由于计算机网络体系结构的复杂性及其开放性等特征,使得网络设备及数据的稳定传输成为影响网络正常运行的重要问题。分析当前网络设备受到的攻击主要表现之一:大量攻击报文砸向CPU,占用了整个送CPU的报文通路的带宽,严重消耗内存资源等,导致正常报文无法得到处理,进而影响整个网络的正常运行。
目前业界已开发了一些用于防攻击的功能模块(比如:ACL①、QOS①、CPU保护等等),通过这些功能模块自行建立攻击检测和业务保护的机制,并提供对外的管理接口。但实现得不够系统,解决问题单一,在体系上没有统一的框架。从现有的数据帧实现的流程来看,缺乏从流的主干上考虑实施防攻击保护。为此,我司致力开发出一套完整的网络基础保护体系,称之为网络基础保护策略(Network Foundation Protection Policy),简称NFPP。NFPP技术主要对设备本身实施保护,通过对报文流进行检测、限速、隔离,以保证设备及网络可靠、安全、有效地运行。
交换机的功能在逻辑上可以划分为三个层面:数据面、管理面、控制面。
数据面(Data Plane):数据面是负责转发处理各种类型的数据,对交换机的性能表现起决定作用。
控制面(Control Plane):控制面负责控制和管理所有网络协议的运行,它通过网络协议提供给交换机对整个网络环境中网络设备、连接链路和交互状态的准确了解,并在网络状况发生改变时做出及时的调整以维护网络的正常运行。
管理面(Management Plane):管理面是提供给网络管理人员,使其能够以多种管理方式来管理设备,并支持、理解和执行管理人员对于网络设备各种网络协议的设置操作。
针对交换机设备而言,数据的路由和交换过程主要由硬件来完成,而CPU主要对控制流、管理流和部分硬件无法处理的数据流进行处理,并同时提供交互界面供用户进行本地管理配置。
NFPP技术就是从数据面、管理面、控制面对交换机实施保护,具体来说就是对送CPU的控制流、管理流、数据流三种报文进行攻击检测并采取相应保护措施。
攻击检测的技术:对攻击的检测技术主要是通过将具体报文流的数量、报文特定字段的内容以及来源根据预设定的条件进行判断,或者输出报告信息,由用户进行判断处理。
实施保护的技术:NFPP针对检测到的攻击流主要采取主动保护和被动保护措施。
主动保护的技术主要是对操作对象制定某些操作行为约束,按照该约束就尽可能的避免被攻击。
被动保护的技术主要是对攻击源进行抑制,抑制的方式包括拒绝、限速、隔离。
保护技术还可以分为软件保护和硬件保护两类,硬件保护在前,软件保护在后。硬件保护可以使软件保护在尽量少占用资源的情况下更高效的执行,而软件保护可以弥补硬件保护的不足,使保护策略更加细化,更加灵活。他们是一种相辅相成的关系。
NFPP检测、保护的过程
a) NFPP首先检测出报文攻击,然后通过手动或自动的方式实施保护。检测可以通过设备提供数据信息进行人为判断,当判断为攻击时将实施手动保护配置;也可以通过设备本身进行智能判断,而后自动的实施保护配置。对于智能判断以及自动实施保护配置的方式,能够支持用户预配置并按照用户的意愿自动进行。
b) 所有的保护如果通过一个设备来进行,显然不是最明智的。对于一个网络而言,需要从接入设备、汇聚设备、核心设备共同进行协作来完成保护功能。为了实现跨设备间的协作保护,这就需要设备间通过某种协议进行交互来达到传递攻击信息和实施保护。在这个过程中往往需要设备之间提供一个安全管理平台来辅助完成。
c) 对比上述的被动保护,主动保护过程相对比较简单。主动保护往往是设备启动服务之前就已经启动了。约束的条件或者方法允许用户在设备启动服务前进行配置。
结束语:如今,除了用户身份的安全、数据的安全之外,网络设备的安全也日益成为业界关注的焦点,锐捷网络自研的NFPP技术是目前业界支持基础安全保护策略 ,可实现对各种网络攻击的自动防御。锐捷网络汇聚交换机RG-S5750E系列凭借其自身的技术优势,可全面支持锐捷网络NFPP技术,满足用户对网络设备安全的需要。
①ACL:Access Control List,访问控制列表
②QoS:Quality of Service,服务质量