接入層安全管理從“小”做起

　　互聯(lián)網(wǎng)接入層是直接面向用戶接入的接口，這里是網(wǎng)絡(luò)的起點也是網(wǎng)絡(luò)的終點。而影響安全問題的眾多因素，包括硬件、軟件、環(huán)境、用戶自身素質(zhì)等，都可能是引發(fā)安全問題的來源點。

　　接入層面臨很多難以想象的環(huán)境。接入層設(shè)備成本低，出現(xiàn)問題影響小，設(shè)備品種繁多，地點分散，不便管理，大量重復(fù)性工作等原因?qū)е铝藢Υ斯ぷ鞯暮鲆?。如何轉(zhuǎn)變觀念也是運營商面臨的第一大難題。

　　接入安全講究技巧

　　單一的接入用戶連通網(wǎng)絡(luò)已經(jīng)無法滿足網(wǎng)絡(luò)發(fā)展的需要，更多的性能、功能需求擺在了面前。一些技巧也會對管理網(wǎng)絡(luò)提供很大的幫助。

　　端口隔離

　　由于以太網(wǎng)技術(shù)本身的特點，端口隔離的存在是必要的。無論是物理端口還是邏輯端口，現(xiàn)階段有很多技術(shù)都可以實現(xiàn)端口隔離功能，有的采用物理手段，有的采用邏輯手段。如果采用物理手段則可以實現(xiàn)完全的隔離功能，符合國家有關(guān)安全部門的需要；如果采用邏輯手段，一般也是基于2層幀結(jié)構(gòu)技術(shù)也比較安全。可以說端口隔離目前成為了一種保護接入用戶內(nèi)部安全的有效手段。在接入層隔離開用戶之間的訪問并不是為了限制用戶的使用，而是要防止用戶之間的攻擊。當(dāng)然，用戶不是網(wǎng)絡(luò)殺手；但是總是有一些無辜的用戶被利用。也有很多機密部門需要這種隔離技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)就是要隔離。無論是針對哪種用戶，合理而又靈活的利用端口隔離技術(shù)總可以有效地控制來自內(nèi)部、外部用戶之間的安全問題。

　　環(huán)路檢測

　　說到這個技術(shù)之所以用在接入網(wǎng)中，因為環(huán)路所帶來的危害確實頻繁的發(fā)生。很多用戶不知道環(huán)路帶來的危害，所以環(huán)路經(jīng)常發(fā)生在缺少專業(yè)技術(shù)人員維護的網(wǎng)絡(luò)中。越是接近用戶的設(shè)備檢測周期越應(yīng)該短一些，上層設(shè)備的檢測周期應(yīng)該長一些。這樣就可以減少一些因為上層設(shè)備先檢測到環(huán)路禁用端口造成下層整個交換機用戶都被斷掉的可能。這只是一種防止環(huán)路的使用方式，如果我們把環(huán)路檢測擴展成為一種對特殊有害幀的檢測，那么很多類型的故障就會得以抑制。

　　生成樹

　　生成樹從產(chǎn)生時就是用來解決2層設(shè)備的拓撲問題，接入層設(shè)備中大多數(shù)是2層設(shè)備。因為拓撲而產(chǎn)生的問題大多可以得到解決。但是生成樹的拓撲計算又無形中給網(wǎng)絡(luò)設(shè)備增加了負擔(dān)，對于許多復(fù)雜組網(wǎng)環(huán)境鏈路頻繁變化以及使用N+1鏈路是否需要開啟這個功能也是需要考慮的。如果開啟生成樹，還會讓用戶接入時等待一段拓撲計算時間，即使這只需要幾十秒，也會給部分苛刻的用戶產(chǎn)生厭煩感。和這個功能類似的問題很多管理者都會遇到過。任何一個功能的存在都給我們帶來了雙面的效應(yīng)。怎樣根據(jù)實際把握這種問題，各種功能協(xié)議的選取確實是需要三思而后行。

　　QoS

　　網(wǎng)絡(luò)安全問題并不只是要去面對設(shè)備丟失，病毒傳播，網(wǎng)絡(luò)攻擊。表面沒有發(fā)生故障的網(wǎng)絡(luò)已經(jīng)不能被現(xiàn)在的思想認為是安全的網(wǎng)絡(luò)。優(yōu)質(zhì)的服務(wù)已經(jīng)成為安全的一部份，所以我們還要提高服務(wù)，優(yōu)化網(wǎng)絡(luò)。服務(wù)質(zhì)量保證體系就是為了這一目的產(chǎn)生的，我們這里所說的QoS也可以廣義一些，認為是一種保證服務(wù)質(zhì)量的方式。骨干網(wǎng)上對QoS的過多使用會給網(wǎng)絡(luò)運行帶來不必要的壓力，因為對字段的分析是需要運算的。因此一些QoS功能進行下移是必要的，而有些又是需要每一層的支持。目前網(wǎng)絡(luò)資源有限，用戶對服務(wù)類型的需求種類繁多，網(wǎng)絡(luò)帶寬緊張。用戶業(yè)務(wù)在丟包，延遲，抖動，帶寬搶占等環(huán)境危機中生存。這種情況下QoS的作用表現(xiàn)了出來，雖然不能完美的解決這些問題，也算一些應(yīng)對方案。針對不同的網(wǎng)絡(luò)環(huán)境需求制定優(yōu)先級策略也是解決目前網(wǎng)絡(luò)帶寬緊張的策略之一，而基于IP技術(shù)的QoS策略國際上也有多種標(biāo)準(zhǔn)。QoS在IPV4和IPV6中的字段也有很大區(qū)別，但是目的是沒有改變的，針對服務(wù)質(zhì)量的工作只會深入進行。業(yè)務(wù)帶寬流量的分配，擁塞的管理和各種業(yè)務(wù)之間的分配比例都是發(fā)展中值得考慮的。就像電信業(yè)現(xiàn)在的發(fā)展一樣：目前90%以上的傳輸帶寬已經(jīng)被寬帶互聯(lián)網(wǎng)等業(yè)務(wù)占去，只剩下一點用來給傳統(tǒng)語音業(yè)務(wù)。即使這樣帶寬問題似乎永遠得不到滿足，有時還是只能盡力而為。

