把好網(wǎng)絡(luò)安全第一關(guān)

朱　杰

網(wǎng)絡(luò)設(shè)備操作系統(tǒng)較量（二）

提起網(wǎng)絡(luò)安全，我們會(huì)想到的是防火墻、病毒和黑客的攻擊，然而路由器、交換機(jī)作為網(wǎng)絡(luò)中最重要的組成部分，它們的安全性能是提高網(wǎng)絡(luò)自身免疫能力的一個(gè)重要標(biāo)尺。對(duì)于黑客來(lái)說(shuō)，通常會(huì)利用交換路由設(shè)備軟件系統(tǒng)的漏洞發(fā)起攻擊，誤導(dǎo)信息流量，使網(wǎng)絡(luò)陷于癱瘓。因此，是否具有完善的安全機(jī)制，成為了衡量網(wǎng)絡(luò)設(shè)備操作系統(tǒng)優(yōu)劣的重要標(biāo)準(zhǔn)。

網(wǎng)絡(luò)自身的安全需求

隨著信息化建設(shè)的發(fā)展，下一代互聯(lián)網(wǎng)服務(wù)的需求迫在眉睫，傳統(tǒng)路由器及其操作系統(tǒng)已不能駕輕就熟地去解決網(wǎng)絡(luò)所面臨的所有問(wèn)題。原先的網(wǎng)絡(luò)大多是針對(duì)某一種服務(wù)或者一組類型的服務(wù)而設(shè)計(jì)，因而靈活性非常低，也無(wú)法提供客戶所需要的高集成化服務(wù)。而目前以分組交換為基礎(chǔ)的IP網(wǎng)絡(luò)已是大勢(shì)所趨。

隨著QoS、安全性、可靠性和可管理性等一系列關(guān)鍵技術(shù)問(wèn)題的解決，整個(gè)網(wǎng)絡(luò)都在朝著以交換路由設(shè)備為核心的IP網(wǎng)絡(luò)發(fā)展。但是傳統(tǒng)的IP路由器并不關(guān)心也不知道IP數(shù)據(jù)包的業(yè)務(wù)類型，一般只是按先進(jìn)先出的原則轉(zhuǎn)發(fā)數(shù)據(jù)包，語(yǔ)音、視頻、信息瀏覽等各種業(yè)務(wù)類型的數(shù)據(jù)都被不加區(qū)分地對(duì)待。IP網(wǎng)絡(luò)自身的不成熟性，讓用戶IT部門(mén)持續(xù)面臨著保護(hù)網(wǎng)絡(luò)安全的壓力。因此企業(yè)需要在網(wǎng)絡(luò)各個(gè)層面上提供專業(yè)的、高性能的網(wǎng)絡(luò)安全服務(wù)，以應(yīng)對(duì)當(dāng)今迅速變化的內(nèi)外部威脅。而作為網(wǎng)絡(luò)核心的交換路由設(shè)備，其內(nèi)嵌的操作系統(tǒng)自然責(zé)無(wú)旁貸。

安全服務(wù)大量整合

任何網(wǎng)絡(luò)的總體安全水平總是由最弱一點(diǎn)決定的，因此設(shè)備級(jí)安全性能是每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的首要考慮因素。思科公

司的IOS軟件一直是其路由設(shè)備創(chuàng)新的核心。為了幫助企業(yè)網(wǎng)絡(luò)管理人員消除不斷出現(xiàn)的新威脅。思科在其 IOS軟件中加入了網(wǎng)絡(luò)準(zhǔn)入控制（NAC）、公共密鑰基礎(chǔ)設(shè)施（PKI）增強(qiáng)、內(nèi)部入侵防范以及嵌入式防火墻等應(yīng)用模塊，能夠有效抵御企業(yè)網(wǎng)絡(luò)環(huán)境中的多種安全威脅。NAC模塊能夠自動(dòng)檢查試圖與內(nèi)部網(wǎng)連接的客戶設(shè)備是否安裝了最新的防毒軟件，只有檢查通過(guò)，才授予接入權(quán)限。這種防護(hù)構(gòu)成了網(wǎng)絡(luò)系統(tǒng)的第一道防線，將防止部分網(wǎng)絡(luò)設(shè)備向網(wǎng)絡(luò)傳播已經(jīng)從網(wǎng)絡(luò)其余部分清除出去的病毒。而大量集成的PKI新特性，可以有效簡(jiǎn)化公用、專用密鑰加密的供應(yīng)和管理，保護(hù)敏感通信。

