久久国产精品成人免费观看的软件 ,欧美成人免费电影,日本aⅴ亚洲精品中文乱码

　　思科運(yùn)營(yíng)商路由系統(tǒng)和它的分布式、模塊化Cisco IOS XR軟件微內(nèi)核架構(gòu)可以通過(guò)跨越管理、控制和數(shù)據(jù)面板的內(nèi)嵌檢測(cè)、訪問(wèn)控制和流程隔離技術(shù)，支持高度安全、持續(xù)的系統(tǒng)運(yùn)營(yíng)。
　　
　　服務(wù)供應(yīng)商利潤(rùn)面臨的威脅
　　
　　對(duì)于服務(wù)供應(yīng)商而言，網(wǎng)絡(luò)安全與業(yè)務(wù)發(fā)展息息相關(guān)。由于病毒、入侵、操作錯(cuò)誤和軟件配置錯(cuò)誤所導(dǎo)致的安全事件可能會(huì)導(dǎo)致廣泛的相關(guān)成本提高和一系列后果，例如服務(wù)中斷、經(jīng)濟(jì)損失、客戶不滿、生產(chǎn)率降低，甚至媒體關(guān)注。為了保護(hù)收入和利潤(rùn)，服務(wù)供應(yīng)商必須保護(hù)他們的基礎(chǔ)設(shè)施，為安全連接、威脅防范和終端保護(hù)提供可管理的服務(wù)。
　　為了在一個(gè)安全威脅（例如拒絕服務(wù)[DDoS]攻擊）層出不窮和策略日益復(fù)雜的環(huán)境中保持很高的可用性，服務(wù)供應(yīng)商希望采用新的路由和交換解決方案。這些解決方案應(yīng)當(dāng)可以提供有效、內(nèi)嵌、基于硬件的安全檢測(cè)，從而建立自我防御網(wǎng)絡(luò)。這些新的不間斷系統(tǒng)運(yùn)營(yíng)解決方案必須支持：
　　
訪問(wèn)隔離、故障隔離和內(nèi)存保護(hù)
　　無(wú)縫的軟件和硬件恢復(fù)
　　配置和管理保護(hù)
　　主動(dòng)、迅速的響應(yīng)
　　思科運(yùn)營(yíng)商路由系統(tǒng)
　　
　　思科運(yùn)營(yíng)商路由系統(tǒng)（CRS-1）是一個(gè)多機(jī)架路由平臺(tái)，采用了一個(gè)模塊化、分布式的微內(nèi)核操作系統(tǒng)——Cisco IOS XR。
　　在設(shè)計(jì)CRS-1時(shí)，思科的開(kāi)發(fā)人員利用了Cisco IOS軟件的互聯(lián)網(wǎng)安全經(jīng)驗(yàn)。Cisco IOS XR軟件的模塊化架構(gòu)在邏輯上和物理上都具有分布式的特性（如圖1所示），因而可以在創(chuàng)建一個(gè)高度可用的、安全的路由平臺(tái)和網(wǎng)絡(luò)方面提供巨大的優(yōu)勢(shì)。分散的軟件組件（子系統(tǒng)）被部署為獨(dú)立的軟件流程，運(yùn)行在它們自己的受保護(hù)的內(nèi)存地址空間中。這可以在發(fā)生安全事件時(shí)實(shí)現(xiàn)真正的故障隔離和分區(qū)，防止一個(gè)子系統(tǒng)中發(fā)生的故障對(duì)其他的子系統(tǒng)造成不利影響。
　　與像FreeBSD UNIX這樣的單內(nèi)核架構(gòu)不同，網(wǎng)絡(luò)堆棧（例如TCP）作為一個(gè)單獨(dú)的進(jìn)程，在微內(nèi)核之外運(yùn)行。因此，即使TCP堆棧受到安全威脅，系統(tǒng)仍然可以正常運(yùn)行。在需要恢復(fù)服務(wù)時(shí)，相關(guān)流程會(huì)自動(dòng)重啟，不需要人為干預(yù)。此外，模塊化軟件架構(gòu)和服務(wù)中軟件升級(jí)（ISSU）支持讓用戶可以在不關(guān)閉整個(gè)系統(tǒng)的情況下，迅速地安裝一個(gè)補(bǔ)丁。
　　在Cisco IOS XR軟件中保持深入的故障隔離和實(shí)現(xiàn)安全檢測(cè)的關(guān)鍵是，它在三個(gè)面板之間對(duì)流程進(jìn)行了邏輯分配。每個(gè)面板都采用了自己的訪問(wèn)控制機(jī)制，以實(shí)現(xiàn)網(wǎng)絡(luò)的安全運(yùn)行。這三個(gè)面板分別是：
