接入層安全管理從“小”做起
——
接入層面臨很多難以想象的環(huán)境。接入層設(shè)備成本低,出現(xiàn)問(wèn)題影響小,設(shè)備品種繁多,地點(diǎn)分散,不便管理,大量重復(fù)性工作等原因?qū)е铝藢?duì)此工作的忽視。如何轉(zhuǎn)變觀念也是運(yùn)營(yíng)商面臨的第一大難題。
接入安全講究技巧
單一的接入用戶(hù)連通網(wǎng)絡(luò)已經(jīng)無(wú)法滿(mǎn)足網(wǎng)絡(luò)發(fā)展的需要,更多的性能、功能需求擺在了面前。一些技巧也會(huì)對(duì)管理網(wǎng)絡(luò)提供很大的幫助。
端口隔離
由于以太網(wǎng)技術(shù)本身的特點(diǎn),端口隔離的存在是必要的。無(wú)論是物理端口還是邏輯端口,現(xiàn)階段有很多技術(shù)都可以實(shí)現(xiàn)端口隔離功能,有的采用物理手段,有的采用邏輯手段。如果采用物理手段則可以實(shí)現(xiàn)完全的隔離功能,符合國(guó)家有關(guān)安全部門(mén)的需要;如果采用邏輯手段,一般也是基于2層幀結(jié)構(gòu)技術(shù)也比較安全??梢哉f(shuō)端口隔離目前成為了一種保護(hù)接入用戶(hù)內(nèi)部安全的有效手段。在接入層隔離開(kāi)用戶(hù)之間的訪(fǎng)問(wèn)并不是為了限制用戶(hù)的使用,而是要防止用戶(hù)之間的攻擊。當(dāng)然,用戶(hù)不是網(wǎng)絡(luò)殺手;但是總是有一些無(wú)辜的用戶(hù)被利用。也有很多機(jī)密部門(mén)需要這種隔離技術(shù),網(wǎng)絡(luò)結(jié)構(gòu)就是要隔離。無(wú)論是針對(duì)哪種用戶(hù),合理而又靈活的利用端口隔離技術(shù)總可以有效地控制來(lái)自?xún)?nèi)部、外部用戶(hù)之間的安全問(wèn)題。
環(huán)路檢測(cè)
說(shuō)到這個(gè)技術(shù)之所以用在接入網(wǎng)中,因?yàn)榄h(huán)路所帶來(lái)的危害確實(shí)頻繁的發(fā)生。很多用戶(hù)不知道環(huán)路帶來(lái)的危害,所以環(huán)路經(jīng)常發(fā)生在缺少專(zhuān)業(yè)技術(shù)人員維護(hù)的網(wǎng)絡(luò)中。越是接近用戶(hù)的設(shè)備檢測(cè)周期越應(yīng)該短一些,上層設(shè)備的檢測(cè)周期應(yīng)該長(zhǎng)一些。這樣就可以減少一些因?yàn)樯蠈釉O(shè)備先檢測(cè)到環(huán)路禁用端口造成下層整個(gè)交換機(jī)用戶(hù)都被斷掉的可能。這只是一種防止環(huán)路的使用方式,如果我們把環(huán)路檢測(cè)擴(kuò)展成為一種對(duì)特殊有害幀的檢測(cè),那么很多類(lèi)型的故障就會(huì)得以抑制。
生成樹(shù)
生成樹(shù)從產(chǎn)生時(shí)就是用來(lái)解決2層設(shè)備的拓?fù)鋯?wèn)題,接入層設(shè)備中大多數(shù)是2層設(shè)備。因?yàn)橥負(fù)涠a(chǎn)生的問(wèn)題大多可以得到解決。但是生成樹(shù)的拓?fù)溆?jì)算又無(wú)形中給網(wǎng)絡(luò)設(shè)備增加了負(fù)擔(dān),對(duì)于許多復(fù)雜組網(wǎng)環(huán)境鏈路頻繁變化以及使用N+1鏈路是否需要開(kāi)啟這個(gè)功能也是需要考慮的。如果開(kāi)啟生成樹(shù),還會(huì)讓用戶(hù)接入時(shí)等待一段拓?fù)溆?jì)算時(shí)間,即使這只需要幾十秒,也會(huì)給部分苛刻的用戶(hù)產(chǎn)生厭煩感。和這個(gè)功能類(lèi)似的問(wèn)題很多管理者都會(huì)遇到過(guò)。任何一個(gè)功能的存在都給我們帶來(lái)了雙面的效應(yīng)。怎樣根據(jù)實(shí)際把握這種問(wèn)題,各種功能協(xié)議的選取確實(shí)是需要三思而后行。
QoS
