七層交換和網(wǎng)絡(luò)安全設(shè)備講座

網(wǎng)絡(luò)前沿技術(shù)講座之四

四、七層交換和網(wǎng)絡(luò)安全設(shè)備概念四－七層交換對應(yīng)OSI模型的第四層到第七層四層交換對應(yīng)TCP或UDP交換七層對應(yīng)應(yīng)用交換第四層交換第四層交換機(jī)不僅可以完成端到端交換，還能根據(jù)端口主機(jī)的應(yīng)用特點(diǎn)，確定或限制它的交換流量。簡單地說，第四層交換機(jī)是基于傳輸層數(shù)據(jù)包的交換過程的，是一類基于TCP/IP協(xié)議應(yīng)用層的用戶應(yīng)用交換需求的新型局域網(wǎng)交換機(jī)。第四層交換機(jī)支持TCP/UDP第四層以下的所有協(xié)議，可識(shí)別至少80個(gè)字節(jié)的數(shù)據(jù)包包頭長度，可根據(jù)TCP/UDP端口號來區(qū)分?jǐn)?shù)據(jù)包的應(yīng)用類型，從而實(shí)現(xiàn)應(yīng)用層的訪問控制和服務(wù)質(zhì)量保證。與其說第四層交換機(jī)是硬件網(wǎng)絡(luò)設(shè)備，還不如說它是軟件網(wǎng)絡(luò)管理系統(tǒng)。也就是說，第四層交換機(jī)是一類以軟件技術(shù)為主，以硬件技術(shù)為輔的網(wǎng)絡(luò)管理交換設(shè)備。第四層交換的作用包過濾/安全控制在大多數(shù)路由器上，采用第四層信息去定義過濾規(guī)則已經(jīng)成為默認(rèn)標(biāo)準(zhǔn)，所以有許多路由器被用作包過濾防火墻，在這種防火墻上不僅能夠配置允許或禁止IP子網(wǎng)間的連接，還可以控制指定TCP/UDP端口的通信。和傳統(tǒng)的基于軟件的路由器不一樣，第四層交換區(qū)別于第三層交換的主要不同之處，就是在于這種過濾能力是在ASIC專用高速芯片中實(shí)現(xiàn)的，從而使這種安全過濾控制機(jī)制可以全線速地進(jìn)行，極大地提高了包過濾速率。第四層交換的作用服務(wù)質(zhì)量在網(wǎng)絡(luò)系統(tǒng)的層次結(jié)構(gòu)中，TCP/UDP第四層信息，往往用于建立應(yīng)用級通信優(yōu)先權(quán)限。如果沒有第四層交換概念，服務(wù)質(zhì)量/服務(wù)級別就必然受制于第二層和第三層提供的信息，例如MAC地址，交換端口，IP子網(wǎng)或VLAN等。顯然，在信息通信中，因缺乏第四層信息而受到妨礙時(shí)，緊急應(yīng)用的優(yōu)先權(quán)就無從談起，這將大大阻止緊急應(yīng)用在網(wǎng)絡(luò)上的迅速傳輸。第四層交換機(jī)允許用基于目的地址、目的端口號（應(yīng)用服務(wù)）的組合來區(qū)分優(yōu)先級，于是緊急應(yīng)用就可以獲得網(wǎng)絡(luò)的高級別服務(wù)。第四層交換的作用服務(wù)器負(fù)載均衡在相似服務(wù)內(nèi)容的多臺(tái)服務(wù)器間提供平衡流量負(fù)載支持時(shí)，第四層信息是至關(guān)重要的。因此，第四層交換機(jī)在核心網(wǎng)絡(luò)系統(tǒng)中，擔(dān)負(fù)服務(wù)器間負(fù)載均衡是一項(xiàng)非常重要的應(yīng)用。第四層交換機(jī)所支持的服務(wù)器負(fù)載均衡方式，是將附加有負(fù)載均衡服務(wù)的IP地址，通過不同的物理服務(wù)器組成一個(gè)集，共同提供相同的服務(wù)，并將其定義為一個(gè)單獨(dú)的虛擬服務(wù)器。這個(gè)虛擬服務(wù)器是一個(gè)有單獨(dú)IP地址的邏輯服務(wù)器，用戶數(shù)據(jù)流只需指向虛擬服務(wù)器的IP地址，而不直接和物理服務(wù)器的真實(shí)IP地址進(jìn)行通信。只有通過交換機(jī)執(zhí)行的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）后，未被注冊IP地址的服務(wù)器才能獲得被訪問的能力。這種定義虛擬服務(wù)器的另一好處是，在隱藏服務(wù)器的實(shí)際IP地址后，可以有效地防止非授權(quán)訪問。第四層交換的作用主機(jī)備用連接主機(jī)備用連接為端口設(shè)備提供了冗余連接，從而在交換機(jī)發(fā)生故障時(shí)有效保護(hù)系統(tǒng)，這種服務(wù)允許定義主備交換機(jī)，同虛擬服務(wù)器定義一樣，它們有相同的配置參數(shù)。