亚洲国产另类久久久精品极度 ,精品国产欧美成人夜夜嗨,99久久精品情趣

網絡技術是從1990年代中期發(fā)展起來的新技術，它把互聯(lián)網上分散的資源融為有機整體，實現(xiàn)資源的全面共享和有機協(xié)作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。當前的互聯(lián)網只限于信息共享，網絡則被認為是互聯(lián)網發(fā)展的第三階段。

互聯(lián)網蠕蟲的泛濫在最近幾年造成了巨大的損失，讓很多服務運營商和企業(yè)網絡的管理員甚為頭疼的不僅是其不斷的發(fā)展變種，而且發(fā)作造成的損害也越來越嚴重。盡管蠕蟲本身通常并不破壞任何的數據，但它所帶來的直接和間接的破壞使得網絡和系統(tǒng)擁塞。受感染的端系統(tǒng)的計算資源會受到嚴重影響，而病毒的傳播則消耗大量的鏈路帶寬，更可怕的是網絡基礎設備受到影響而造成網絡的不穩(wěn)定甚至癱瘓。以SQL Slammer為例，發(fā)生感染傳播高峰時造成的平均包丟失率為20%，網絡的不穩(wěn)定引起了銀行ATM自動提款機不能工作，航空公司的售票系統(tǒng)癱瘓，僅僅兩天的時間，就有30萬臺主機感染了SQL Slammer，造成的損失達數十億美元。

　　今天的企業(yè)越來越多地把關鍵業(yè)務應用、語音、視頻等新型應用融合到IP網絡上，一個安全、可靠的網絡是企業(yè)業(yè)務成功的關鍵。而企業(yè)網絡的內部和外部的界限越來越模糊，用戶的移動性越來越強，過去我們認為是安全的內部局域網已經潛伏著威脅。我們很難保證病毒不會被帶入我們的企業(yè)網絡，而局域網的廣泛分布和高速連接，也使其很可能成為蠕蟲快速泛濫的溫床。如何應對現(xiàn)在新的網絡安全環(huán)境呢？如何在我們的局域網上防范蠕蟲，及時地發(fā)現(xiàn)、跟蹤和阻止其泛濫，是每個網絡管理人員所思考的問題。

　　也許這是一個非常大的命題，事實上也確實需要一個系統(tǒng)的、協(xié)同的安全策略才能實現(xiàn)。從網絡到主機，從核心層到分布層、接入層，我們要采取全面的企業(yè)安全策略來保護整個網絡和其所連接的系統(tǒng)，另外即使當蠕蟲發(fā)生時我們要有措施將其影響盡量緩解，并保護我們的網絡基礎設施，保證網絡的穩(wěn)定運行。。

　　本文將介紹Cisco Catalyst交換機上的一個獨特解決方案，以一種非常經濟、有效和可擴展的方式來防范蠕蟲病毒的危害。

　　首先我們要了解蠕蟲的異常行為，并有手段來盡早發(fā)現(xiàn)其異常行為。發(fā)現(xiàn)可疑行為后要能很快定位其來源，即跟蹤到其源IP地址、MAC地址、登錄用戶名、所連接的交換機和端口號等等。要搜集到證據并作出判斷，如果確是蠕蟲病毒，就要及時做出響應的動作，例如關閉端口，對被感染機器進行處理。

　　但是我們知道，接入交換機遍布于每個配線間，為企業(yè)的桌面系統(tǒng)提供邊緣接入，由于成本和管理的原因，我們不可能在每個接入層交換機旁都放置一臺IDS設備。如果是在分布層或核心層部署IDS，對于匯聚了成百上千個百兆/千兆以太網流量的分布層或核心層來說，工作在第7層的軟件實現(xiàn)的IDS無法處理海量的數據，所以不加選擇地對所有流量都進行監(jiān)控是不實際的。

　　怎么能找到一種有的放矢、行之有效而又經濟擴展的解決方案呢？利用Catalyst交換機所集成的安全特性和Netflow，就可以做到！

　　發(fā)現(xiàn)可疑流量。我們利用Cisco Netflow所采集和輸出的網絡流量的統(tǒng)計信息，可以發(fā)現(xiàn)單個主機發(fā)出超出正常數量的連接請求，這種不正常的大數量的流往往是蠕蟲爆發(fā)或網絡濫用的跡象。因為蠕蟲的特性就是在發(fā)作時會掃描大量隨機IP地址來尋找可能的目標，會產生大量的TCP或ICMP流。流記錄里其實沒有數據包的載荷(payload)信息。這是Netflow和傳統(tǒng)IDS的一個重要區(qū)別，一個流記錄里不包含高層信息，這樣的好處則是可以高速地以硬件方式處理，適合于繁忙的高速局域網環(huán)境。通常部署在核心層和分布層的Catalyst 4500和Catalyst 6500交換機都支持基于硬件的Netflow。所以Netflow不能對數據包做出深層分析，但是已經有足夠的信息來發(fā)現(xiàn)可疑流量，而且不受“0日”的局限。如果分析和利用得當，Netflow記錄非常適用于早期的蠕蟲或其他網絡濫用行為的檢測。

