专家经验:接入层安全管理从“小”做起

网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息 。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等 。当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段 。互联网接入层是直接面向用户接入的接口,这里是网络的起点也是网络的终点 。而影响安全问题的众多因素,包括硬件、软件、环境、用户自身素质等,都可能是引发安全问题的来源点 。
接入层面临很多难以想象的环境 。接入层设备成本低,出现问题影响小,设备品种繁多,地点分散,不便管理,大量重复性工作等原因导致了对此工作的忽视 。如何转变观念也是运营商面临的第一大难题 。
接入安全讲究技巧
单一的接入用户连通网络已经无法满足网络发展的需要,更多的性能、功能需求摆在了面前 。一些技巧也会对管理网络提供很大的帮助 。
端口隔离
由于以太网技术本身的特点,端口隔离的存在是必要的 。无论是物理端口还是逻辑端口,现阶段有很多技术都可以实现端口隔离功能,有的采用物理手段,有的采用逻辑手段 。如果采用物理手段则可以实现完全的隔离功能,符合国家有关安全部门的需要;如果采用逻辑手段,一般也是基于2层帧结构技术也比较安全 。可以说端口隔离目前成为了一种保护接入用户内部安全的有效手段 。在接入层隔离开用户之间的访问并不是为了限制用户的使用,而是要防止用户之间的攻击 。当然,用户不是网络杀手;但是总是有一些无辜的用户被利用 。也有很多机密部门需要这种隔离技术,网络结构就是要隔离 。无论是针对哪种用户,合理而又灵活的利用端口隔离技术总可以有效地控制来自内部、外部用户之间的安全问题 。
【专家经验:接入层安全管理从“小”做起】环路检测
说到这个技术之所以用在接入网中,因为环路所带来的危害确实频繁的发生 。很多用户不知道环路带来的危害,所以环路经常发生在缺少专业技术人员维护的网络中 。越是接近用户的设备检测周期越应该短一些,上层设备的检测周期应该长一些 。这样就可以减少一些因为上层设备先检测到环路禁用端口造成下层整个交换机用户都被断掉的可能 。这只是一种防止环路的使用方式,如果我们把环路检测扩展成为一种对特殊有害帧的检测,那么很多类型的故障就会得以抑制 。
生成树
生成树从产生时就是用来解决2层设备的拓扑问题,接入层设备中大多数是2层设备 。因为拓扑而产生的问题大多可以得到解决 。但是生成树的拓扑计算又无形中给网络设备增加了负担,对于许多复杂组网环境链路频繁变化以及使用N+1链路是否需要开启这个功能也是需要考虑的 。如果开启生成树,还会让用户接入时等待一段拓扑计算时间,即使这只需要几十秒,也会给部分苛刻的用户产生厌烦感 。和这个功能类似的问题很多管理者都会遇到过 。任何一个功能的存在都给我们带来了双面的效应 。怎样根据实际把握这种问题,各种功能协议的选取确实是需要三思而后行 。
QoS
网络安全问题并不只是要去面对设备丢失,
病毒传播,网络攻击 。表面没有发生故障的网络已经不能被现在的思想认为是安全的网络 。优质的服务已经成为安全的一部份,所以我们还要提高服务,优化网络 。服务质量保证体系就是为了这一目的产生的,我们这里所说的QoS也可以广义一些,认为是一种保证服务质量的方式 。骨干网上对QoS的过多使用会给网络运行带来不必要的压力,因为对字段的分析是需要运算的 。因此一些QoS功能进行下移是必要的,而有些又是需要每一层的支持 。目前网络资源有限,用户对服务类型的需求种类繁多,网络带宽紧张 。用户业务在丢包,延迟,抖动,带宽抢占等环境危机中生存 。这种情况下QoS的作用表现了出来,虽然不能完美的解决这些问题,也算一些应对方案 。针对不同的网络环境需求制定优先级策略也是解决目前网络带宽紧张的策略之一,而基于IP技术的QoS策略国际上也有多种标准 。QoS在IPV4和IPV6中的字段也有很大区别,但是目的是没有改变的,针对服务质量的工作只会深入进行 。业务带宽流量的分配,拥塞的管理和各种业务之间的分配比例都是发展中值得考虑的 。就像电信业现在的发展一样:目前90%以上的传输带宽已经被宽带互联网等业务占去,只剩下一点用来给传统语音业务 。即使这样带宽问题似乎永远得不到满足,有时还是只能尽力而为 。
