimda等有里程碑式的病毒出现,改写了病毒形态和病毒的历史,病毒已经不再只具有破坏力。新的病毒已经成为黑客的攻击和入侵手段,借助病毒的传播方式,黑客们可以轻易地窃取网络中的敏感数据和信息。黑客程序、木马、病毒已经有机地结合起来,使之成为黑客攻击的新工具。同时,木马、病毒等恶意程序也经常通过邮件、恶意的Web网页(或者被篡改的Web网页)、文件下载等传播途径使得病毒的危害范围和扩散速度加大。这些都给传统的安全设备带来新的挑战。
●防火墙的局限性
防火墙是阻止黑客攻击的一种有效手段,但随着攻击技术的发展,这种单一的防护手段已不能确保网络的安全,它存在以下的弱点和不足:
1. 防火墙无法阻止内部人员所做的攻击
防火墙保护的是网络边界安全,对在网络内部所发生的攻击行为无能为力,而据调查,网络攻击事件有60%以上是由内部人员所为。
2. 防火墙对信息流的控制缺乏灵活性
防火墙是依据管理员定义的过滤规则对进出网络的信息流进行过滤和控制的。如果规则定义过于严格,则限制了网络的互连互通;如果规则定义过于宽松,则又带来了安全隐患。防火墙自身无法根据情况的变化进行自我调整。
3. 在攻击发生后,利用防火墙保存的信息难以调查和取证
在攻击发生后,能够进行调查和取证,将罪犯绳之以法,是威慑网络罪犯、确保网络秩序的重要手段。防火墙由于自身的功能所限,难以识别复杂的网络攻击并保存相关的信息。
●入侵检测系统的局限性
为了确保计算机网络安全,必须建立一整套的安全防护体系,进行多层次、多手段的检测和防护。入侵检测系统就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警。但专业的入侵检测系统都部署于局域网内的交换机上,进行旁路监听。虽然可以检测网络中的攻击,但是它不能对攻击行为进行有效的防御和阻断,另外大量的误报也使得管理员难以从海量日志中找出有价值的信息。
需要说明的是,虽然目前很多防火墙都集成有入侵检测模块,但由于技术和性能上的限制,它们通常只能检测少数几种简单的攻击,无法与专业的入侵检测系统相比。
什么是入侵防护系统
入侵防护系统(Intrusion Prevention System ,以下简称“IPS ”)是继“防火墙”、“信息加
密”等传统安全保护方法之后的新一代安全保障系统,监视计算机系统或网络中发生的事件,并进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。
专业IPS 所具有的实时性、动态检测和主动防御等特点,弥补了防火墙等静态防御工具的
不足。
2 产品简介
自2001年联想网御开始研发带入侵检测系统模块的防火墙以来,后续推出专业入侵检测系
统。经过不断地努力,在2007年第一季度实现IPS 产品成功上市,并在12月推出了“第三代”IPS ,从而完满地解决了以往IPS 只防御外部,无法约束上网行为的安全难题。在众多国内乃至全球安全厂商中,联想网御已经成为IPS 产品的技术领跑者。“第一代”IPS 在X86硬件架构的入侵检测系统(IDS )基础上增加了主动拦截的功能;“第二代”IPS 加入了ASIC 硬件大大提高了IPS 的检测性能,功能重点为防御来自外部的攻击;而“第三代”IPS 是在“第二代”的基础上丰富完善了上网行为管理功能。
联想网御IPS 是基于联想网御自主研发的VSP 通用安全平台,将深度内容检测、安全防护、
上网行为管理等技术完美地结合在一起。配合实时更新的入侵攻击特征库,可检测防护2000种以上的网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁;并具有丰富的上网行为管理功能,可对P2P 、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。从而,很好地弥补了防火墙、入侵检测等产品的不足,提供了动态、主动、深度的安全防护。
网网网网网网P2P 网网网网网网网网网网网网网网网网网网CC 网网网
SQL 网网网网网网网网...