　　了解流量模式的基線非常重要。例如，一個用戶同時有50-100個活動的連接是正常的，但是如果一個用戶發(fā)起大量的(例如1000個)活動的流就是非正常的了。

　　追蹤可疑的源頭。識別出可疑流量后，同樣重要的是追蹤到源頭(包括物理位置和用戶ID)。在今天的移動的環(huán)境中，用戶可以在整個園區(qū)網中隨意漫游，僅僅知道源IP地址是很難快速定位用戶的。而且我們還要防止IP地址假冒，否則檢測出的源IP地址無助于我們追查可疑源頭。另外我們不僅要定位到連接的端口，還要定位登錄的用戶名。
[page_break]　　搜集可疑流量。一旦可疑流量被監(jiān)測到，我們需要捕獲這些數據包來判斷這個不正常的流量到底是不是發(fā)生了新的蠕蟲攻擊。正如上面所述，Netflow并不對數據包做深層分析，我們需要網絡分析工具或入侵檢測設備來做進一步的判斷。但是，如何能方便快捷地捕獲可疑流量并導向網絡分析工具呢？速度是很重要的，否則你就錯過了把蠕蟲扼殺在早期的機會。除了要很快定位可疑設備的物理位置，還要有手段能盡快搜集到證據。我們不可能在每個接入交換機旁放置網絡分析或入侵檢測設備，也不可能在發(fā)現(xiàn)可疑流量時扛著分析儀跑去配線間。

　　有了上面的分析，下面我們就看如何利用Catalyst的功能來滿足這些需要！

　　檢測可疑流量. Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能，采集流經網絡的流量信息。這些信息采集和統(tǒng)計都通過硬件ASCI完成，所以對系統(tǒng)性能沒有影響。 Catalyst 4500 Sup V-10GE缺省就帶了Netflow卡，所以不需增加投資。

　　追蹤可疑源頭。 Catalyst 集成的安全特性提供了基于身份的網絡服務(IBNS)，以及DHCP監(jiān)聽、源IP防護、和動態(tài)ARP檢測等功能。這些功能提供了用戶的IP地址和MAC地址、物理端口的綁定信息，同時防范IP地址假冒。這點非常重要，如果不能防范IP地址假冒，那么Netflow搜集到的信息就沒有意義了。用戶一旦登錄網絡，就可獲得這些信息。結合ACS，還可以定位用戶登錄的用戶名。在Netflow 收集器(Netflow Collector)上編寫一個腳本文件，當發(fā)現(xiàn)可疑流量時，就能以email的方式，把相關信息發(fā)送給網絡管理員。

　　在通知email里，報告了有不正常網絡活動的用戶CITG, 所屬組是CITG-1(這是802.1x登錄所用的)。接入層交換機的IP地址是10.252.240.10，物理接口是FastEthernet4/1，另外還有客戶端IP地址和MAC地址，以及其在5分鐘內(這個時間是腳本所定義的)發(fā)出的flow和packet數量。

　　掌握了這些信息后，網管員就可以馬上采取以下行動了：

　　通過遠程SPAN捕獲可疑流量。Catalyst交換機上所支持的遠程端口鏡像功能可以將流量捕獲鏡像到一個遠程交換機上，例如將接入層交換機上某個端口或VLAN的流量穿過中繼鏡像到分布層或核心層的某個端口，只需非常簡單的幾條命令即可完成。流量被捕獲到網絡分析或入侵檢測設備(例如Cat6500集成的網絡分析模塊NAM或IDS模塊)，作進一步的分析和做出相應的動作。

　　整個過程需要多長時間呢？對于一個有經驗的網管員來說，在蠕蟲發(fā)生的5分鐘內就能完成，而且他不需要離開他的座位！

　　我們可以看到，這個解決方案結合了Catalyst上集成的多種安全特性功能，從擴展的802.1x，到DHCP 監(jiān)聽、動態(tài)ARP檢測、源IP防護和Netflow。這些安全特性的綜合使用，為我們提供了一個在企業(yè)局域網上有效防范蠕蟲攻擊的解決方案，這個方案不需更多額外投資，因為利用的是集成在Catalyst 上的IOS中的功能特性，也帶給我們一個思考：如何利用網絡來保護網絡？這些我們在選擇交換機時可能忽略的特性，會帶給我們意想不到的行之有效的安全解決方案！

網絡的神奇作用吸引著越來越多的用戶加入其中，正因如此，網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......，各項技術都需要適時應勢，對應發(fā)展，這正是網絡迅速走向進步的催化劑。

溫馨提示：喜歡本站的話，請收藏一下本站！

人人做人人澡人人爽欧美,国产主播一区二区,久久久精品五月天,羞羞视频在线观看免费

當前位置:蘿卜系統(tǒng) > 網絡技術教程 > 詳細頁面

運用交換機防范蠕蟲病毒的入侵

本類教程下載

系統(tǒng)下載排行