　　
控制面板
　　數(shù)據(jù)面板
　　管理面板控制面板保護(hù)
　　
　　所有路由控制信息都在控制面板進(jìn)行交換，這使得控制面板及其組件成為了一個(gè)攻擊目標(biāo)。因?yàn)榭刂泼姘宓挠览m(xù)性取決于CPU的處理能力和可擴(kuò)展性，所以針對(duì)CPU的“資源耗盡式”攻擊并不少見(jiàn)。
　　為了支持可擴(kuò)展性和性能，CRS-1控制面板采用了分布式、冗余的路由處理器——對(duì)稱(chēng)式多處理器（SMP）CPU。在正常情況下，CRS-1所傳輸?shù)牧髁坑伤木€卡以線速進(jìn)行處理。但是，在發(fā)生意外情況時(shí)，分組被轉(zhuǎn)發(fā)到路由器本身。這些包括路由協(xié)議、互聯(lián)網(wǎng)控制消息協(xié)議（ICMP）和網(wǎng)絡(luò)管理分組在內(nèi)的“轉(zhuǎn)移分組”將從線卡分組處理器發(fā)送到線卡CPU或者路由處理器CPU。
　　為了防止控制面板在一個(gè)開(kāi)放的環(huán)境中遭受DoS攻擊，CRS-1在線卡和它的分組處理器中分配了多種層次化的安全功能。這些功能包括：
　　
動(dòng)態(tài)控制面板保護(hù)（DCPP）
　　自動(dòng)控制面板擁塞過(guò)濾器
　　控制面板生存時(shí)間（TTL）完整性檢查（RFC 3682，通用TTL安全機(jī)制（GTSM））
　　邊界網(wǎng)關(guān)協(xié)議（BGP）路由協(xié)議過(guò)濾和路由策略語(yǔ)言（RPL）
　　動(dòng)態(tài)控制面板保護(hù)
　　
　　由于違反規(guī)定的行為（例如入侵者轉(zhuǎn)移或者分析網(wǎng)絡(luò)流量）所導(dǎo)致的未經(jīng)授權(quán)的或者惡意的路由更新可能會(huì)威脅網(wǎng)絡(luò)安全。部署基于報(bào)文摘要算法5（MD5）的相鄰路由器身份驗(yàn)證是避免偽裝的一種常用方法，它實(shí)際上確保了路由器從某個(gè)可靠的來(lái)源獲得可靠的信息——但是這僅僅是第一步。如果偽裝的BGP分組開(kāi)始涌向路由器，接收路徑訪問(wèn)控制列表（ACL）和模塊化QoS CLI（MQC）速率限制能夠準(zhǔn)確地控制這些分組的傳輸。但是，ACL和MQC控制并不是自動(dòng)進(jìn)行的。如果BGP對(duì)等主機(jī)關(guān)機(jī)或者重啟，第四層端口編號(hào)就會(huì)隨著每個(gè)進(jìn)程的重新建立而改變。因此，網(wǎng)絡(luò)設(shè)計(jì)人員一直在尋找一種自動(dòng)、動(dòng)態(tài)的方式來(lái)準(zhǔn)許經(jīng)過(guò)設(shè)置的BGP對(duì)等進(jìn)程和丟棄未經(jīng)設(shè)置的進(jìn)程。
　　為此，CRS-1為線卡分組處理提供了一個(gè)DCPP方法。利用DCPP，經(jīng)過(guò)正確設(shè)置的BGP對(duì)等進(jìn)程會(huì)自動(dòng)獲得足夠的資源，而未經(jīng)設(shè)置的進(jìn)程則會(huì)被丟棄或者獲得最低限度的處理。這種準(zhǔn)許－拒絕模式建立在靜態(tài)設(shè)置的IP地址和動(dòng)態(tài)的第四層端口號(hào)之間的關(guān)聯(lián)關(guān)系的基礎(chǔ)上。在身份驗(yàn)證和建立最大限度的準(zhǔn)入控制之前，需要為初始連接設(shè)置不同的資源策略?？刂泼姘宸纸M必須經(jīng)過(guò)是一個(gè)多層次的事先篩選流程，直到得到一個(gè)內(nèi)部搜索表的授權(quán)之后，它們才會(huì)獲得足夠的資源。這種自動(dòng)化的流程可以節(jié)約網(wǎng)絡(luò)管理員為了其他關(guān)鍵任務(wù)進(jìn)行手動(dòng)設(shè)置所需要的時(shí)間。