网网网网IPS
网网网网网
Web 网网网
图1 联想网御IPS 典型应用
3 产品特色
3.1内外兼修
联想网御IPS作为业内首款“内外兼修”的入侵防护系统,通过访问控制、入侵防护功能,可以有效拦截外网攻击;绿色上网、带宽管理等功能,可以合理管控内网应用。
表格 1 联想网御IPS主要功能表
3.1.1访问控制功能
联想网御IPS支持基于网络接口、IP地址、服务、时间等参数自定义访问控制规则,以保证网络资源不被非法使用和非法访问。
3.1.2入侵防护功能
3.1.2.1阻止蠕虫扩散
蠕虫(worm)与一般的档案型病毒(virus)不同之处,在于蠕虫具备快速自我复制扩散的功能。而蠕虫之所以能够快速将自我扩散到其它系统,是因为蠕虫具备自动利用系统漏洞而入侵的能力。每当计算机的系统漏洞被公布,在短时间内便会有黑客组织在网络上发布针对新漏洞的攻击程序,接着便会有针对该漏洞的攻击程序在网络上流传,此时蠕虫作者便将这些已发布的攻击程序纳入其蠕虫程序的主体中,然后再散布新的蠕虫对外大量扩散。从漏洞公布到蠕虫产生所需的时间已大幅缩减,这让用户无法有充裕的时间测试系统厂商所发布的补丁程序。
蠕虫由于是通过网络自我扩散,因此又称为网络型病毒。蠕虫扩散基本上分为四个阶段。如图2 蠕虫扩散的四个基本阶段图所示。
图2 蠕虫扩散的四个基本阶段图
联想网御IPS
实现了阻止已知和未知蠕虫的扩散。
1. 阻止已知蠕虫扩散
针对已知蠕虫通过扫描存在漏洞的主机来进行扩散,联想网御IPS 内建完善的对Zotob
Worm 、
MS SQL Slammer Worm 等蠕虫的控制攻击特征识别码,可以检测蠕虫企图扫描
漏洞主机的行为,并进而拦阻丢弃其恶意数据包。
2. 阻止未知蠕虫扩散
针对未知蠕虫通过扫描存在漏洞的主机来进行扩散,联想网御在及时跟踪着各种最新
发布的漏洞,为相应漏洞及时构建攻击识别码,当发现蠕虫尝试利用这些漏洞来入侵时会
立即拦阻丢弃尝试入侵的数据包,阻止蠕虫扩散。
3.1.2.2 阻止漏洞攻击
在系统程序开发的过程中,常因为程序开发者疏于程序安全性,而导致开发出有系统漏洞
的操作系统或应用程序。这类系统的漏洞经常是发生在程序没有对外界输入的参数长度进行检查,而发生所谓的缓冲区溢出攻击(buffer overflow attack)。当缓冲溢出区攻击发生时,轻则导致系统没有响应、死机,成功的缓冲区溢出攻击还可以让黑客获得整个系统控制权!
针对黑客入侵,联想网御IPS 采用USE 统一安全引擎,具备基于协议异常、会话状态识别
和七层应用行为等攻击识别功能。并且可针对Windows 、Unix 、Linux 等操作系统漏洞的攻击进行阻止,漏洞类型包括了Stack and Heap Buffer overflow 、Format string error 、Memory access error 、Memory corruption 、 Access control and Design weakness 等等。
联想网御公司拥有专业信息安全服务团队每日负责阅读各类网络安全新闻、搜集新发布的
攻击程序,并仿真分析这些攻击程序。通过分析攻击程序,发掘攻击程序的特定行为,寻找攻击的特征,并将其攻击特征新增到联想网御IPS 的抗攻击特征库中。
在一般情形之下,安全服务团队定期会每星期发布一版新的特征样本,供用户自动下载更
新。当有重大如微软系列、Linux 、Apache 等攻击程序产生时,联想网御安全服务团队有能力于截获攻击程序的24小时之内制作并发布对应的攻击特征。
3.1.2.3 阻止木马传播
联想网御IPS 在阻止木马传播上有以下特点:
1. 可检测基于ActiveX、XML、VML、MDAC等的漏洞,可阻止访问者在浏览网站时被
诱使植入木马的攻击;
2. 可检测利用Dropper技术隐藏木马的Microsoft Office文件,可阻止下载并启动这些文
档;
3. 如Rootkit的木马,它们被黑客植入系统后也会跟外界通讯或进行扫描等,联想网御
IPS可以侦测这些特殊的行为,如TFN、Trin00、Stacheldraht、Phatbot、Netbus、Evilbot 等跟外界通讯行为,以及TCP、UDP scan 或ICMP probing等行为;
