支撑联网基础设施与保护用户和服务的安全常是互补的任务。将路由和安全基础设施与具有策略意识的把持机制联合在一起,可帮助服务供给商设置利润丰富的服务,同时保护网络安全。关于实现上述目标的战略和建议,请参见Juniper 网络公司面向供给商网络安全的“超人法则”。
对于金融服务、电子商务、交通运输和能源等行业的公司来说,保证网络全天候的正常运行变得越来越重要。大多数企业都与服务供给商签订了服务程度协议,让服务供给商为亏损买单。随着基于botnet的散布式拒绝服务(DDoS)攻击等安全要挟手段日益高超、次数日益频繁,迫使服务供给商必须预防、监督并最终牵制这些攻击对客户及自己的基础设施的影响。
说到保护网络基础设施安全,服务供给商如果能够借鉴“超人法则”中供给的战术,定将受益匪浅。具体说:
◆尽量暗藏自己
◆如果不能暗藏自己,则力求别人无法接触自己
◆如果不能禁止别人接触自己,则尽量保持别人无法参透自己
◆始终警惕表象上的好人和坏人
如想实行这些战术,服务供给商的基础设施设备必须能够以线速过滤数万个实体传输的数据包,并能够在攻击期间通过机动的链接和分配技巧动态增加和传播这些过滤器。供给商还需要路由器的把持面板和数据面板同时供给流量整形功效,包含对流量进行限速以及将流量放置到优先级队列中。最后,操作人员需要安全套件来实现网络策略层的主动化流程,以帮助动态牵制要挟。专业化的服务厂商和路由软件都能为服务供给商供给具备这些功效的工具。
尽量暗藏自己
在服务供给商的网络中,路由器和网络是操作人员供给安全保护所需的基础IP基础设施。除极少数系统因法律原因无法向路由器发送流量外,几乎所有系统都将流量发送到路由器中。网络安全经理可通过数据包过滤器只容许合法用户向路由器的把持面板发送流量,从而将路由器暗藏起来。
大多数的过滤工作都是在入口和出口处完成的,但是,为了尽量靠近源头阻断攻击,服务供给商有时必须在所有核心路由器、汇聚路由器和客户端设备的入口处端到端地实行过滤器。这些路由器必须能够支撑数据包过滤器,同时以线速处理流量,以便为服务供给商开展工作供给足够的数据包转发机动性。
网络经理必须在这些过滤器上穿孔,以便容许有效流量进入路由器。网络管理站、直接联网的主机、同一个子网上的服务器、内部路由器以及用作外部边界网关协议 (EBGP) 对等体的外部路由器,都是需要接入网络路由器的合法设备。
如果不能暗藏自己,则力求别人无法接触自己
当然,基础设施也存在大批的合法用户。例如,多协议标签交换(MPLS) 客户边沿(CE)路由器必须与供给商边沿(PE)路由器交谈。同样,您必须将直接联网的设备之间传输的网间把持报文协议(ICMP)流量传输到网络中任何路由器的把持面板中。如果无法通过过滤器实行拒绝接入策略,网络经理可应用流量整形和限速等机制来牵制攻击的影响力,以防攻击利用有效的路由器间通信技巧。
入站ICMP流量增加速度异常是DoS攻击来临的第一个信号。为了牵制攻击的影响力,操作人员必须对ICMP流量实行限速,迫使路由器丢弃超限流量。这种做法可大幅度减少穿过网络的恶意ICMP流量。限速意味着限制存在要挟的合法用户应用网络或完整禁止来自存在安全要挟的网络的用户访问某些网站,直到攻击结束。然而,限速最重要的目标是保护网络的其他部分。
限速并不是网络经理用于保护网络不被接触的唯一工具。状态过滤器可阻断通过IP地址欺骗或端口地址拦阻发动的TCP SYN泛滥攻击和TCP zombies 攻击,并保护BGP会话(和网络)不受被沾染主机的影响,从而使网络免遭恶意流量的攻击。此外,通过单播逆向路径转发(uRPF)等技巧对源地址进行验证也是遏制欺骗攻击的有效手段。
如果不能禁止别人接触自己,则尽量保持别人无法参透自己
相关阅读