接入層安全管理從“小”做起

　　互聯(lián)網(wǎng)接入層是直接面向用戶(hù)接入的接口，這里是網(wǎng)絡(luò )的起點(diǎn)也是網(wǎng)絡(luò )的終點(diǎn)。而影響安全問(wèn)題的眾多因素，包括硬件、軟件、環(huán)境、用戶(hù)自身素質(zhì)等，都可能是引發(fā)安全問(wèn)題的來(lái)源點(diǎn)。

　　接入層面臨很多難以想象的環(huán)境。接入層設備成本低，出現問(wèn)題影響小，設備品種繁多，地點(diǎn)分散，不便管理，大量重復性工作等原因導致了對此工作的忽視。如何轉變觀(guān)念也是運營(yíng)商面臨的第一大難題。

　　接入安全講究技巧

　　單一的接入用戶(hù)連通網(wǎng)絡(luò )已經(jīng)無(wú)法滿(mǎn)足網(wǎng)絡(luò )發(fā)展的需要，更多的性能、功能需求擺在了面前。一些技巧也會(huì )對管理網(wǎng)絡(luò )提供很大的幫助。

　　端口隔離

　　由于以太網(wǎng)技術(shù)本身的特點(diǎn)，端口隔離的存在是必要的。無(wú)論是物理端口還是邏輯端口，現階段有很多技術(shù)都可以實(shí)現端口隔離功能，有的采用物理手段，有的采用邏輯手段。如果采用物理手段則可以實(shí)現完全的隔離功能，符合國家有關(guān)安全部門(mén)的需要；如果采用邏輯手段，一般也是基于2層幀結構技術(shù)也比較安全?？梢哉f(shuō)端口隔離目前成為了一種保護接入用戶(hù)內部安全的有效手段。在接入層隔離開(kāi)用戶(hù)之間的訪(fǎng)問(wèn)并不是為了限制用戶(hù)的使用，而是要防止用戶(hù)之間的攻擊。當然，用戶(hù)不是網(wǎng)絡(luò )殺手；但是總是有一些無(wú)辜的用戶(hù)被利用。也有很多機密部門(mén)需要這種隔離技術(shù)，網(wǎng)絡(luò )結構就是要隔離。無(wú)論是針對哪種用戶(hù)，合理而又靈活的利用端口隔離技術(shù)總可以有效地控制來(lái)自?xún)炔?、外部用?hù)之間的安全問(wèn)題。

　　環(huán)路檢測

　　說(shuō)到這個(gè)技術(shù)之所以用在接入網(wǎng)中，因為環(huán)路所帶來(lái)的危害確實(shí)頻繁的發(fā)生。很多用戶(hù)不知道環(huán)路帶來(lái)的危害，所以環(huán)路經(jīng)常發(fā)生在缺少專(zhuān)業(yè)技術(shù)人員維護的網(wǎng)絡(luò )中。越是接近用戶(hù)的設備檢測周期越應該短一些，上層設備的檢測周期應該長(cháng)一些。這樣就可以減少一些因為上層設備先檢測到環(huán)路禁用端口造成下層整個(gè)交換機用戶(hù)都被斷掉的可能。這只是一種防止環(huán)路的使用方式，如果我們把環(huán)路檢測擴展成為一種對特殊有害幀的檢測，那么很多類(lèi)型的故障就會(huì )得以抑制。

　　生成樹(shù)

　　生成樹(shù)從產(chǎn)生時(shí)就是用來(lái)解決2層設備的拓撲問(wèn)題，接入層設備中大多數是2層設備。因為拓撲而產(chǎn)生的問(wèn)題大多可以得到解決。但是生成樹(shù)的拓撲計算又無(wú)形中給網(wǎng)絡(luò )設備增加了負擔，對于許多復雜組網(wǎng)環(huán)境鏈路頻繁變化以及使用N+1鏈路是否需要開(kāi)啟這個(gè)功能也是需要考慮的。如果開(kāi)啟生成樹(shù)，還會(huì )讓用戶(hù)接入時(shí)等待一段拓撲計算時(shí)間，即使這只需要幾十秒，也會(huì )給部分苛刻的用戶(hù)產(chǎn)生厭煩感。和這個(gè)功能類(lèi)似的問(wèn)題很多管理者都會(huì )遇到過(guò)。任何一個(gè)功能的存在都給我們帶來(lái)了雙面的效應。怎樣根據實(shí)際把握這種問(wèn)題，各種功能協(xié)議的選取確實(shí)是需要三思而后行。