由于第四層交換機(jī)共享相同的MAC地址，備份交換機(jī)接收和主單元全部一樣的數(shù)據(jù)。這使得備份交換機(jī)能夠監(jiān)視主交換機(jī)服務(wù)的通信內(nèi)容。主交換機(jī)持續(xù)地通知備份交換機(jī)第四層的有關(guān)數(shù)據(jù)、MAC數(shù)據(jù)以及它的電源狀況。主交換機(jī)失敗時(shí)，備份交換機(jī)就會(huì)自動(dòng)接管，不會(huì)中斷對話或連接。第四層交換的作用統(tǒng)計(jì)和通信監(jiān)測通過查詢第四層數(shù)據(jù)包，第四層交換機(jī)能夠提供更詳細(xì)的統(tǒng)計(jì)記錄。因?yàn)楣芾韱T可以收集到更詳細(xì)的哪一個(gè)IP地址在進(jìn)行通信的信息，甚至可根據(jù)通信中涉及到哪一個(gè)應(yīng)用層服務(wù)來收集通信信息。當(dāng)服務(wù)器支持多個(gè)服務(wù)時(shí)，這些統(tǒng)計(jì)對于考察服務(wù)器上每個(gè)應(yīng)用的負(fù)載尤其有效。增加的統(tǒng)計(jì)服務(wù)對于使用交換機(jī)的服務(wù)器負(fù)載平衡服務(wù)連接同樣十分有用。第七層交換應(yīng)用層交換HTTPHTTPSFTP……對所有傳輸流和內(nèi)容的控制由于可以自由地完全打開傳輸流的應(yīng)用／表示層，仔細(xì)分析其中的內(nèi)容，因此可以根據(jù)應(yīng)用的類型而非僅僅根據(jù)IP和端口號做出更智能的負(fù)載均衡決定。多層交換應(yīng)用服務(wù)器負(fù)載均衡鏈路負(fù)載均衡內(nèi)容控制WEBCACHEIPS入侵防御統(tǒng)計(jì)和審計(jì)負(fù)載均衡四層交換機(jī)收到用戶請求利用實(shí)時(shí)的健康信息和性能信息選擇最佳的服務(wù)器充分地同時(shí)利用所有可用的服務(wù)器在服務(wù)器間智能分配流量IP網(wǎng)絡(luò)應(yīng)用服務(wù)器四層交換機(jī)用戶負(fù)載均衡的原理IPNetworkLoadBalancerClients000VIP=ClientMessageSourceIP=ClientIPDestinationIP=LoadBalancerVIPSourceIP=ClientIPDestinationIP=0GWIP=DefaultGateway=LoadBalancerIP私有和安全的服務(wù)器IP用戶訪問負(fù)載均衡器VIP負(fù)載均衡器執(zhí)行NATVIP=虛擬IP硬件負(fù)載均衡和軟件負(fù)載均衡對比關(guān)鍵特點(diǎn)4-7層交換機(jī)基于PC的負(fù)載均衡注釋模塊熱插拔YESNO冗余電源YES部分端口擴(kuò)展性YESNO性能可升級性YESNOPC平臺(tái)需要徹底更換安全可靠的操作系統(tǒng)YESNOUnix操作系統(tǒng)安全可靠性較低萬兆支持YESNOPC無法支持萬兆吞吐網(wǎng)絡(luò)設(shè)計(jì)靈活性YESNOPC不適用于網(wǎng)絡(luò)核心的串聯(lián)設(shè)計(jì)直接連接服務(wù)器YESNOPC端口少線速ACLs和流量監(jiān)控YESNO是否內(nèi)置硬盤NO部分高可靠性網(wǎng)絡(luò)設(shè)備不應(yīng)該含有轉(zhuǎn)動(dòng)存儲(chǔ)設(shè)備統(tǒng)計(jì)應(yīng)用：服務(wù)器健康檢查周期性向服務(wù)器發(fā)送健康檢查檢查失敗時(shí)，服務(wù)器和應(yīng)用從服務(wù)均衡列表中移除可定制健康檢查2/3層(ARP,Ping)4層(TCPconnectionsandUDPmessages)7層(HTTP,ApplicationSpecific,SSL,Scripted)LoadBalancerRequestResponseServertakenoutofserviceRequest會(huì)話保持IPNetworkLoadBalancerClients交易涉及多個(gè)TCP連接或UDP會(huì)話需要同一臺(tái)服務(wù)器處理所有連接按“交易”負(fù)載均衡ConnectiontoBrowseBook11ConnectiontoAddBook1toCart2ConnectiontoBrowseBook23ConnectiontoAddBook2toCart4ConnectiontoCheckoutCart512345Transactionpersistencemaintained會(huì)話保持機(jī)制4層TCP連接保持SourceIP&port,DestinationIP&port7層Cookie交換Cookie被插入在HTTP數(shù)據(jù)中具有相同cookie的所有請求被交換到同一臺(tái)服務(wù)器服務(wù)器不插入Cookie時(shí)，負(fù)載均衡器可以插入cookiesSSLSessionID交換UDP會(huì)話保持SourceIP&port,DestinationIP&portInactivitytimeoutusedtoagesessions負(fù)載均衡高可用性兩種高可用性模式Active-Standby(一主一備)Active-Active(負(fù)載分擔(dān))狀態(tài)保留的會(huì)話切換保持活動(dòng)會(huì)話，改善用戶性能體驗(yàn)對應(yīng)用和用戶全透明GSLB提供站點(diǎn)級保護(hù)IPNetworkLoadBalancersClientsAB防火墻負(fù)載均衡RouterInternalNetworkInternetSecure,ProtectedNetworkFirewallFirewallFirewallLoadBalancer多臺(tái)防火墻負(fù)載均衡以改善性能和提升擴(kuò)展性防火墻失敗時(shí)透明切換在防火墻資源耗盡時(shí)保護(hù)網(wǎng)絡(luò)和服務(wù)器ISP鏈路負(fù)載均衡充分的同時(shí)利用所有可用的ISP鏈路智能地均衡流量，達(dá)到最優(yōu)的利用率針對ISP不同價(jià)格和服務(wù)靈活制定策略匯聚多條低速鏈路成為一條虛擬的高速鏈路EnterpriseNetworkRouter#1Router#2Router#3InternetISP1ISP2ISP3LoadBalancer透明緩存交換－服務(wù)器加速透明重定向流量到緩存在緩存間負(fù)載均衡可接受單臺(tái)緩存失敗如所有緩存失敗，流量被送往服務(wù)器WebServerFarmCacheStaticcontentDynamicContent透明緩存交換－互聯(lián)網(wǎng)加速對緩存進(jìn)行健康檢查透明重定向流量至緩存在多臺(tái)緩存間負(fù)載均衡一臺(tái)緩存失敗時(shí)，可透明切換所有緩存失敗時(shí)，流量被直接轉(zhuǎn)發(fā)到源服務(wù)器Cache緩存內(nèi)容至源服務(wù)器Internet內(nèi)容交換避免在所有服務(wù)器上復(fù)制相同內(nèi)容增加整體服務(wù)器利用率和響應(yīng)時(shí)間使用URL和HTTP頭內(nèi)容選擇最佳服務(wù)器URLfull,prefixandsuffixmatchBrowsertype,devicetypeandlanguagecodeIPNetworkServersforEnglishJapaneseClientsEnglishClientsServersforJapaneseHTTPLanguageCode=EnglishHTTPLanguageCode=JapaneseIPHdrTCPHdrHTTPHdrLanguageCode/home./*.htmURLSwitch七層交換－URL交換控制/movies/songs/products/products/supportABCDEServer Content根據(jù)前綴,后綴或匹配模式定義規(guī)則高達(dá)256條URL規(guī)則，URL長度無限制支持URL散列:對URL通過散列法選擇服務(wù)器保證同一URL訪問在同一服務(wù)器InternetServerIronXL七層交換－差別客戶內(nèi)容控制IPNetworkPremiumServersNormalServersPremiumClientsNormalClients用戶分類并提供差別服務(wù)定制化性能和響應(yīng)時(shí)間以滿足不同客戶需求區(qū)分客戶Cookies和其他7層信息源IP地址四－七層控制：保障服務(wù)器安全防DoS攻擊，連接代理保護(hù)服務(wù)器免受攻擊超級的防攻擊性能14.88MillionSYN/sec地址翻譯保證內(nèi)部網(wǎng)絡(luò)安全全面的IronShieldTM

