支持聯(lián)網(wǎng)基礎(chǔ)設(shè)施與保護(hù)用戶和服務(wù)的安全常是互補(bǔ)的任務(wù)。將路由和安全基礎(chǔ)設(shè)施與具有策略意識的控制機(jī)制結(jié)合在一起，可幫助服務(wù)供應(yīng)商設(shè)置利潤豐厚的服務(wù)，同時保護(hù)網(wǎng)絡(luò)安全。關(guān)于實現(xiàn)上述目標(biāo)的戰(zhàn)略和建議，請參見Juniper 網(wǎng)絡(luò)公司面向供應(yīng)商網(wǎng)絡(luò)安全的“超人法則”。

對于金融服務(wù)、電子商務(wù)、交通運(yùn)輸和能源等行業(yè)的公司來說，保證網(wǎng)絡(luò)全天候的正常運(yùn)行變得越來越重要。大多數(shù)企業(yè)都與服務(wù)供應(yīng)商簽訂了服務(wù)水平協(xié)議，讓服務(wù)供應(yīng)商為虧損買單。隨著基于botnet的分布式拒絕服務(wù)（DDoS）攻擊等安全威脅手段日益高明、次數(shù)日益頻繁，迫使服務(wù)供應(yīng)商必須預(yù)防、監(jiān)視并最終牽制這些攻擊對客戶及自己的基礎(chǔ)設(shè)施的影響。

說到保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，服務(wù)供應(yīng)商如果能夠借鑒“超人法則”中提供的戰(zhàn)術(shù)，定將受益匪淺。具體說：

?盡量隱藏自己

?如果不能隱藏自己，則力求別人無法接觸自己

?如果不能阻止別人接觸自己，則盡量保持別人無法參透自己

?始終警惕表象上的好人和壞人

如想實施這些戰(zhàn)術(shù)，服務(wù)供應(yīng)商的基礎(chǔ)設(shè)施設(shè)備必須能夠以線速過濾數(shù)萬個實體傳輸?shù)臄?shù)據(jù)包，并能夠在攻擊期間通過靈活的鏈接和分配技術(shù)動態(tài)增加和傳播這些過濾器。供應(yīng)商還需要路由器的控制面板和數(shù)據(jù)面板同時提供流量整形功能，包括對流量進(jìn)行限速以及將流量放置到優(yōu)先級隊列中。最后，操作人員需要安全套件來實現(xiàn)網(wǎng)絡(luò)策略層的自動化流程，以幫助動態(tài)牽制威脅。專業(yè)化的服務(wù)廠商和路由軟件都能為服務(wù)供應(yīng)商提供具備這些功能的工具。

盡量隱藏自己

在服務(wù)供應(yīng)商的網(wǎng)絡(luò)中，路由器和網(wǎng)絡(luò)是操作人員提供安全保護(hù)所需的基本IP基礎(chǔ)設(shè)施。除極少數(shù)系統(tǒng)因法律原因無法向路由器發(fā)送流量外，幾乎所有系統(tǒng)都將流量發(fā)送到路由器中。網(wǎng)絡(luò)安全經(jīng)理可通過數(shù)據(jù)包過濾器只允許合法用戶向路由器的控制面板發(fā)送流量，從而將路由器隱藏起來。

大多數(shù)的過濾工作都是在入口和出口處完成的，但是，為了盡量靠近源頭阻斷攻擊，服務(wù)供應(yīng)商有時必須在所有核心路由器、匯聚路由器和客戶端設(shè)備的入口處端到端地實施過濾器。這些路由器必須能夠支持?jǐn)?shù)據(jù)包過濾器，同時以線速處理流量，以便為服務(wù)供應(yīng)商開展工作提供足夠的數(shù)據(jù)包轉(zhuǎn)發(fā)靈活性。