網(wǎng)絡(luò)安全問(wèn)題并不只是要去面對(duì)設(shè)備丟失,病毒傳播,網(wǎng)絡(luò)攻擊。表面沒(méi)有發(fā)生故障的網(wǎng)絡(luò)已經(jīng)不能被現(xiàn)在的思想認(rèn)為是安全的網(wǎng)絡(luò)。優(yōu)質(zhì)的服務(wù)已經(jīng)成為安全的一部份,所以我們還要提高服務(wù),優(yōu)化網(wǎng)絡(luò)。服務(wù)質(zhì)量保證體系就是為了這一目的產(chǎn)生的,我們這里所說(shuō)的QoS也可以廣義一些,認(rèn)為是一種保證服務(wù)質(zhì)量的方式。骨干網(wǎng)上對(duì)QoS的過(guò)多使用會(huì)給網(wǎng)絡(luò)運(yùn)行帶來(lái)不必要的壓力,因?yàn)閷?duì)字段的分析是需要運(yùn)算的。因此一些QoS功能進(jìn)行下移是必要的,而有些又是需要每一層的支持。目前網(wǎng)絡(luò)資源有限,用戶(hù)對(duì)服務(wù)類(lèi)型的需求種類(lèi)繁多,網(wǎng)絡(luò)帶寬緊張。用戶(hù)業(yè)務(wù)在丟包,延遲,抖動(dòng),帶寬搶占等環(huán)境危機(jī)中生存。這種情況下QoS的作用表現(xiàn)了出來(lái),雖然不能完美的解決這些問(wèn)題,也算一些應(yīng)對(duì)方案。針對(duì)不同的網(wǎng)絡(luò)環(huán)境需求制定優(yōu)先級(jí)策略也是解決目前網(wǎng)絡(luò)帶寬緊張的策略之一,而基于IP技術(shù)的QoS策略國(guó)際上也有多種標(biāo)準(zhǔn)。QoS在IPV4和IPV6中的字段也有很大區(qū)別,但是目的是沒(méi)有改變的,針對(duì)服務(wù)質(zhì)量的工作只會(huì)深入進(jìn)行。業(yè)務(wù)帶寬流量的分配,擁塞的管理和各種業(yè)務(wù)之間的分配比例都是發(fā)展中值得考慮的。就像電信業(yè)現(xiàn)在的發(fā)展一樣:目前90%以上的傳輸帶寬已經(jīng)被寬帶互聯(lián)網(wǎng)等業(yè)務(wù)占去,只剩下一點(diǎn)用來(lái)給傳統(tǒng)語(yǔ)音業(yè)務(wù)。即使這樣帶寬問(wèn)題似乎永遠(yuǎn)得不到滿(mǎn)足,有時(shí)還是只能盡力而為。
例如:一企業(yè)有A、B、C、D四個(gè)點(diǎn)的局域網(wǎng),經(jīng)過(guò)Internet廣域網(wǎng)相連分別使用10M出口帶寬,四個(gè)點(diǎn)之間有許多業(yè)務(wù)需要占用帶寬,辦公網(wǎng)交互數(shù)據(jù)、郵件、IP語(yǔ)音、視頻會(huì)議、文件下載、企業(yè)網(wǎng)站等。合理的分配帶寬,調(diào)度管理有限資源就顯得特別重要。為了滿(mǎn)足這種用戶(hù)的需求,通過(guò)類(lèi)似QoS的技術(shù)方式逐步解決有限資源的合理利用問(wèn)題,是邁向環(huán)保型信息社會(huì)的重要一步。事實(shí)上,很大一部分用戶(hù)都面臨了這種問(wèn)題,“盡力而為”不再會(huì)令用戶(hù)滿(mǎn)意。防火墻防火墻技術(shù)已經(jīng)成為了各大網(wǎng)絡(luò)業(yè)務(wù)服務(wù)商的護(hù)身符,可以說(shuō)是網(wǎng)絡(luò)安全界的成功案例。雖然防火墻市場(chǎng)正邁向規(guī)范化,大多個(gè)人用戶(hù)和中小企業(yè)還是無(wú)法支付昂貴的硬件防火墻費(fèi)用。由于個(gè)人用戶(hù),中小企業(yè)計(jì)算機(jī)使用人員水平參差不齊,也無(wú)法自己做好自己的保護(hù)工作。我們可以利用防火墻思想,利用現(xiàn)有的設(shè)備來(lái)完成一些防火墻功能為用戶(hù)提供更加安全可靠的保障。防火墻的主要功能就是隔離,它使得內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)或Internet互相隔離,以此來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)或主機(jī)。