4. 具有丰富的漏洞特征库可以实现对木马的精准拦截。
3.1.2.4阻止间谍软件
大部分间谍软件由于是通过广告、浏览器漏洞、自订功能如ActiveX插件来诱使不够小心谨慎的用户安装的。
联想网御IPS内置如Gator、180solutions、Internet Optimizer Spyware等相关的特征,通过检测下载可执行程序、ActiveX、Java applet等可疑的活动,实现阻止间谍软件通过广告、浏览器漏洞、自定义ActiveX插件等渠道实现安装。
3.1.2.5抗DoS/DDoS
传统的网络安全设备仅具有单纯地设定单位时间内访问特定服务次数,来阻断未知类型的DoS/DDoS攻击。这种机制虽然可以将超过阈值的攻击数据包丢弃,但同时也会将超过阈值的合法数据包丢弃,造成正常用户不能使用网络服务。联想网御IPS对于需要重点保护的Web、DNS等服务可选择采取传统的处理机制。
另外,联想网御IPS提供独特的DoS/DDoS检测及预防机制,可以辨别合法数据包以及DoS/DDoS攻击数据包,支持双向阻断TCP/UDP/IGMP/ICMP/IP Flooding、UDP/ICMP Smurfing等类型的DoS/DDoS攻击。
3.1.2.6异常流量管理
当黑客发动攻击时,常会伴之网络异常的情形发生。网络异常的情形可分为以下三种。
1. 通信协议异常
例如由外界网络流入大量过长的IP数据包、大量的IP碎片数据包、异常的TCP通信协议连机状态、被截断的IP数据包、无法重组的IP数据包等。
2. IP/Port的扫描异常
通过IP扫描,黑客得以窥知目的端内网络结构和情形;通过Port扫描,黑客可以得知目标主机已开启的服务端口。
3. 网络流量异常
例如突然产生大量的TCP SYN、TCP、UDP、ICMP、IGMP等数据包,占据正常网
络使用带宽。
当上述攻击数据包发起时,经过改造的恶意数据包可能会造成企业内部网络系统死机无法对外提供正常的服务;IP/Port扫描的行为将让企业内部的网络架构轻易被黑客得知;
大量的异常流量数据包也可能造成企业核心路由器、交换机等因承载过重而死机。2003年所发生的SQL Slammer攻击就是因为送出大量UDP数据包而造成企业网络瘫痪。
联想网御高端IPS内建了50多组异常检测模块,可以检测各项偏离预期的异常网络行为:
1. 通信协议异常检测(Protocol Anomaly)
联想网御依据RFC标准规范并参考业界的各项通信协议,制作了一套能够检测通信协议异常的检测模块,内建于联想网御IPS核心程序之中,可以阻止经黑客改造且不符合标准通信协议规范的数据包进入企业内部网络。
2. IP/Port扫描异常检测
在网络攻击发起初期,黑客需要对内部网络送出各类扫描数据包,借以了解欲攻击网络的内部架构以及内部运行主机的IP地址/开启端口号。黑客所常用的扫描技术可以归类为:主机扫描(host scanning)、网络扫描(network scanning)、端口扫描(port scanning)。
联想网御制作了一套能够检测各类IP/Port扫描异常的特征库,可以阻止黑客对内部网络所送出的各类IP/Port扫描异常数据包。
3. 网络流量异常检测
联想网御IPS会将每秒所纪录的数据包,依据不同的来源作统计。先通过数据转换,给予正规化,然后再与标准模式(baseline)作比较。如果实际的网络流量统计结果与标准模式偏离到达某一定的水平,便会产生警报。此作法的优点为,由于网络流量已经正规化,单纯因为流量大而产生误判的情形得以避免;而标准模式的采用也来自学术研究的成果,可以符合大部分的网络环境状况。
联想网御IPS对于异常的网络流量情形,不单只使用计数的方式,还使用专门的统计算法,因此可以准确地检测网络流量的异常情形,并减少误报。
3.1.3绿色上网功能
联想网御IPS不仅具有精准的入侵检测和防护功能,同时还具有丰富的上网行为管理功能。可以根据不同的时间、群组,来对即时聊天软件、P2P软件、非法隧道等下达严格的管理策略。
3.1.3.1URL分类过滤