安全特性集TransactionRateLimiting,ConnectionRateLimitingandAcessControlListsSYN-DefenseTMandSYN-GuardTMTCPSYNTCPSYNACK–SpecialSEQGoodClientBadClientTCPACK–SpecialSEQCompleteConnectionTCPSYNTCPSYNACK–SpecialSEQBADTCPACK–SpecialSEQNOConnectionFoundryServerIron監(jiān)控、統(tǒng)計(jì)和計(jì)費(fèi)基于RFC3176的sFlow流量監(jiān)控統(tǒng)計(jì)實(shí)時(shí)監(jiān)控client/ServerIron，server/ServerIron間流量，提供詳細(xì)統(tǒng)計(jì)報(bào)告不影響性能的前提下度量應(yīng)用可用性、ToS、鏈路利用率以及其它參數(shù)識(shí)別DoS攻擊INM四、七層市場演化智能DeepContentScanSLBTCSFWLBGSLBDOSSecurityApplicationServicesandIntegrationCookieURLApplicationSecurityBladeServerFarmsXMLEnterpriseAppsVirusWormFiltering安全D-DOSSecurityDNSSecuritySSLID擴(kuò)展性高可用性SSLAcceleration時(shí)間4-7層市場趨勢安全、擴(kuò)展性、和高可用性高速的防D-DoS攻擊新型DDoS攻擊要求能夠?qū)ν话l(fā)的泉涌式攻擊進(jìn)行保護(hù)DNS成為新的攻擊弱點(diǎn)和網(wǎng)絡(luò)瓶頸跨數(shù)據(jù)中心的無縫冗余容災(zāi)，擴(kuò)展性和Non-stop功能高端口密度滿足服務(wù)器數(shù)量擴(kuò)展高吞吐量應(yīng)用內(nèi)容豐富的多媒體應(yīng)用要求增加服務(wù)器能力服務(wù)器千兆銅線需要萬兆上連需要端口、帶寬可擴(kuò)展的高可用平臺(tái)第二節(jié)網(wǎng)絡(luò)安全設(shè)備IDS和IPSIDS:入侵監(jiān)測系統(tǒng)IPS:入侵防護(hù)系統(tǒng)安全事件類型統(tǒng)計(jì)2005病毒事件非授權(quán)訪問私有信息竊取拒絕服務(wù)攻擊內(nèi)部網(wǎng)絡(luò)的濫用電腦盜竊電信欺詐公共web應(yīng)用的濫用無線網(wǎng)絡(luò)的濫用金融欺詐系統(tǒng)滲透怠工、蓄意破壞Web頁面替換燃眉之急有哪些？

