接入層安全管理從“小”做起

　　互聯(lián)網(wǎng)接入層是直接面向用戶接入的接口，這里是網(wǎng)絡(luò)的起點(diǎn)也是網(wǎng)絡(luò)的終點(diǎn)。而影響安全問題的眾多因素，包括硬件、軟件、環(huán)境、用戶自身素質(zhì)等，都可能是引發(fā)安全問題的來源點(diǎn)。

　　接入層面臨很多難以想象的環(huán)境。接入層設(shè)備成本低，出現(xiàn)問題影響小，設(shè)備品種繁多，地點(diǎn)分散，不便管理，大量重復(fù)性工作等原因?qū)е铝藢?duì)此工作的忽視。如何轉(zhuǎn)變觀念也是運(yùn)營商面臨的第一大難題。

　　接入安全講究技巧

　　單一的接入用戶連通網(wǎng)絡(luò)已經(jīng)無法滿足網(wǎng)絡(luò)發(fā)展的需要，更多的性能、功能需求擺在了面前。一些技巧也會(huì)對(duì)管理網(wǎng)絡(luò)提供很大的幫助。

　　端口隔離

　　由于以太網(wǎng)技術(shù)本身的特點(diǎn)，端口隔離的存在是必要的。無論是物理端口還是邏輯端口，現(xiàn)階段有很多技術(shù)都可以實(shí)現(xiàn)端口隔離功能，有的采用物理手段，有的采用邏輯手段。如果采用物理手段則可以實(shí)現(xiàn)完全的隔離功能，符合國家有關(guān)安全部門的需要；如果采用邏輯手段，一般也是基于2層幀結(jié)構(gòu)技術(shù)也比較安全?？梢哉f端口隔離目前成為了一種保護(hù)接入用戶內(nèi)部安全的有效手段。在接入層隔離開用戶之間的訪問并不是為了限制用戶的使用，而是要防止用戶之間的攻擊。當(dāng)然，用戶不是網(wǎng)絡(luò)殺手；但是總是有一些無辜的用戶被利用。也有很多機(jī)密部門需要這種隔離技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)就是要隔離。無論是針對(duì)哪種用戶，合理而又靈活的利用端口隔離技術(shù)總可以有效地控制來自內(nèi)部、外部用戶之間的安全問題。

　　環(huán)路檢測(cè)

　　說到這個(gè)技術(shù)之所以用在接入網(wǎng)中，因?yàn)榄h(huán)路所帶來的危害確實(shí)頻繁的發(fā)生。很多用戶不知道環(huán)路帶來的危害，所以環(huán)路經(jīng)常發(fā)生在缺少專業(yè)技術(shù)人員維護(hù)的網(wǎng)絡(luò)中。越是接近用戶的設(shè)備檢測(cè)周期越應(yīng)該短一些，上層設(shè)備的檢測(cè)周期應(yīng)該長(zhǎng)一些。這樣就可以減少一些因?yàn)樯蠈釉O(shè)備先檢測(cè)到環(huán)路禁用端口造成下層整個(gè)交換機(jī)用戶都被斷掉的可能。這只是一種防止環(huán)路的使用方式，如果我們把環(huán)路檢測(cè)擴(kuò)展成為一種對(duì)特殊有害幀的檢測(cè)，那么很多類型的故障就會(huì)得以抑制。

　　生成樹

　　生成樹從產(chǎn)生時(shí)就是用來解決2層設(shè)備的拓?fù)鋯栴}，接入層設(shè)備中大多數(shù)是2層設(shè)備。因?yàn)橥負(fù)涠a(chǎn)生的問題大多可以得到解決。但是生成樹的拓?fù)溆?jì)算又無形中給網(wǎng)絡(luò)設(shè)備增加了負(fù)擔(dān)，對(duì)于許多復(fù)雜組網(wǎng)環(huán)境鏈路頻繁變化以及使用N+1鏈路是否需要開啟這個(gè)功能也是需要考慮的。如果開啟生成樹，還會(huì)讓用戶接入時(shí)等待一段拓?fù)溆?jì)算時(shí)間，即使這只需要幾十秒，也會(huì)給部分苛刻的用戶產(chǎn)生厭煩感。和這個(gè)功能類似的問題很多管理者都會(huì)遇到過。任何一個(gè)功能的存在都給我們帶來了雙面的效應(yīng)。怎樣根據(jù)實(shí)際把握這種問題，各種功能協(xié)議的選取確實(shí)是需要三思而后行。