互联网资源丰富,企业员工的工作已经离不开互联网,但同时网上的诱惑也很多:上班时间泡论坛、写博客,浏览新闻、娱乐、财经、购物网站,甚至访问情色、反动、暴力等不良信息,这些不仅降低了工作效率,而且许多网页藏有病毒、恶意软件,可能给企业带来网络安全隐患。
联想网御IPS内置URL分类库,支持52类、几十万条URL信息,企业可以根据自身安全策略自由选择,阻止员工访问与工作无关的网页,从而提升工作效率,降低安全威胁。
3.1.3.2即时聊天管理
即时聊天(Instant Messenger,以下简称IM)让企业员工可以与外界实时通信。IM虽然为人员的沟通带来的便利,但也为企业带来以下管理问题:
●员工上班通过IM聊天降低工作效率;
●通过IM传输文件,增加泄密管道;
联想网御IPS支持对MSN、QQ、Yahoo Messenger、Google Talk等10多类IM软件进行管控。
3.1.3.3P2P软件管理
P2P技术借助系统间的直接交换,来进行计算机信息和服务的分享,让在线数以万计的个人计算机形成一种类似“局域网”的架构,分享彼此计算机中的运算、内存及文档,共享资源。对企业网络的影响如下:
●消耗正常网络带宽
●病毒散布温床
●机密文件外泄
●下载文档的著作权问题
联想网御IPS对P2P软件的管理能力:
1.可阻挡未知P2P软件
联想网御IPS具备分析P2P底层通信协议的能力,可以阻挡诸如Gnutella、FastTrack、BitTorrent、iMesh等P2P通信协议。一旦这些P2P通信协议被阻挡,任何采用这些P2P通信协议的P2P软件将无法正常使用。因此联想网御IPS具备阻挡未知P2P软件的功能。
2. 可阻挡加密的P2P软件
联想网御IPS内建检测加密P2P的模块,可以阻挡加密P2P软件。
3.1.3.4在线游戏管理
对于采用特定协议端口的在线游戏,联想网御IPS可以采用访问控制功能进行管理。而对于计算机使用者通过Web接口,联想网御IPS支持对QQ游戏、联众世界、浩方对战平台、魔兽世界、泡泡堂、梦幻西游、劲舞团、新浪游戏、搜狐游戏等流行的在线游戏实现阻断管理。
3.1.4带宽管理功能
联想网御IPS采取七层深度数据包分析技术,可以完整地做到应用程序级别的流量管理,具体针对以下两方面的管理:
●可根据不同的应用程序分配不同的带宽,如对P2P 、PPlive、PPStream等流量的管
理。
●可根据不同的VLAN、源/目的IP地址、应用协议端口划分不同的带宽。
3.2检测精准
联想网御IPS采用Smart Filter行为跟踪分析技术,跟踪应用层行为特征,应对端口变形、隧道加密等各种规避手段,从而准确识别各种应用:
●SQL注入、跨站脚本等各种应用层攻击检测;
●P2P、IM、在线游戏等应用软件的检测;
3.3可靠性高
联想网御IPS具有多层次的冗余功能,能提供最高等级的高可用性,并方便用户灵活配置。
1. 高端设备标配可热插拔的冗余双电源
确保任一电源失效时可自动由备用电源供电,不停机即可修复,避免电源硬件故障时设备失去作用。
2. 内置软/硬件BYPASS功能
在设备出现硬件及电源故障时快速、自动切换到直通状态,保障网络可用性。此外不管是因为硬件或是软件的因素,当检测引擎出现死锁状况,内置BYPASS也会自动切换到直通状态,用户无须担心设备的可靠度。内置BYPASS功能可通过远程管理实现启动或关闭管理。
3. 支持HA、集群部署
采用MRP(Multi-Layers Redundant Protocol)多重冗余协议技术,在并发连接数达到数百万时亦可有效地在联想网御IPS设备之间实现同步。相较于一般采用Linux ct_sync 模块或是FreeBSD pfsync模块的产品,联想网御的同步技术仅需要5.8%的数据量,不会因为HA的数据影响侦测引擎的速度。
3.4部署灵活
联想网御IPS支持透明、交换、路由、混合、HA集群部署等多种部署方式,适应各种复杂网络环境的需求。
网网网网网网网网网网网网
交换部署示意图
3.5协同防护
联想网御IPS与内网安全管理产品的协同防护减轻了IPS的网络负担,可最终确定威胁点进行阻断。其次,响应的手段有通知、断网、锁定,可强制、准确的对发生威胁的终端计算机进行修复。联想网御IPS与内网安全管理产品的协同防护是完全的流程管理(无人值守),预策略的制定、执行,减轻了网管人员网络维护的压力,最终对企业的内部网络进行全方位的安全保护。
