网络设备安全摘要.pptVIP

第6章 网络安全设备 网络设备是计算机网络系统构成的基础组件。本章对网络设备安全进行分析，并在此基础上深入介绍了安全路由器、安全交换机基本原理和功能需求。 6.1 概述 ?今天的企业越来越多地把关键业务应用、语音、视频等新型应用融合到IP网络上，一个安全、可靠的网络是企业业务成功的关键。但是随着网络应用的不断深入和广泛，网络自身安全的威胁和问题也愈发严重和复杂。从网络设备角度来看，以下是常见的安全威胁: ·蠕虫/病毒/垃圾邮件在网上泛滥; ·黑客恶意攻击， DDoS拒绝服务攻击; ·管理人员对网络设备的简单配置和随意部署; ·内部用户任意下载/拷贝; ·内部人员无意或有意尝试闯入敏感区域。 这些问题，都对网络自身的稳定运行带来了极大的安全隐患，问题一旦发作，会导致网络设备资源耗尽，网络带宽被塞满，网络系统无法正常工作，使得企业业务不能有效进行，应用系统被侵入或篡改，造成的损失非常巨大，后果极为严重。 由于在网络设计的初期，缺少对网络安全的整体考虑，特别是没有从网络自身层面去规划安全的要素，导致头痛医头，脚痛医脚，完全是救火式网络安全保护，结果自然是: ·网络安全各个部分相互独立，各行其道; ·网络设备没有安全保护，只是区域的边界安全; ·安全防范效果不明显，原有安全问题依然存在; ·对于新出现的攻击、病毒和蠕虫不能适应，被动地响应; ·即使发现问题，也缺乏跟踪定位、有效隔离、快速消除的能力。 因此，需要从网络自身基础架构的层面上，考虑安全、规划安全、部署安全和实施安全。安全已经不是网络中的一个选项，安全是网络中必不可少的重要组成部分， 通过智能集成，分工协作，全局部署，做到真正融于网络内部，真正成为网络规划的核心，真正确保整体网络的稳定、可靠、高效运营。 网络设备包括主机(服务器、工作站、PC)和网络设施(交换机、路由器等)。网络设备的安全始终是网络信息安全的一个重要方面，攻击者往往通过控制网络中设备来破坏系统和信息，或扩大已有的破坏。 加强安全性的网络设备是对普通网络设备的升级和完善，除了具备一般的功能外， 安全的网络设备还具备普通网络设备所不具有的安全策略功能。这种网络设备从网络安全和用户业务应用出发，能够实现特定的安全策略，限制非法访问，进行事后分析， 有效保障用户网络业务的正常开展。实现安全性的一种作法就是在现有网络设备中嵌入各种安全模块。现在，越来越多的用户都表示希望网络设备中增加防火墙、VPN、 数据加密、身份认证等功能。 6.2 网络设备安全防护 网络自身安全保护要求网络设备自身具备多种安全保护的功能与能力，从控制平面、管理平面和数据平面三个方面实现立体化全面安全防范机制，使得作为网络基本 组成部分的每个元素都能够实现自我保护，自我安全。 6.2.1 控制平面保护 ?即使是最健全的软件设施和硬件架构，面对拒绝服务(DDoS)攻击也存在漏洞。为阻止这种以及类似的威胁网络核心的行为，要求网络设备增添可编程监管功能，它可以限制目的地为控制平面的流量速率或监管该流量，称之为控制平面监管功能 (CPP)。即使是在DDoS攻击发生的时候， CPP也可以确保对控制层面的访问。 对控制层面实施安全防护是保证网络设备基本功能的重要手段。 1.系统阈值保留技术 网络设备应该允许根据内存使用情况设置总体内存阈值，当达到阈值时系统将及时发布通知。通过预留CPU和内存，该特性使设备在可能是由于攻击所造成的高负载情况下，依然能够保持运行。 2.安全高效的交换转发 在大规模的动态网络中，需要能提供更好的交换的一致性和稳定性。在动态网中，因为路由的改变会导致快速交换高速缓存条目频繁地失效，这些变化可能的结果就是要通过路由表对数据进行过程交换，而不是通过路由高速缓存进行快速交换。 Cisco快速转发(Cisco Express Forwarding， CEF)是一种高级的第三层IP交换技术，可以优化像Internet这样带有大规模的、动态数据流的网络的性能和伸缩性， CEF是一种分散式交换机制，它随着接口卡数量和安装在路由器中带宽的变化而线性地变化。和常规的快速交换路由相比较， CEF可以使用较少的内存容量来实现数据链的转发，这样，就可以节省更多处理器的资源，使得处理器能够专用于第三层的服务。 当启用分散式CEF模式时， CEF的每个线路卡上维护着一个与转发信息库( Forwarding Information Base， FIB)和邻接表相同的拷贝，它能独自提供完全的交换能力。因为FIB查阅表中包含所有路由表中已知的路由，这样就不用维护路由高速缓存，也不用采用快速交换和过程交换相互转换这种转发方案。CEF能够比典型的高速缓存技术更稳定可靠地交换数据流。