如何供应商网络安全的“超

　　支持联网基础设施与用户和服务的安全常是互补的任务。将由和安全基础设施与具有策略意识的控制机制结合在一起，可帮助服务供应商设置利润丰厚的服务，同时网络安全。关于实现上述目标的战略和，请参见Juniper网络公司面向供应商网络安全的“超人”。

　　怎么通过路由器限速对于金融服务、电子商务、交通运输和能源等行业的公司来说，网络全天候的正常运行变得越来越重要。大多数企业都与服务供应商签订了服务水平协议，让服务供应商为亏损买单。随着基于botnet的分布式服务（DDoS）等安全手段日益高明、次数日益频繁，服务供应商必须预防、并最终牵制这些对客户及自己的基础设施的影响。

　　说到网络基础设施安全，服务供应商如果能够借鉴“超人”中提供的战术，定将受益匪浅。具体说：

　　・尽量隐藏自己

　　・始终上的和

　　如想实施这些战术，服务供应商的基础设施设备必须能够以线速过滤数万个实体传输的数据包，并能够在期间通过灵活的链接和分配技术动态增加和这些过滤器。供应商还需要由器的控制面板和数据面板同时提供流量整形功能，包括对流量进行限速以及将流量放置到优先级队列中。最后，操作人员需要安全套件来实现网络策略层的自动化流程，以帮助动态牵制。专业化的服务厂商和由软件都能为服务供应商提供具备这些功能的工具。

　　尽量隐藏自己

　　在服务供应商的网络中，由器和网络是操作人员提供安全所需的基本IP基础设施。除极少数系统因法律原因无法向由器发送流量外，几乎所有系统都将流量发送到由器中。网络安全经理可通过数据包过滤器只允许用户向由器的控制面板发送流量，从而将由器隐藏起来。

　　大多数的过滤工作都是在入口和出口处完成的，但是，为了尽量靠近源头阻断，服务供应商有时必须在所有核心由器、汇聚由器和客户端设备的入口处端到端地实施过滤器。这些由器必须能够支持数据包过滤器，同时以线速处理流量，以便为服务供应商开展工作提供足够的数据包转发灵活性。

　　网络经理必须在这些过滤器上穿孔，以便允许有效流量进入由器。网络管理站、直接联网的主机、同一个子网上的服务器、内部由器以及用作外部边界网关协议（EBGP）对等体的外部由器，都是需要接入网络由器的设备。

　　如果不能隐藏自己，则力求别人无法接触自己

　　当然，基础设施也存在大量的用户。例如，多协议标签交换（MPLS）客户边缘（CE）由器必须与供应商边缘（PE）由器交谈。同样，您必须将直接联网的设备之间传输的网间控制报文协议（ICMP）流量传输到网络中任何由器的控制面板中。如果无法通过过滤器实施接入策略，网络经理可使用流量整形和限速等机制来牵制的影响力，以防利用有效的由器间通信技术。

　　入站ICMP流量增长速度异常是DoS来临的第一个信号。为了牵制的影响力，操作人员必须对ICMP流量实施限速，由器丢弃超限流量。这种做法可大幅度减少穿过网络的恶意ICMP流量。限速意味着存在的用户使用网络或完全来自存在安全的网络的用户访问某些网站，直到停止。然而，限速最重要的目的是网络的其他部分。

　　限速并不是网络经理用于网络不被接触的唯一工具。状态过滤器可阻断通过IP地址或端口地址拦截发动的TCPSYN泛滥和TCPzombies，并BGP会话（和网络）不受被感染主机的影响，从而使网络免遭恶意流量的。此外，通过单播逆向径转发（uRPF）等技术对源地址进行验证也是遏制的有效手段。

　　如果不能别人接触自己，则尽量保持别人无法参透自己

　　如果不想让别人参透自己的网络，网络经理必须实施RFC3871中面向网络管理的最佳业务实践，即“确保大型ISPIP网络基础设施运行安全的业务实践”。首先，网络经理必须改掉将制造商全称或简称用作由器登录密码的习惯，而应使用一次性密码。此外，无论对逻辑还是物理网络，通过应用适当类型的服务或过滤机制来实施带外管理也很重要。另一个有效的最佳业务实践是使用MD5等验证机制将恶意流量遏制在控制面板上。

　　如想构建高效的安全运营团队，服务供应商需要去挖掘深入了解内部网关协议、BGP和入侵检测与防护技术的高素质人才。接下来，运营商应基于这个团队的网络安全原则来定义、记录并实施安全策略。运营商还应提供热线服务，以便客户和供应商了解当他们遇到时该与谁联系。最重要的是，服务供应商应进行一些演练，考察自己对各类的响应能力。

　　始终上的和

　　服务器和最终用户计算机的安全生来不如由器。由器控制面板只拥有几名用户，而许多人都能设法接入服务器。服务器操作系统的安全漏洞也比由器操作系统多很多。Web浏览和电子邮件允许最终用户采取大量措施来响应请求，因此难以安全的。

　　如果没有支持线速过滤和灵活更新的由器，许多供应商及其客户将继续使用基于目的地进行过滤等陈旧技术，实际上通过断开服务器或站点的网络连接而成就了DDoS。如果服务供应商能够带领客户远离这些片面的解决方案，将很快成为客户值得信赖的顾问。

　　这对服务供应商来说的确是一个好消息。为了防止故障停机并确保交易安全，公司迫切希望利用安全服务来确保服务连续性。Juniper业务部署系统（SDX）等安装在网络运行中心（NOC）具有策略意识的系统，如果与由器上的入侵检测与防护系统和实时分析系统相集成，将能够通过对重大事件进行审计而为企业提供所需的服务。当系统识别出时，BGP防火墙过滤器等先进的牵制技术能够跨越多个网络快速阻断。高吞吐量安全防火墙网关等其他可管理的服务或CPE转售产品也能够为客户创造截然不同的安全体验，如Juniper网络公司面向分支办事处的安全业务网关（SSG）。

　　采用长期的战略方法

　　安全是长期问题，服务供应商应制订长期战略来解决安全问题。要求如下：

　　・通过灵活的过滤器选项提供线速数据包过滤

　　・在更高级别的控制层和IP基础设施中实施策略工具

　　只有Juniper网络公司能够为服务供应商提供涉及到所有网元的全面的功能套件。关于您在网络安全时还需考虑哪些问题，请下载我们的《供应商网的安全：数据包过滤器、流量整形及相关最佳实践》，以便详细了解本文讨论的技术，您还可发现网络可靠性和互操作性理事会（NRIC）以及网络运营商联盟（NANOG）在其网站上提供的相关资料。