如果不想让别人参透自己的网络,网络经理必须实行RFC 3871中面向网络管理的最佳业务实践,即“确保大型ISP IP 网络基础设施运行安全的业务实践”(见http://www.faqs.org/rfcs/rfc3871.html)。首先,网络经理必须改掉将制作商全称或简称用作路由器登录密码的习惯,而应应用一次性密码 。此外,无论对逻辑还是物理网络,通过利用适当类型的服务或过滤机制来实行带外管理也很重要。另一个有效的最佳业务实践是应用MD5等验证机制将恶意流量遏制在把持面板上。
如想构建高效的安全运营团队,服务供给商需要去发掘深入懂得内部网关协议、BGP和入侵检测与防护技巧的高素质人才。接下来,运营商应基于这个团队的网络安全原则来定义、记录并实行安全策略。运营商还应供给热线服务,以便客户和供给商懂得当他们遇到攻击时该与谁接洽。最重要的是,服务供给商应进行一些演练,考核自己对各类攻击的响应才能。
始终警惕表象上的好人和坏人
服务器和最终用户盘算机的安全生来不如路由器。路由器把持面板只拥有几名合法用户,而许多人都能设法接入服务器。服务器操作系统的安全漏洞也比路由器操作系统多很多。Web浏览和电子邮件容许最终用户采用大批措施来响应恳求,因此难以保护安全的环境。
如果没有支撑线速过滤和机动更新的路由器,许多供给商及其客户将持续应用基于目标地进行过滤等陈腐技巧,实际上通过断开危险服务器或站点的网络连接而成绩了DDoS攻击。如果服务供给商能够带领客户远离这些片面的解决计划,将很快成为客户值得信任的顾问。
这对服务供给商来说的确是一个好消息。为了防止故障停机并确保交易安全,公司急切盼望利用安全服务来确保服务持续性。Juniper业务安排系统(SDX)等安装在网络运行中心(NOC)具有策略意识的系统,如果与路由器上的入侵检测与防护系统和实时分析系统相集成,将能够通过对重大事件进行审计跟踪而为企业供给所需的服务保证。当系统辨认出攻击时,BGP防火墙过滤器等先进的牵制技巧能够跨越多个网络快速阻断攻击。高吞吐量安全防火墙网关等其他可管理的服务或CPE转售产品也能够为客户发明截然不同的安全部验,如Juniper网络公司面向分支办事处的安全业务网关(SSG)。
采用长期的战略方法
安全是长期问题,服务供给商应制定长期战略来解决安全问题。请求如下:
·通过机动的过滤器选项供给线速数据包过滤
·通过先进的限速功效实现有效的流量整形
·在更高级别的把持层和IP基础设施中实行策略工具
只有Juniper 网络公司能够为服务供给商供给涉及到所有网元的全面的功效套件。关于您在保护网络骨干安全时还需考虑哪些问题,请下载我们的白皮书《保护供给商骨干网的安全:数据包过滤器、流量整形及相干最佳实践》,以便详细懂得本文讨论的技巧,您还可发明网络可靠性和互操作性理事会(NRIC)以及北美网络运营商联盟(NANOG)在其网站上供给的相干材料。
相关阅读