　　QoS

　　網(wǎng)絡(luò )安全問(wèn)題并不只是要去面對設備丟失，病毒傳播，網(wǎng)絡(luò )攻擊。表面沒(méi)有發(fā)生故障的網(wǎng)絡(luò )已經(jīng)不能被現在的思想認為是安全的網(wǎng)絡(luò )。優(yōu)質(zhì)的服務(wù)已經(jīng)成為安全的一部份，所以我們還要提高服務(wù)，優(yōu)化網(wǎng)絡(luò )。服務(wù)質(zhì)量保證體系就是為了這一目的產(chǎn)生的，我們這里所說(shuō)的QoS也可以廣義一些，認為是一種保證服務(wù)質(zhì)量的方式。骨干網(wǎng)上對QoS的過(guò)多使用會(huì )給網(wǎng)絡(luò )運行帶來(lái)不必要的壓力，因為對字段的分析是需要運算的。因此一些QoS功能進(jìn)行下移是必要的，而有些又是需要每一層的支持。目前網(wǎng)絡(luò )資源有限，用戶(hù)對服務(wù)類(lèi)型的需求種類(lèi)繁多，網(wǎng)絡(luò )帶寬緊張。用戶(hù)業(yè)務(wù)在丟包，延遲，抖動(dòng)，帶寬搶占等環(huán)境危機中生存。這種情況下QoS的作用表現了出來(lái)，雖然不能完美的解決這些問(wèn)題，也算一些應對方案。針對不同的網(wǎng)絡(luò )環(huán)境需求制定優(yōu)先級策略也是解決目前網(wǎng)絡(luò )帶寬緊張的策略之一，而基于IP技術(shù)的QoS策略國際上也有多種標準。QoS在IPV4和IPV6中的字段也有很大區別，但是目的是沒(méi)有改變的，針對服務(wù)質(zhì)量的工作只會(huì )深入進(jìn)行。業(yè)務(wù)帶寬流量的分配，擁塞的管理和各種業(yè)務(wù)之間的分配比例都是發(fā)展中值得考慮的。就像電信業(yè)現在的發(fā)展一樣：目前90%以上的傳輸帶寬已經(jīng)被寬帶互聯(lián)網(wǎng)等業(yè)務(wù)占去，只剩下一點(diǎn)用來(lái)給傳統語(yǔ)音業(yè)務(wù)。即使這樣帶寬問(wèn)題似乎永遠得不到滿(mǎn)足，有時(shí)還是只能盡力而為。

　　例如：一企業(yè)有A、B、C、D四個(gè)點(diǎn)的局域網(wǎng)，經(jīng)過(guò)Internet廣域網(wǎng)相連分別使用10M出口帶寬，四個(gè)點(diǎn)之間有許多業(yè)務(wù)需要占用帶寬，辦公網(wǎng)交互數據、郵件、IP語(yǔ)音、視頻會(huì )議、文件下載、企業(yè)網(wǎng)站等。合理的分配帶寬，調度管理有限資源就顯得特別重要。為了滿(mǎn)足這種用戶(hù)的需求，通過(guò)類(lèi)似QoS的技術(shù)方式逐步解決有限資源的合理利用問(wèn)題，是邁向環(huán)保型信息社會(huì )的重要一步。事實(shí)上，很大一部分用戶(hù)都面臨了這種問(wèn)題，“盡力而為”不再會(huì )令用戶(hù)滿(mǎn)意。防火墻防火墻技術(shù)已經(jīng)成為了各大網(wǎng)絡(luò )業(yè)務(wù)服務(wù)商的護身符，可以說(shuō)是網(wǎng)絡(luò )安全界的成功案例。雖然防火墻市場(chǎng)正邁向規范化，大多個(gè)人用戶(hù)和中小企業(yè)還是無(wú)法支付昂貴的硬件防火墻費用。由于個(gè)人用戶(hù)，中小企業(yè)計算機使用人員水平參差不齊，也無(wú)法自己做好自己的保護工作。我們可以利用防火墻思想，利用現有的設備來(lái)完成一些防火墻功能為用戶(hù)提供更加安全可靠的保障。防火墻的主要功能就是隔離，它使得內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )或Internet互相隔離，以此來(lái)保護內部網(wǎng)絡(luò )或主機。

