獨(dú)立于層的線速服務(wù)質(zhì)量(QoS)和訪問控制選項(xiàng)
帶有可配置智能軟件、獨(dú)立于層的QoS和訪問控制功能的線速多層交換系統(tǒng)的出現(xiàn),大大改善了網(wǎng)絡(luò)傳輸設(shè)施保護(hù)數(shù)據(jù)流量完整性的能力。
在基于傳統(tǒng)路由器的網(wǎng)絡(luò)設(shè)施中,認(rèn)證機(jī)制如濾除帶有內(nèi)部地址的假冒分組,要求流量到達(dá)路由器邊緣,并與特定訪問控制列表中的標(biāo)準(zhǔn)相符。由于要維護(hù)訪問控制列表,這一過程不僅耗時(shí)巨大,而且給整體路由器性能帶來了重大開銷。
相比之下,使用線速多層交換系統(tǒng)允許靈活實(shí)現(xiàn)各種基于策略的訪問控制標(biāo)準(zhǔn),它使用許多相同的機(jī)制,這些機(jī)制對在整個(gè)復(fù)雜網(wǎng)絡(luò)設(shè)施中有效地實(shí)現(xiàn)QoS標(biāo)準(zhǔn)至關(guān)重要。
盡管這些多層交換系統(tǒng)在第二層執(zhí)行線速交換功能,但它們能夠從第一層到第四層及其它信源無縫地采用QoS和訪問控制標(biāo)準(zhǔn)。
這種獨(dú)立于層的訪問控制能力實(shí)現(xiàn)了內(nèi)置靈活性,把安全決策與網(wǎng)絡(luò)結(jié)構(gòu)決策完全分開,從而允許網(wǎng)絡(luò)管理員有效地部署DoS預(yù)防措施,而不必采用次優(yōu)的路由或交換拓?fù)洹=Y(jié)果,網(wǎng)絡(luò)管理員和服務(wù)供應(yīng)商現(xiàn)在能夠把整個(gè)城域網(wǎng)、數(shù)據(jù)中心或企業(yè)網(wǎng)環(huán)境中基于策略的控制標(biāo)準(zhǔn)無縫地集成起來,而不管其采用的是復(fù)雜的基于路由器的核心服務(wù),還是相對簡單的第二層交換本地環(huán)路。此外,線速處理標(biāo)準(zhǔn)查表和數(shù)據(jù)流量認(rèn)證決策,可以在后臺有效執(zhí)行DoS應(yīng)對措施,而很少或沒有性能延遲。
可以定制的過濾和“信任鄰居”機(jī)制
智能多層訪問控制的另一優(yōu)點(diǎn)是,它能夠簡便地實(shí)現(xiàn)定制過濾操作,如根據(jù)特定標(biāo)準(zhǔn)定制對系統(tǒng)響應(yīng)的控制力度。通過這種方式,可以防止網(wǎng)絡(luò)受到DoS攻擊的影響,同時(shí)降低因疏忽丟棄合法流量的危險(xiǎn)。獨(dú)立于層的訪問控制的另一個(gè)優(yōu)點(diǎn)是,它能夠定制路由訪問策略,支持具體系統(tǒng)之間“信任鄰居”關(guān)系,從而管理和優(yōu)化系統(tǒng)間的數(shù)據(jù)流量。此外,多層交換技術(shù)提供了多種選項(xiàng),可以防止未經(jīng)授權(quán)使用內(nèi)部路由策略,及防止?jié)撛诘钠茐幕顒印?
Extreme Networks(r)公司的Extreme Ware(tm)套裝軟件允許映射和覆蓋IEEE802.1p和DiffServ標(biāo)記,實(shí)現(xiàn)外部看不到的DiffServ功能。通過使用這些策略機(jī)制,系統(tǒng)管理員可以針對來自特定相鄰系統(tǒng)的流量,調(diào)整內(nèi)部路由控制策略,而不是在內(nèi)部強(qiáng)制廣播實(shí)際策略。
由于能夠靈活地區(qū)分內(nèi)部和外部DiffServ和IEEE802.1p標(biāo)準(zhǔn),ExtremeWare為防止新一輪潛在DoS攻擊(稱為QoS攻擊)提供了有效的工具。
Extreme Ware能夠維護(hù)不可視的內(nèi)部DiffServ處理策略,使得所有Extreme交換機(jī)都能夠簡便地忽略、觀察或處理從可能“不信任的鄰居”收到的任何DiffServ標(biāo)記。
定制網(wǎng)絡(luò)登錄配置操作
網(wǎng)絡(luò)登錄機(jī)制的采用在減少DoS攻擊漏洞中發(fā)揮著關(guān)鍵作用。網(wǎng)絡(luò)登錄采用惟一的用戶名和口令,在用戶獲準(zhǔn)進(jìn)入或傳送分組流量前認(rèn)證用戶身份,從而防止認(rèn)證前發(fā)生DoS攻擊的危險(xiǎn)。
通過利用DHCP模擬撥號技術(shù)采用PPP的方式,網(wǎng)絡(luò)登錄可以終止網(wǎng)絡(luò)邊緣的非法訪問,減輕給網(wǎng)絡(luò)設(shè)施帶來的任何消極影響。
Extreme Networks公司的技術(shù)團(tuán)隊(duì)成員參與編寫了IEEE802.1草案,通過利用其中包含的規(guī)范中已有的標(biāo)準(zhǔn),這些網(wǎng)絡(luò)登錄機(jī)制可以控制用戶對交換機(jī)的訪問,最大限度地降低直接DoS攻擊的危險(xiǎn)。同時(shí),網(wǎng)絡(luò)登錄為管理和跟蹤企業(yè)或服務(wù)供應(yīng)商網(wǎng)絡(luò)內(nèi)部的用戶連接和交易提供了一種強(qiáng)健的機(jī)制。
保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施
除保護(hù)網(wǎng)絡(luò)數(shù)據(jù)流量外,防止網(wǎng)絡(luò)基礎(chǔ)設(shè)施受到DoS攻擊、確??煽啃院腿蒎e(cuò)能力也同樣重要。保護(hù)基礎(chǔ)設(shè)施的關(guān)鍵是維護(hù)獨(dú)立的訪問列表,緊密管理轉(zhuǎn)發(fā)控制和負(fù)載均衡功能,及進(jìn)行嚴(yán)格的設(shè)計(jì)測試,以確保系統(tǒng)容錯(cuò)能力。