　　QoS

　　網(wǎng)絡(luò)安全問題并不只是要去面對(duì)設(shè)備丟失，病毒傳播，網(wǎng)絡(luò)攻擊。表面沒有發(fā)生故障的網(wǎng)絡(luò)已經(jīng)不能被現(xiàn)在的思想認(rèn)為是安全的網(wǎng)絡(luò)。優(yōu)質(zhì)的服務(wù)已經(jīng)成為安全的一部份，所以我們還要提高服務(wù)，優(yōu)化網(wǎng)絡(luò)。服務(wù)質(zhì)量保證體系就是為了這一目的產(chǎn)生的，我們這里所說的QoS也可以廣義一些，認(rèn)為是一種保證服務(wù)質(zhì)量的方式。骨干網(wǎng)上對(duì)QoS的過多使用會(huì)給網(wǎng)絡(luò)運(yùn)行帶來不必要的壓力，因?yàn)閷?duì)字段的分析是需要運(yùn)算的。因此一些QoS功能進(jìn)行下移是必要的，而有些又是需要每一層的支持。目前網(wǎng)絡(luò)資源有限，用戶對(duì)服務(wù)類型的需求種類繁多，網(wǎng)絡(luò)帶寬緊張。用戶業(yè)務(wù)在丟包，延遲，抖動(dòng)，帶寬搶占等環(huán)境危機(jī)中生存。這種情況下QoS的作用表現(xiàn)了出來，雖然不能完美的解決這些問題，也算一些應(yīng)對(duì)方案。針對(duì)不同的網(wǎng)絡(luò)環(huán)境需求制定優(yōu)先級(jí)策略也是解決目前網(wǎng)絡(luò)帶寬緊張的策略之一，而基于IP技術(shù)的QoS策略國際上也有多種標(biāo)準(zhǔn)。QoS在IPV4和IPV6中的字段也有很大區(qū)別，但是目的是沒有改變的，針對(duì)服務(wù)質(zhì)量的工作只會(huì)深入進(jìn)行。業(yè)務(wù)帶寬流量的分配，擁塞的管理和各種業(yè)務(wù)之間的分配比例都是發(fā)展中值得考慮的。就像電信業(yè)現(xiàn)在的發(fā)展一樣：目前90%以上的傳輸帶寬已經(jīng)被寬帶互聯(lián)網(wǎng)等業(yè)務(wù)占去，只剩下一點(diǎn)用來給傳統(tǒng)語音業(yè)務(wù)。即使這樣帶寬問題似乎永遠(yuǎn)得不到滿足，有時(shí)還是只能盡力而為。

　　例如：一企業(yè)有A、B、C、D四個(gè)點(diǎn)的局域網(wǎng)，經(jīng)過Internet廣域網(wǎng)相連分別使用10M出口帶寬，四個(gè)點(diǎn)之間有許多業(yè)務(wù)需要占用帶寬，辦公網(wǎng)交互數(shù)據(jù)、郵件、IP語音、視頻會(huì)議、文件下載、企業(yè)網(wǎng)站等。合理的分配帶寬，調(diào)度管理有限資源就顯得特別重要。為了滿足這種用戶的需求，通過類似QoS的技術(shù)方式逐步解決有限資源的合理利用問題，是邁向環(huán)保型信息社會(huì)的重要一步。事實(shí)上，很大一部分用戶都面臨了這種問題，“盡力而為”不再會(huì)令用戶滿意。防火墻防火墻技術(shù)已經(jīng)成為了各大網(wǎng)絡(luò)業(yè)務(wù)服務(wù)商的護(hù)身符，可以說是網(wǎng)絡(luò)安全界的成功案例。雖然防火墻市場(chǎng)正邁向規(guī)范化，大多個(gè)人用戶和中小企業(yè)還是無法支付昂貴的硬件防火墻費(fèi)用。由于個(gè)人用戶，中小企業(yè)計(jì)算機(jī)使用人員水平參差不齊，也無法自己做好自己的保護(hù)工作。我們可以利用防火墻思想，利用現(xiàn)有的設(shè)備來完成一些防火墻功能為用戶提供更加安全可靠的保障。防火墻的主要功能就是隔離，它使得內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)或Internet互相隔離，以此來保護(hù)內(nèi)部網(wǎng)絡(luò)或主機(jī)。

