支持联网基础设施与保护用户和服务的安全常是互补的任务。将路由和安全基础设施与具有策略意识的控制机制结合在一起，可帮助服务供应商设置利润丰厚的服务，同时保护网络安全。关于实现上述目标的战略和建议，请参见Juniper 网络公司面向供应商网络安全的“超人法则”。

    对于金融服务、电子商务、交通运输和能源等行业的公司来说，保证网络全天候的正常运行变得越来越重要。大多数企业都与服务供应商签订了服务水平协议，让服务供应商为亏损买单。随着基于botnet的分布式拒绝服务（DDoS）攻击等安全威胁手段日益高明、次数日益频繁，迫使服务供应商必须预防、监视并最终牵制这些攻击对客户及自己的基础设施的影响。

    说到保护网络基础设施安全，服务供应商如果能够借鉴“超人法则”中提供的战术，定将受益匪浅。具体说：

    · 尽量隐藏自己 
    · 如果不能隐藏自己，则力求别人无法接触自己 
    · 如果不能阻止别人接触自己，则尽量保持别人无法参透自己 
    · 始终警惕表象上的好人和坏人 

    如想实施这些战术，服务供应商的基础设施设备必须能够以线速过滤数万个实体传输的数据包，并能够在攻击期间通过灵活的链接和分配技术动态增加和传播这些过滤器。供应商还需要路由器的控制面板和数据面板同时提供流量整形功能，包括对流量进行限速以及将流量放置到优先级队列中。最后，操作人员需要安全套件来实现网络策略层的自动化流程，以帮助动态牵制威胁。专业化的服务厂商和路由软件都能为服务供应商提供具备这些功能的工具。 

    尽量隐藏自己

    在服务供应商的网络中，路由器和网络是操作人员提供安全保护所需的基本IP基础设施。除极少数系统因法律原因无法向路由器发送流量外，几乎所有系统都将流量发送到路由器中。网络安全经理可通过数据包过滤器只允许合法用户向路由器的控制面板发送流量，从而将路由器隐藏起来。

    大多数的过滤工作都是在入口和出口处完成的，但是，为了尽量靠近源头阻断攻击，服务供应商有时必须在所有核心路由器、汇聚路由器和客户端设备的入口处端到端地实施过滤器。这些路由器必须能够支持数据包过滤器，同时以线速处理流量，以便为服务供应商开展工作提供足够的数据包转发灵活性。

    网络经理必须在这些过滤器上穿孔，以便允许有效流量进入路由器。网络管理站、直接联网的主机、同一个子网上的服务器、内部路由器以及用作外部边界网关协议 （EBGP） 对等体的外部路由器，都是需要接入网络路由器的合法设备。

上一页 [1] [2] [3] 下一页