網(wǎng)絡(luò)經(jīng)理必須在這些過濾器上穿孔，以便允許有效流量進(jìn)入路由器。網(wǎng)絡(luò)管理站、直接聯(lián)網(wǎng)的主機(jī)、同一個子網(wǎng)上的服務(wù)器、內(nèi)部路由器以及用作外部邊界網(wǎng)關(guān)協(xié)議 （EBGP） 對等體的外部路由器，都是需要接入網(wǎng)絡(luò)路由器的合法設(shè)備。

如果不能隱藏自己，則力求別人無法接觸自己

當(dāng)然，基礎(chǔ)設(shè)施也存在大量的合法用戶。例如，多協(xié)議標(biāo)簽交換（MPLS） 客戶邊緣（CE）路由器必須與供應(yīng)商邊緣（PE）路由器交談。同樣，您必須將直接聯(lián)網(wǎng)的設(shè)備之間傳輸?shù)木W(wǎng)間控制報文協(xié)議（ICMP）流量傳輸?shù)骄W(wǎng)絡(luò)中任何路由器的控制面板中。如果無法通過過濾器實施拒絕接入策略，網(wǎng)絡(luò)經(jīng)理可使用流量整形和限速等機(jī)制來牽制攻擊的影響力，以防攻擊利用有效的路由器間通信技術(shù)。

入站ICMP流量增長速度異常是DoS攻擊來臨的第一個信號。為了牽制攻擊的影響力，操作人員必須對ICMP流量實施限速，迫使路由器丟棄超限流量。這種做法可大幅度減少穿過網(wǎng)絡(luò)的惡意ICMP流量。限速意味著限制存在威脅的合法用戶使用網(wǎng)絡(luò)或完全阻止來自存在安全威脅的網(wǎng)絡(luò)的用戶訪問某些網(wǎng)站，直到攻擊停止。然而，限速最重要的目的是保護(hù)網(wǎng)絡(luò)的其他部分。

限速并不是網(wǎng)絡(luò)經(jīng)理用于保護(hù)網(wǎng)絡(luò)不被接觸的唯一工具。狀態(tài)過濾器可阻斷通過IP地址欺騙或端口地址攔截發(fā)動的TCP SYN泛濫攻擊和TCP zombies 攻擊，并保護(hù)BGP會話（和網(wǎng)絡(luò)）不受被感染主機(jī)的影響，從而使網(wǎng)絡(luò)免遭惡意流量的攻擊。此外，通過單播逆向路徑轉(zhuǎn)發(fā)（uRPF）等技術(shù)對源地址進(jìn)行驗證也是遏制欺騙攻擊的有效手段。

如果不能阻止別人接觸自己，則盡量保持別人無法參透自己

如果不想讓別人參透自己的網(wǎng)絡(luò)，網(wǎng)絡(luò)經(jīng)理必須實施RFC 3871中面向網(wǎng)絡(luò)管理的最佳業(yè)務(wù)實踐，即“確保大型ISP IP 網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行安全的業(yè)務(wù)實踐”（見http://www.faqs.org/rfcs/rfc3871.html）。首先，網(wǎng)絡(luò)經(jīng)理必須改掉將制造商全稱或簡稱用作路由器登錄密碼的習(xí)慣，而應(yīng)使用一次性密碼 。此外，無論對邏輯還是物理網(wǎng)絡(luò)，通過應(yīng)用適當(dāng)類型的服務(wù)或過濾機(jī)制來實施帶外管理也很重要。另一個有效的最佳業(yè)務(wù)實踐是使用MD5等驗證機(jī)制將惡意流量遏制在控制面板上。

如想構(gòu)建高效的安全運(yùn)營團(tuán)隊，服務(wù)供應(yīng)商需要去挖掘深入了解內(nèi)部網(wǎng)關(guān)協(xié)議、BGP和入侵檢測與防護(hù)技術(shù)的高素質(zhì)人才。接下來，運(yùn)營商應(yīng)基于這個團(tuán)隊的網(wǎng)絡(luò)安全原則來定義、記錄并實施安全策略。運(yùn)營商還應(yīng)提供熱線服務(wù)，以便客戶和供應(yīng)商了解當(dāng)他們遇到攻擊時該與誰聯(lián)系。最重要的是，服務(wù)供應(yīng)商應(yīng)進(jìn)行一些演練，考察自己對各類攻擊的響應(yīng)能力。