　　
　　自動(dòng)控制面板擁塞過(guò)濾器
　　
　　在嚴(yán)重的DoS或者DDoS攻擊導(dǎo)致線卡超出CRS-1的插槽容量時(shí)，控制機(jī)制會(huì)以特定用途集成電路（ASIC）的速度執(zhí)行，將超出線卡容量的分組導(dǎo)入第三層模塊化服務(wù)卡（MSC）上的硅分組處理器，從而確?？刂泼姘宸纸M得到優(yōu)先處理。在網(wǎng)絡(luò)管理員利用其他安全工具安裝緩解方案以解決問(wèn)題時(shí)，這種功能可以保持拓?fù)涞耐暾浴?
　　控制面板TTL完整性檢查（RFC 3682，GTSM）
　　大部分控制協(xié)議對(duì)等進(jìn)程都建立在相鄰或者直連的路由器之間。在GTSM（過(guò)去被稱(chēng)為BGP TTL安全破解[BTSH]）出現(xiàn)之前，從非定向?qū)Φ裙?jié)點(diǎn)發(fā)往路由器的BGP分組必須由路由器CPU進(jìn)行處理。在生成大量這類(lèi)分組時(shí)，它會(huì)導(dǎo)致一個(gè)嚴(yán)重的DDoS攻擊，從而耗盡CPU資源。現(xiàn)在，管理員可以利用GTSM對(duì)BGP對(duì)等分組進(jìn)行TTL檢查，從而在MSC SPP中有效地阻止所有非定向BGP偽裝分組。
　　這些技術(shù)還可用于很多其他的應(yīng)用，例如標(biāo)簽分發(fā)協(xié)議（LDP）和資源預(yù)留協(xié)議（RSVP）。RSVP可以利用通用GTSM的功能。由于CRS-1采用了完全可編程的MSC架構(gòu)，GTSM對(duì)于其他應(yīng)用協(xié)議的支持可以被方便地添加到MSC。
　　
　　BGP路由協(xié)議過(guò)濾和RPL
　　
　　BGP是互聯(lián)網(wǎng)上最基礎(chǔ)的路由協(xié)議之一。不幸的是，如果BGP在沒(méi)有采用適當(dāng)?shù)那熬Y過(guò)濾措施的情況下遭受攻擊，互聯(lián)網(wǎng)上將會(huì)出現(xiàn)大量的“垃圾”流量。因此，前綴過(guò)濾多年以來(lái)一直是互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）行業(yè)的最佳實(shí)踐之一。（如需了解更多信息，請(qǐng)?jiān)L問(wèn)http://www.ispbook.com）
　　
　　但是，隨著路由策略的日益復(fù)雜和每臺(tái)對(duì)等路由器必須交互的對(duì)等主機(jī)的不斷增多，服務(wù)供應(yīng)商在如何成功地部署前綴過(guò)濾方面面臨著艱巨的挑戰(zhàn)。為此，思科推出了RPL，并將其集成到了Cisco IOS XR軟件中。針對(duì)大規(guī)模路由配置而開(kāi)發(fā)的RPL具有一些重要的功能，可以改進(jìn)傳統(tǒng)路由圖中的設(shè)置，以及ACL或者面向前綴列表的配置。
　　
　　第一項(xiàng)改進(jìn)是模塊化的策略組件。這樣，通用的策略模塊可以獨(dú)立地定義和維護(hù)。這些通用模塊可用于其他策略模塊，以構(gòu)成完整的策略，從而減少需要維護(hù)的配置信息。另外，可以為這些通用策略模塊設(shè)置參數(shù)。這使得網(wǎng)絡(luò)管理員可以將那些具有相同結(jié)構(gòu)，但是特定參數(shù)不同的策略作為獨(dú)立的策略模塊進(jìn)行維護(hù)。例如，三個(gè)除了本地優(yōu)先值以外完全相同的策略可以表示為一個(gè)統(tǒng)一的策略，并使用不同的本地優(yōu)先值作為策略的參數(shù)。
　　