　　利用Router或Switch的ACL(accesscontrollist)來(lái)充當部分防火墻功能，甚至利用子網(wǎng)的劃分來(lái)實(shí)現。這就是合理利用有限的資源，借鑒成功的模型，以達到相應的效果。而且即使再面對新一代技術(shù)也有辦法來(lái)解決。目前訪(fǎng)問(wèn)控制技術(shù)已經(jīng)在接入層得到廣泛的支持，很多接入層設備都可以實(shí)現一些類(lèi)似功能。不同的接入設備對ACL功能的支持也有所不同。所以針對不同用戶(hù)使用特色，配置有針對性地ACL給用戶(hù)提供保護，這樣就可以有效防御很多安全問(wèn)題。

　　任務(wù)調度

　　任務(wù)調度是解決管理維護人員需求，從而更好的實(shí)現對用戶(hù)任務(wù)管理的功能?；救蝿?wù)調度功能是實(shí)現周期性有規律操作的需求。利用任務(wù)調度可以有效地解放維護管理人員勞動(dòng)力，完成頻繁乏味的操作管理任務(wù)。

　　基本任務(wù)調度一般分為兩個(gè)部分：任務(wù)調度觸發(fā)點(diǎn)，任務(wù)調度執行事件。任務(wù)調度觸發(fā)點(diǎn)可以是時(shí)間，周期，獨立參數數值等等。如果達到預期觸發(fā)點(diǎn)，就執行任務(wù)調度事件。任務(wù)調度的靈活性取決于設備對觸發(fā)點(diǎn)的支持，多樣可靠的觸發(fā)點(diǎn)是任務(wù)調度實(shí)施的基礎。在實(shí)際當中，大多數情況還是使用基于時(shí)間，周期的任務(wù)調度觸發(fā)點(diǎn)。按照時(shí)間標準來(lái)觸發(fā)任務(wù)，這時(shí)就需要一個(gè)準確的時(shí)間標準；可以單獨調度一個(gè)任務(wù)來(lái)按周期同步時(shí)間保證觸發(fā)點(diǎn)的可靠。觸發(fā)執行的任務(wù)事件理論上說(shuō)可以是等于管理員操作的任何事件。通過(guò)時(shí)間和事件的結合來(lái)完成工作。利用好任務(wù)調度來(lái)完成工作，是一項經(jīng)濟實(shí)用的管理方式。

　　集中管理手段最重要

　　有點(diǎn)網(wǎng)絡(luò )規模的地區就會(huì )深深體會(huì )到集中管理的重要性。集中管理，集中監控也正是用來(lái)主動(dòng)對抗網(wǎng)絡(luò )突發(fā)事件的有效手段。事實(shí)證明只針對核心層，匯聚層的網(wǎng)管已經(jīng)無(wú)法滿(mǎn)足網(wǎng)絡(luò )維護的需求。網(wǎng)絡(luò )的發(fā)展需要管理的更加具體，需要更加及時(shí)準確地信息。有些地區甚至需要管理到用戶(hù)家里的終端。

　　雖然目前大多地區的網(wǎng)管員有80%以上的時(shí)間是用在了日常操作，沒(méi)有時(shí)間進(jìn)行主動(dòng)管理；但是越來(lái)越多的地區開(kāi)始廣泛利用集中管理的技術(shù)，主動(dòng)管理工作將占更大的比重。

　　將網(wǎng)絡(luò )設備接入安全控制和用戶(hù)接入行為管理結合，加強對用戶(hù)終端的集中控制管理，能夠提高網(wǎng)絡(luò )的主動(dòng)抵抗能力。同時(shí)結合防火墻功能和核心網(wǎng)絡(luò )安全策略，就可以提供端到端的安全解決方案，有效提高網(wǎng)絡(luò )安全能力。