例如:一企业有A、B、C、D四个点的局域网,经过Internet广域网相连分别使用10M出口带宽,四个点之间有许多业务需要占用带宽,办公网交互数据、邮件、IP语音、视频会议、文件下载、企业网站等 。合理的分配带宽,调度管理有限资源就显得特别重要 。为了满足这种用户的需求,通过类似QoS的技术方式逐步解决有限资源的合理利用问题,是迈向环保型信息社会的重要一步 。事实上,很大一部分用户都面临了这种问题,“尽力而为”不再会令用户满意 。防火墙防火墙技术已经成为了各大网络业务服务商的护身符,可以说是网络安全界的成功案例 。虽然防火墙市场正迈向规范化,大多个人用户和中小企业还是无法支付昂贵的硬件防火墙费用 。由于个人用户,中小企业计算机使用人员水平参差不齐,也无法自己做好自己的保护工作 。我们可以利用防火墙思想,利用现有的设备来完成一些防火墙功能为用户提供更加安全可靠的保障 。防火墙的主要功能就是隔离,它使得内部网络和外部网络或Internet互相隔离,以此来保护内部网络或主机 。
利用Router或Switch的ACL(accesscontrollist)来充当部分防火墙功能,甚至利用子网的划分来实现 。这就是合理利用有限的资源,借鉴成功的模型,以达到相应的效果 。而且即使再面对新一代技术也有办法来解决 。目前访问控制技术已经在接入层得到广泛的支持,很多接入层设备都可以实现一些类似功能 。不同的接入设备对ACL功能的支持也有所不同 。所以针对不同用户使用特色,配置有针对性地ACL给用户提供保护,这样就可以有效防御很多安全问题 。
任务调度
任务调度是解决管理维护人员需求,从而更好的实现对用户任务管理的功能 。基本任务调度功能是实现周期性有规律操作的需求 。利用任务调度可以有效地解放维护管理人员劳动力,完成频繁乏味的操作管理任务 。
基本任务调度一般分为两个部分:任务调度触发点,任务调度执行事件 。任务调度触发点可以是时间,周期,独立参数数值等等 。如果达到预期触发点,就执行任务调度事件 。任务调度的灵活性取决于设备对触发点的支持,多样可靠的触发点是任务调度实施的基础 。在实际当中,大多数情况还是使用基于时间,周期的任务调度触发点 。按照时间标准来触发任务,这时就需要一个准确的时间标准;可以单独调度一个任务来按周期同步时间保证触发点的可靠 。触发执行的任务事件理论上说可以是等于管理员操作的任何事件 。通过时间和事件的结合来完成工作 。利用好任务调度来完成工作,是一项经济实用的管理方式 。
集中管理手段最重要
有点网络规模的地区就会深深体会到集中管理的重要性 。集中管理,集中监控也正是用来主动对抗网络突发事件的有效手段 。事实证明只针对核心层,汇聚层的网管已经无法满足网络维护的需求 。网络的发展需要管理的更加具体,需要更加及时准确地信息 。有些地区甚至需要管理到用户家里的终端 。
虽然目前大多地区的网管员有80%以上的时间是用在了日常操作,没有时间进行主动管理;但是越来越多的地区开始广泛利用集中管理的技术,主动管理工作将占更大的比重 。
将网络设备接入安全控制和用户接入行为管理结合,加强对用户终端的集中控制管理,能够提高网络的主动抵抗能力 。同时结合防火墙功能和核心网络安全策略,就可以提供端到端的安全解决方案,有效提高网络安全能力 。
(责任编辑: 9PC TEL:010-68476606)

    推荐阅读