利用Router或Switch的ACL(accesscontrollist)來(lái)充當(dāng)部分防火墻功能,甚至利用子網(wǎng)的劃分來(lái)實(shí)現(xiàn)。這就是合理利用有限的資源,借鑒成功的模型,以達(dá)到相應(yīng)的效果。而且即使再面對(duì)新一代技術(shù)也有辦法來(lái)解決。目前訪(fǎng)問(wèn)控制技術(shù)已經(jīng)在接入層得到廣泛的支持,很多接入層設(shè)備都可以實(shí)現(xiàn)一些類(lèi)似功能。不同的接入設(shè)備對(duì)ACL功能的支持也有所不同。所以針對(duì)不同用戶(hù)使用特色,配置有針對(duì)性地ACL給用戶(hù)提供保護(hù),這樣就可以有效防御很多安全問(wèn)題。
任務(wù)調(diào)度
任務(wù)調(diào)度是解決管理維護(hù)人員需求,從而更好的實(shí)現(xiàn)對(duì)用戶(hù)任務(wù)管理的功能。基本任務(wù)調(diào)度功能是實(shí)現(xiàn)周期性有規(guī)律操作的需求。利用任務(wù)調(diào)度可以有效地解放維護(hù)管理人員勞動(dòng)力,完成頻繁乏味的操作管理任務(wù)。
基本任務(wù)調(diào)度一般分為兩個(gè)部分:任務(wù)調(diào)度觸發(fā)點(diǎn),任務(wù)調(diào)度執(zhí)行事件。任務(wù)調(diào)度觸發(fā)點(diǎn)可以是時(shí)間,周期,獨(dú)立參數(shù)數(shù)值等等。如果達(dá)到預(yù)期觸發(fā)點(diǎn),就執(zhí)行任務(wù)調(diào)度事件。任務(wù)調(diào)度的靈活性取決于設(shè)備對(duì)觸發(fā)點(diǎn)的支持,多樣可靠的觸發(fā)點(diǎn)是任務(wù)調(diào)度實(shí)施的基礎(chǔ)。在實(shí)際當(dāng)中,大多數(shù)情況還是使用基于時(shí)間,周期的任務(wù)調(diào)度觸發(fā)點(diǎn)。按照時(shí)間標(biāo)準(zhǔn)來(lái)觸發(fā)任務(wù),這時(shí)就需要一個(gè)準(zhǔn)確的時(shí)間標(biāo)準(zhǔn);可以單獨(dú)調(diào)度一個(gè)任務(wù)來(lái)按周期同步時(shí)間保證觸發(fā)點(diǎn)的可靠。觸發(fā)執(zhí)行的任務(wù)事件理論上說(shuō)可以是等于管理員操作的任何事件。通過(guò)時(shí)間和事件的結(jié)合來(lái)完成工作。利用好任務(wù)調(diào)度來(lái)完成工作,是一項(xiàng)經(jīng)濟(jì)實(shí)用的管理方式。
集中管理手段最重要
有點(diǎn)網(wǎng)絡(luò)規(guī)模的地區(qū)就會(huì)深深體會(huì)到集中管理的重要性。集中管理,集中監(jiān)控也正是用來(lái)主動(dòng)對(duì)抗網(wǎng)絡(luò)突發(fā)事件的有效手段。事實(shí)證明只針對(duì)核心層,匯聚層的網(wǎng)管已經(jīng)無(wú)法滿(mǎn)足網(wǎng)絡(luò)維護(hù)的需求。網(wǎng)絡(luò)的發(fā)展需要管理的更加具體,需要更加及時(shí)準(zhǔn)確地信息。有些地區(qū)甚至需要管理到用戶(hù)家里的終端。
雖然目前大多地區(qū)的網(wǎng)管員有80%以上的時(shí)間是用在了日常操作,沒(méi)有時(shí)間進(jìn)行主動(dòng)管理;但是越來(lái)越多的地區(qū)開(kāi)始廣泛利用集中管理的技術(shù),主動(dòng)管理工作將占更大的比重。
將網(wǎng)絡(luò)設(shè)備接入安全控制和用戶(hù)接入行為管理結(jié)合,加強(qiáng)對(duì)用戶(hù)終端的集中控制管理,能夠提高網(wǎng)絡(luò)的主動(dòng)抵抗能力。同時(shí)結(jié)合防火墻功能和核心網(wǎng)絡(luò)安全策略,就可以提供端到端的安全解決方案,有效提高網(wǎng)絡(luò)安全能力。
評(píng)論