　　RPL還采用了集合的概念。它是可以被用于路由屬性匹配和設(shè)置操作中的類(lèi)似數(shù)據(jù)的容器。有多種不同的集合類(lèi)型，例如前綴集合、公共集合、as-path集合和擴(kuò)展公共集合，它們包含了相應(yīng)的群組。這些集合分別類(lèi)似于傳統(tǒng)的Cisco IOS軟件配置中的前綴列表、公共列表、as-path列表和擴(kuò)展公共列表，但是兩者之間存在一個(gè)重要的區(qū)別。集合并不包括Cisco IOS軟件配置中的“接受”和“拒絕”的概念。集合僅僅是數(shù)據(jù)的容器。大部分集合還擁有一個(gè)內(nèi)嵌變量，它允許在完全在內(nèi)部指定的數(shù)據(jù)值，而不需要引用某個(gè)只包含部分?jǐn)?shù)據(jù)的特定集合。
　　
　　決策——例如接受還是丟棄路由——完全取決于所制定的策略。RPL讓用戶可以將匹配的操作符（可能使用集合數(shù)據(jù)）和傳統(tǒng)布爾邏輯操作符（“與”、“或”和“非”）集成到復(fù)雜的條件表達(dá)式中。所有匹配操作符都會(huì)返回一個(gè)“真”或“偽”結(jié)果。這些條件表達(dá)式的執(zhí)行和相關(guān)操作都可以由用戶所指定的、簡(jiǎn)單的“if-then，else-if，else”結(jié)構(gòu)控制。這使得策略的評(píng)估路徑可以完全由用戶設(shè)置。
　　
　　隨著RPL的采用，對(duì)等策略預(yù)計(jì)將會(huì)比現(xiàn)有的、基于路由圖的對(duì)等語(yǔ)句更加模塊化和更有效率。RPL可以提供必要的可擴(kuò)展性，使得用戶能夠通過(guò)一個(gè)多機(jī)架路由系統(tǒng)（例如CRS-1）與數(shù)千個(gè)對(duì)等主機(jī)進(jìn)行對(duì)等通信。
　　
　　數(shù)據(jù)面板保護(hù)
　　
　　數(shù)據(jù)面板可以接收、處理和傳輸網(wǎng)絡(luò)組件之間的網(wǎng)絡(luò)數(shù)據(jù)，控制進(jìn)出路由器的大量網(wǎng)絡(luò)流量。為了防止數(shù)據(jù)面板流量遭受已知的攻擊，CRS-1的轉(zhuǎn)發(fā)引擎中內(nèi)置了一些缺省的完整性檢查（基于互聯(lián)網(wǎng)行業(yè)積累的知識(shí)）。此外，CRS-1還提供了多種功能和工具，例如ACL、單播反向路徑轉(zhuǎn)發(fā)（uRPF）和NetFlow記帳，并在MSC上進(jìn)行專(zhuān)門(mén)的輸入和輸出處理。
　　
ACL——ACL（包括IPv4和IPv6）是很多路由器數(shù)據(jù)面板應(yīng)用——例如分組分類(lèi)、速率限制、統(tǒng)計(jì)和審核——的一個(gè)重要組成部分。它實(shí)際上是一個(gè)針對(duì)分組的準(zhǔn)許－拒絕操作符。 Cisco CRS-1的設(shè)計(jì)目的是滿足最嚴(yán)格的性能和可擴(kuò)展性要求，因而它能夠在網(wǎng)絡(luò)負(fù)載繁重的情況下以線速處理ACL。例如，在處理200萬(wàn)個(gè)路由和500個(gè)BGP對(duì)等主機(jī)的同時(shí)，CRS-1可以在不影響性能的情況下處理數(shù)千個(gè)ACL及其條目。

国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区

思科運(yùn)營(yíng)商路由系統(tǒng)CRS-1的安全性
2008-04-22

延伸閱讀

熱文

国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区

思科運(yùn)營(yíng)商路由系統(tǒng)CRS-1的安全性 2008-04-22

延伸閱讀

熱文

思科運(yùn)營(yíng)商路由系統(tǒng)CRS-1的安全性
2008-04-22