　　利用Router或Switch的ACL(accesscontrollist)來充當(dāng)部分防火墻功能，甚至利用子網(wǎng)的劃分來實(shí)現(xiàn)。這就是合理利用有限的資源，借鑒成功的模型，以達(dá)到相應(yīng)的效果。而且即使再面對(duì)新一代技術(shù)也有辦法來解決。目前訪問控制技術(shù)已經(jīng)在接入層得到廣泛的支持，很多接入層設(shè)備都可以實(shí)現(xiàn)一些類似功能。不同的接入設(shè)備對(duì)ACL功能的支持也有所不同。所以針對(duì)不同用戶使用特色，配置有針對(duì)性地ACL給用戶提供保護(hù)，這樣就可以有效防御很多安全問題。

　　任務(wù)調(diào)度

　　任務(wù)調(diào)度是解決管理維護(hù)人員需求，從而更好的實(shí)現(xiàn)對(duì)用戶任務(wù)管理的功能。基本任務(wù)調(diào)度功能是實(shí)現(xiàn)周期性有規(guī)律操作的需求。利用任務(wù)調(diào)度可以有效地解放維護(hù)管理人員勞動(dòng)力，完成頻繁乏味的操作管理任務(wù)。

　　基本任務(wù)調(diào)度一般分為兩個(gè)部分：任務(wù)調(diào)度觸發(fā)點(diǎn)，任務(wù)調(diào)度執(zhí)行事件。任務(wù)調(diào)度觸發(fā)點(diǎn)可以是時(shí)間，周期，獨(dú)立參數(shù)數(shù)值等等。如果達(dá)到預(yù)期觸發(fā)點(diǎn)，就執(zhí)行任務(wù)調(diào)度事件。任務(wù)調(diào)度的靈活性取決于設(shè)備對(duì)觸發(fā)點(diǎn)的支持，多樣可靠的觸發(fā)點(diǎn)是任務(wù)調(diào)度實(shí)施的基礎(chǔ)。在實(shí)際當(dāng)中，大多數(shù)情況還是使用基于時(shí)間，周期的任務(wù)調(diào)度觸發(fā)點(diǎn)。按照時(shí)間標(biāo)準(zhǔn)來觸發(fā)任務(wù)，這時(shí)就需要一個(gè)準(zhǔn)確的時(shí)間標(biāo)準(zhǔn)；可以單獨(dú)調(diào)度一個(gè)任務(wù)來按周期同步時(shí)間保證觸發(fā)點(diǎn)的可靠。觸發(fā)執(zhí)行的任務(wù)事件理論上說可以是等于管理員操作的任何事件。通過時(shí)間和事件的結(jié)合來完成工作。利用好任務(wù)調(diào)度來完成工作，是一項(xiàng)經(jīng)濟(jì)實(shí)用的管理方式。

　　集中管理手段最重要

　　有點(diǎn)網(wǎng)絡(luò)規(guī)模的地區(qū)就會(huì)深深體會(huì)到集中管理的重要性。集中管理，集中監(jiān)控也正是用來主動(dòng)對(duì)抗網(wǎng)絡(luò)突發(fā)事件的有效手段。事實(shí)證明只針對(duì)核心層，匯聚層的網(wǎng)管已經(jīng)無法滿足網(wǎng)絡(luò)維護(hù)的需求。網(wǎng)絡(luò)的發(fā)展需要管理的更加具體，需要更加及時(shí)準(zhǔn)確地信息。有些地區(qū)甚至需要管理到用戶家里的終端。

　　雖然目前大多地區(qū)的網(wǎng)管員有80%以上的時(shí)間是用在了日常操作，沒有時(shí)間進(jìn)行主動(dòng)管理；但是越來越多的地區(qū)開始廣泛利用集中管理的技術(shù)，主動(dòng)管理工作將占更大的比重。

　　將網(wǎng)絡(luò)設(shè)備接入安全控制和用戶接入行為管理結(jié)合，加強(qiáng)對(duì)用戶終端的集中控制管理，能夠提高網(wǎng)絡(luò)的主動(dòng)抵抗能力。同時(shí)結(jié)合防火墻功能和核心網(wǎng)絡(luò)安全策略，就可以提供端到端的安全解決方案，有效提高網(wǎng)絡(luò)安全能力。