始終警惕表象上的好人和壞人

服務(wù)器和最終用戶計算機(jī)的安全生來不如路由器。路由器控制面板只擁有幾名合法用戶，而許多人都能設(shè)法接入服務(wù)器。服務(wù)器操作系統(tǒng)的安全漏洞也比路由器操作系統(tǒng)多很多。Web瀏覽和電子郵件允許最終用戶采取大量措施來響應(yīng)請求，因此難以維護(hù)安全的環(huán)境。

如果沒有支持線速過濾和靈活更新的路由器，許多供應(yīng)商及其客戶將繼續(xù)使用基于目的地進(jìn)行過濾等陳舊技術(shù)，實際上通過斷開危險服務(wù)器或站點(diǎn)的網(wǎng)絡(luò)連接而成就了DDoS攻擊。如果服務(wù)供應(yīng)商能夠帶領(lǐng)客戶遠(yuǎn)離這些片面的解決方案，將很快成為客戶值得信賴的顧問。

這對服務(wù)供應(yīng)商來說的確是一個好消息。為了防止故障停機(jī)并確保交易安全，公司迫切希望利用安全服務(wù)來確保服務(wù)連續(xù)性。Juniper業(yè)務(wù)部署系統(tǒng)（SDX）等安裝在網(wǎng)絡(luò)運(yùn)行中心（NOC）具有策略意識的系統(tǒng)，如果與路由器上的入侵檢測與防護(hù)系統(tǒng)和實時分析系統(tǒng)相集成，將能夠通過對重大事件進(jìn)行審計跟蹤而為企業(yè)提供所需的服務(wù)保證。當(dāng)系統(tǒng)識別出攻擊時，BGP防火墻過濾器等先進(jìn)的牽制技術(shù)能夠跨越多個網(wǎng)絡(luò)快速阻斷攻擊。高吞吐量安全防火墻網(wǎng)關(guān)等其他可管理的服務(wù)或CPE轉(zhuǎn)售產(chǎn)品也能夠為客戶創(chuàng)造截然不同的安全體驗，如Juniper網(wǎng)絡(luò)公司面向分支辦事處的安全業(yè)務(wù)網(wǎng)關(guān)（SSG）。

采用長期的戰(zhàn)略方法

安全是長期問題，服務(wù)供應(yīng)商應(yīng)制訂長期戰(zhàn)略來解決安全問題。要求如下：

?通過靈活的過濾器選項提供線速數(shù)據(jù)包過濾

?通過先進(jìn)的限速功能實現(xiàn)有效的流量整形

?在更高級別的控制層和IP基礎(chǔ)設(shè)施中實施策略工具

只有Juniper 網(wǎng)絡(luò)公司能夠為服務(wù)供應(yīng)商提供涉及到所有網(wǎng)元的全面的功能套件。關(guān)于您在保護(hù)網(wǎng)絡(luò)骨干安全時還需考慮哪些問題，請下載我們的白皮書《保護(hù)供應(yīng)商骨干網(wǎng)的安全：數(shù)據(jù)包過濾器、流量整形及相關(guān)最佳實踐》，以便詳細(xì)了解本文討論的技術(shù)，您還可發(fā)現(xiàn)網(wǎng)絡(luò)可靠性和互操作性理事會（NRIC）以及北美網(wǎng)絡(luò)運(yùn)營商聯(lián)盟（NANOG）在其網(wǎng)站上提供的相關(guān)資料。

標(biāo)簽： ddos isp 安全 電子商務(wù) 電子郵件 防火墻 服務(wù)器 服務(wù)器操作系統(tǒng) 金融 漏洞 企業(yè) 通信 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)站 問題 行業(yè) 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。