　　例如：一企業(yè)有A、B、C、D四個點的局域網(wǎng)，經(jīng)過Internet廣域網(wǎng)相連分別使用10M出口帶寬，四個點之間有許多業(yè)務(wù)需要占用帶寬，辦公網(wǎng)交互數(shù)據(jù)、郵件、IP語音、視頻會議、文件下載、企業(yè)網(wǎng)站等。合理的分配帶寬，調(diào)度管理有限資源就顯得特別重要。為了滿足這種用戶的需求，通過類似QoS的技術(shù)方式逐步解決有限資源的合理利用問題，是邁向環(huán)保型信息社會的重要一步。事實上，很大一部分用戶都面臨了這種問題，“盡力而為”不再會令用戶滿意。防火墻防火墻技術(shù)已經(jīng)成為了各大網(wǎng)絡(luò)業(yè)務(wù)服務(wù)商的護身符，可以說是網(wǎng)絡(luò)安全界的成功案例。雖然防火墻市場正邁向規(guī)范化，大多個人用戶和中小企業(yè)還是無法支付昂貴的硬件防火墻費用。由于個人用戶，中小企業(yè)計算機使用人員水平參差不齊，也無法自己做好自己的保護工作。我們可以利用防火墻思想，利用現(xiàn)有的設(shè)備來完成一些防火墻功能為用戶提供更加安全可靠的保障。防火墻的主要功能就是隔離，它使得內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)或Internet互相隔離，以此來保護內(nèi)部網(wǎng)絡(luò)或主機。

　　利用Router或Switch的ACL(accesscontrollist)來充當(dāng)部分防火墻功能，甚至利用子網(wǎng)的劃分來實現(xiàn)。這就是合理利用有限的資源，借鑒成功的模型，以達到相應(yīng)的效果。而且即使再面對新一代技術(shù)也有辦法來解決。目前訪問控制技術(shù)已經(jīng)在接入層得到廣泛的支持，很多接入層設(shè)備都可以實現(xiàn)一些類似功能。不同的接入設(shè)備對ACL功能的支持也有所不同。所以針對不同用戶使用特色，配置有針對性地ACL給用戶提供保護，這樣就可以有效防御很多安全問題。

　　任務(wù)調(diào)度

　　任務(wù)調(diào)度是解決管理維護人員需求，從而更好的實現(xiàn)對用戶任務(wù)管理的功能?；救蝿?wù)調(diào)度功能是實現(xiàn)周期性有規(guī)律操作的需求。利用任務(wù)調(diào)度可以有效地解放維護管理人員勞動力，完成頻繁乏味的操作管理任務(wù)。

　　基本任務(wù)調(diào)度一般分為兩個部分：任務(wù)調(diào)度觸發(fā)點，任務(wù)調(diào)度執(zhí)行事件。任務(wù)調(diào)度觸發(fā)點可以是時間，周期，獨立參數(shù)數(shù)值等等。如果達到預(yù)期觸發(fā)點，就執(zhí)行任務(wù)調(diào)度事件。任務(wù)調(diào)度的靈活性取決于設(shè)備對觸發(fā)點的支持，多樣可靠的觸發(fā)點是任務(wù)調(diào)度實施的基礎(chǔ)。在實際當(dāng)中，大多數(shù)情況還是使用基于時間，周期的任務(wù)調(diào)度觸發(fā)點。按照時間標(biāo)準(zhǔn)來觸發(fā)任務(wù)，這時就需要一個準(zhǔn)確的時間標(biāo)準(zhǔn)；可以單獨調(diào)度一個任務(wù)來按周期同步時間保證觸發(fā)點的可靠。觸發(fā)執(zhí)行的任務(wù)事件理論上說可以是等于管理員操作的任何事件。通過時間和事件的結(jié)合來完成工作。利用好任務(wù)調(diào)度來完成工作，是一項經(jīng)濟實用的管理方式。

　　集中管理手段最重要

　　有點網(wǎng)絡(luò)規(guī)模的地區(qū)就會深深體會到集中管理的重要性。集中管理，集中監(jiān)控也正是用來主動對抗網(wǎng)絡(luò)突發(fā)事件的有效手段。事實證明只針對核心層，匯聚層的網(wǎng)管已經(jīng)無法滿足網(wǎng)絡(luò)維護的需求。網(wǎng)絡(luò)的發(fā)展需要管理的更加具體，需要更加及時準(zhǔn)確地信息。有些地區(qū)甚至需要管理到用戶家里的終端。

　　雖然目前大多地區(qū)的網(wǎng)管員有80%以上的時間是用在了日常操作，沒有時間進行主動管理；但是越來越多的地區(qū)開始廣泛利用集中管理的技術(shù)，主動管理工作將占更大的比重。

　　將網(wǎng)絡(luò)設(shè)備接入安全控制和用戶接入行為管理結(jié)合，加強對用戶終端的集中控制管理，能夠提高網(wǎng)絡(luò)的主動抵抗能力。同時結(jié)合防火墻功能和核心網(wǎng)絡(luò)安全策略，就可以提供端到端的安全解決方案，有效提高網(wǎng)絡(luò)安全能力。