4 基本功能
表格 2 联想网御IPS基本功能表
5 典型部署
联想网御提供了多款网络IPS,不管是针对外网存取的安全防御,还是内网应用的安全管理,联想网御IPS均提供了全方位的保护。本文件提供了几种解决方案说明协助您了解如何应用联想网御IPS来保护您的网络。
5.1外网防护解决方案
联想网御IPS均内置了USE统一安全引擎,无论是 DoS/DDoS、Flooding attck 、Worm Virus 、Trojan亦或是各种黑客入侵手法,联想网御IPS均可提供有效的防御保护。
在图1 外网防护解决方案的网络拓朴中将IPS部属于防火墙之前,主要目的是防御来自于外网针对防火墙和内网的攻击。防火墙往往是攻击的对象重点,一旦防火墙遭到攻击后,将会有很大的机会造成网络中断。且防火墙仅具有四层封包解析的功能,对于利用七层的黑客攻击手法或是利用合法掩护非法的网络行为便无法有效管控。通过IPS的保护,除了对于来自外网针对内网或防火墙的暴力攻击能够有效阻挡之外,对于所有进出的封包均进行详细的七层分析,黑客利用合法方式进行非法存取的攻击将无所遁形。
网络在线游戏虚拟隧道虚拟隧道
图 1 外网防护解决方案拓扑图
5.2 服务器群保护解决方案
将联想网御IPS 部属于防火墙之前可以保护来阻止来自外网的攻击,但是仍有可能遇到来自于内网的攻击威胁。随着移动式设备如电脑笔记本、PDA 的普及,来自于内网的攻击威胁也
攻击、
...
Power V-IPS
图 2 服务器群保护解决方案拓扑图
某些具有特殊应用目的的服务器无法像正常一般使用的服务器定时更新操作系统或是应用软件补丁,例如FAB 产线专用的控制机台或是金融单位的专用系统,因此很容易便遭受到黑客利用系统漏洞来进行攻击。联想网御IPS提供了漏洞防御的功能,通过实时的策略更新来达到虚拟补丁的效果,让此类型的网络应用安全没有疑虑。
5.3上网行为管理解决方案
企业单位在进行网路安全防护的时候往往只重视来自于外网的安全威胁,却忽略了内网的安全防护。据统计目前企业所面临的安全威胁有 40% 来自于内网,包含了带宽的滥用,无意义的上网行为,机密信息外泄以及恶意软件或虚拟加密通道软件的使用等等。
●带宽的滥用
P2P应用的盛行引发了带宽的危机,因为 P2P的活动会占用大量的带宽,进而影响到
正常应用所需的带宽,导致服务无法正常提供。
●无意义的上网行为
在上班时间使用实时聊天软件进行非公事活动,或是于上班时间使用线上游戏软件,,
这类型的网络活动均会严重影响人员的办公绩效,降低生产效率。
●机密信息外泄
使用实时聊天软件或是 Web Mail 之类的工具可以很方便的进行档案交换。有可能造
成企业重要机密文件的外流,影响企业的竞争力。
●恶意软件或虚拟加密通道软件的使用
黑客通过恶意软件的植入使用加密通道或是其他合法管道窃取企业内部信息,或是内
部员工安装虚拟通道软件开启企业网路後门,成为网路管理的安全死角。
网络在线游戏虚拟隧道
虚拟隧道
图 3 内网行为管理解决方案拓扑图
在错误!未找到引用源。的网络拓扑中将IPS部属于防火墙与内网之间,主要目的是防御来自于内网的攻击,同时可针对于内网对于外网的存取应用进行管理。通过使用联想网御 IPS,可辨识多种类别如 IM / VoIP / P2P / FTP 等已知的网路应用软件,进而根据多种条件如 IP 群组、VLAN ID等范围条件制订各种不同的管理策略。除了开放与禁止的网络行为管理之外还可针对不同的应用予以不同的带宽使用以及传输总量限制,可让企业网路实施弹性管理,也不会因为防止网路攻击而影响到正常的网路访问,让企业的网路带宽投资得到最高的回报。
5.4内外兼顾解决方案
为达到最完整的防护效果,联想网御建议使用双网防护架构,请参考图4 内外兼顾解决方案拓扑图。该方案中IPS不仅防护来自于外网的DoS/DDoS/Flooding/Port Scan 等攻击威胁,同时针对来自于内网的攻击威胁进行防御,对于企业内部员工的上网行为亦可进行管控,对于机密无法辨识以及管理的通信应用行为可进行阻断的动作,而可管理或必须使用的的应用则予以适度的开放。
网络在线游戏虚拟隧道
虚拟隧道图 4 内外兼顾解决方案拓扑图