周末去郊游，沒想到周一早晨一來，網(wǎng)絡(luò)癱瘓了，原來是沒及時(shí)安裝周末剛發(fā)布的一個(gè)安全補(bǔ)丁，真是個(gè)“黑色星期一”；

蠕蟲病毒爆發(fā)，造成網(wǎng)絡(luò)癱瘓，無法網(wǎng)上辦公，郵件收不了，網(wǎng)頁打不開；

有員工使用BT、電驢等P2P下載電影或MP3，造成上網(wǎng)速度奇慢無比；

有員工沉迷在QQ或MSN上聊天，或者玩?zhèn)髌?、魔獸等網(wǎng)絡(luò)游戲，或者看在線視頻，不專心工作，無法有效控制；

電腦被人破壞，公司機(jī)密資料被人放在網(wǎng)上，原來都是間諜軟件搞的鬼；防火墻的局限一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。兩個(gè)安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為IDSIDSIDS在網(wǎng)絡(luò)骨干上形成接收網(wǎng)絡(luò)鏡像傳輸數(shù)據(jù)并進(jìn)行分析IPSIPSIPSIPS部署在流量流經(jīng)關(guān)卡，對流量進(jìn)行檢測，如果發(fā)現(xiàn)數(shù)據(jù)風(fēng)險(xiǎn)，當(dāng)即將風(fēng)險(xiǎn)化解IPS與相關(guān)產(chǎn)品的區(qū)別IPS與IDSIDS側(cè)重網(wǎng)絡(luò)監(jiān)控，注重安全審計(jì)IPS側(cè)重訪問控制，注重主動(dòng)防御配合使用，優(yōu)勢互補(bǔ)NIPS防火墻模塊是原有防火墻的一個(gè)補(bǔ)充兩級過濾，防火墻負(fù)責(zé)靜態(tài)規(guī)則，NIPS負(fù)責(zé)動(dòng)態(tài)規(guī)則，相互配合，靈活方便不能完全替代單獨(dú)的防火墻產(chǎn)品傳統(tǒng)防火墻功能更為強(qiáng)大，訪問控制力度細(xì)，NAT，IPSec，認(rèn)證…NIPS與防火墻IPS與IDS綠盟-冰之眼產(chǎn)品架構(gòu)網(wǎng)絡(luò)引擎控制臺(tái)升級站點(diǎn)三大組件控制臺(tái)探測器升級站點(diǎn)網(wǎng)絡(luò)引擎IDS/IPS產(chǎn)品功能攻擊防護(hù)防御黑客攻擊防御蠕蟲、網(wǎng)絡(luò)病毒防御拒絕服務(wù)攻擊防御間諜軟件管理控制控制IM即時(shí)通訊控制P2P下載控制網(wǎng)絡(luò)在線游戲控制在線視頻IPS部署模式DDOS拒絕服務(wù)攻擊者以消耗WEB資源為主，以至于不能向合法的用戶提供服務(wù)。攻擊者也可以使用戶帳號鎖定，導(dǎo)致整個(gè)應(yīng)用不能運(yùn)行。按照攻擊方式可以分為：資源消耗、服務(wù)中止和物理破壞。其中資源消耗是指攻擊者試圖消耗目標(biāo)的合法資源，例如：網(wǎng)絡(luò)帶寬、CPU、內(nèi)存使用率等等。通常，網(wǎng)絡(luò)層的拒絕服務(wù)攻擊是利用網(wǎng)絡(luò)協(xié)議的漏洞，或者搶占網(wǎng)絡(luò)設(shè)備有限的處理能力，造成網(wǎng)絡(luò)或者服務(wù)的癱瘓。DDoS攻擊變得越來越普遍有意識(shí)的攻擊Yahoo、ebay等網(wǎng)站被拒絕服務(wù)攻擊，累計(jì)損失12億美元2001年CERT被拒絕服務(wù)攻擊2002年Microsoft被DDoS攻擊，造成約5000萬美元損失2002年CNNIC被拒絕服務(wù)攻擊2003年全球13臺(tái)根DNS中有8臺(tái)被大規(guī)模拒絕服務(wù)有組織、有預(yù)謀的涉及金錢利益的拒絕攻擊出現(xiàn)溯本歸原PK攻擊分析圖ReflectorDdosAttackamplification

networkReflectorsRiAttack