Juniper公司推出的JUNOS軟件也同樣整合了大量的安全服務(wù)功能，能夠協(xié)助企業(yè)管理復(fù)雜且差異化的網(wǎng)絡(luò)設(shè)備，并保護(hù)其應(yīng)用、數(shù)據(jù)和網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的安全。JUNOS軟件能夠?yàn)榫W(wǎng)絡(luò)管理員在整合和鞏固路由及安全裝置過(guò)程中提供更多的選擇和控制，從而幫助他們盡快適應(yīng)不斷變化的業(yè)務(wù)需求，同時(shí)還可以降低成本。系統(tǒng)可以對(duì)網(wǎng)絡(luò)控制方的處理資源進(jìn)行嚴(yán)格的保護(hù)。設(shè)備運(yùn)行時(shí)，控制端口不會(huì)像傳統(tǒng)設(shè)備中那樣鎖定或變慢，始終處于可控制的狀態(tài)。系統(tǒng)可以隨時(shí)添加過(guò)濾器以阻塞分布式DOS攻擊，而不會(huì)讓路由器停止服務(wù)。此外，用戶通過(guò)使用JUNOS系統(tǒng)的新一代CLI功能，可以快捷而輕松地在脫機(jī)編輯器中輸入改動(dòng)信息，然后通過(guò)一次快速升級(jí)提交給路由器。

系統(tǒng)另外一個(gè)重要的安全措施是讓路由設(shè)備支持更多的過(guò)濾器條件數(shù)目。JUNOS軟件可以讓一個(gè)路由設(shè)備接口多個(gè)過(guò)濾器，在提供細(xì)粒度流量控制的同時(shí)而不影響系統(tǒng)性能。企業(yè)IT人員可以定義控制以阻塞、限速或監(jiān)控特殊的

數(shù)據(jù)流和應(yīng)用，在問(wèn)題尚未凸現(xiàn)之前就將其扼殺在開(kāi)始階段，并且無(wú)需進(jìn)行性能權(quán)衡。

讓設(shè)備管理更簡(jiǎn)單

可靠性和可管理性也是操作系統(tǒng)安全能力的重要體現(xiàn)。為了確保操作系統(tǒng)具備高度的可靠性，F(xiàn)orce10 在其 FTOS中集成了與Unix類似的NetBSD內(nèi)核，以提供固有的進(jìn)程模塊與故障隔離。此外，F(xiàn)TOS基于單源代碼與版本序列之上，不僅可以顯著簡(jiǎn)化軟件維護(hù)與升級(jí)，同時(shí)嚴(yán)格的質(zhì)量保證程序還可以向客戶優(yōu)先確保代碼的穩(wěn)定性。操作系統(tǒng)的設(shè)計(jì)和質(zhì)量保證策略與流程相結(jié)合，優(yōu)化能夠?yàn)槠髽I(yè)提供完善的應(yīng)用可用性。

Force10 在FTOS中還構(gòu)建了多種網(wǎng)絡(luò)控制功能，以減少人為錯(cuò)誤的發(fā)生。如果由于發(fā)生配置錯(cuò)誤而無(wú)法接入系統(tǒng)，F(xiàn)TOS可以恢復(fù)到已知的最后一個(gè)可用配置。此外，F(xiàn)TOS還允許IT管理人員在狀態(tài)檢查失敗時(shí)采取編程措施，因此自動(dòng)糾錯(cuò)功能還有助于實(shí)現(xiàn)系統(tǒng)中斷次數(shù)的最少化和正常運(yùn)行時(shí)間最大化。

除了支持可提高系統(tǒng)透明度和防止人為錯(cuò)誤的自動(dòng)功能外，F(xiàn)TOS 還采用了行業(yè)標(biāo)準(zhǔn)命令行接口（CLI）。FTOS允許企業(yè)利用其IT組織的現(xiàn)有工具與知識(shí)盡可能地降低管理成本并優(yōu)化部署，而非采用專有命令語(yǔ)法。

此外，在線診斷與監(jiān)控工具的集成讓FTOS可以支持更多的網(wǎng)絡(luò)控制組件功能，它們無(wú)需關(guān)閉系統(tǒng)或中斷應(yīng)用流量即可完成故障排除。FTOS可監(jiān)控所有進(jìn)程，以確保操作不超出正常資源的占用極限，同時(shí)還能為超限環(huán)境和其他故障條件提供全系統(tǒng)監(jiān)控。FTOS的模塊化設(shè)計(jì)便于將錯(cuò)誤追蹤至特定進(jìn)程并支持任何補(bǔ)救指令；而增強(qiáng)的可維修命令使IT管理人員能夠快速收集調(diào)試所需信息以分析和解決故障問(wèn)題。