【正文】 系不能僅依靠單獨的某個安全產(chǎn)品，還要依托整個網(wǎng)絡中各部件的安全特性。狼的習性是群居，一只固然勢單力薄，但如果群起而攻之，恐怕猛虎也難抵擋，這就是分布式拒絕服務攻擊的原理。DOS/DDOS是一種傳統(tǒng)的網(wǎng)絡攻擊方式，然而其破壞力卻十分強勁。這也就是所謂的“零時差攻擊”。圖1 應用協(xié)議攻擊穿透防火墻應用攻擊的共同特點是利用了軟件系統(tǒng)在設計上的缺陷，并且他們的傳播都基于現(xiàn)有的業(yè)務端口，因此應用攻擊可以毫不費力的躲過那些傳統(tǒng)的或者具有少許深度檢測功能的防火墻。盡管大多數(shù)系統(tǒng)管理員已經(jīng)認識到來自網(wǎng)絡的惡意行為對數(shù)據(jù)中心造成的嚴重損害，而且許多數(shù)據(jù)中心已經(jīng)部署了依靠訪問控制防御來獲得安全性的設備，但對于日趨成熟和危險的各類攻擊手段，這些傳統(tǒng)的防御措施仍然顯現(xiàn)的力不從心。目前，數(shù)據(jù)集中已經(jīng)成為國內電子政務、企業(yè)信息化建設的發(fā)展趨勢。蠕蟲是指通過計算機網(wǎng)絡進行自我復制的惡意程序，泛濫時可以導致網(wǎng)絡阻塞和癱瘓。造成應用攻擊的根本原因在于軟件開發(fā)人員編寫程序時沒有充分考慮異常情況的處理過程，當系統(tǒng)處理處理某些特定輸入時引起內存溢出或流程異常，因此形成了系統(tǒng)漏洞。 （2天）Blast1個月 （26天）Slammer6個月已發(fā)現(xiàn)的DOS攻擊程序有ICMP Smurf、UDP 反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo 和 Stacheldraht等。 對網(wǎng)絡基礎設施的攻擊數(shù)據(jù)中心象一座擁有巨大財富的城堡，然而堅固的堡壘最容易從內部被攻破，來自數(shù)據(jù)中心內部的攻擊也更具破壞性。H3C數(shù)據(jù)中心安全解決方案的技術特色可用十二個字概括：三重保護、多層防御；分區(qū)規(guī)劃，分層部署。IPS可以針對應用流量做深度分析與檢測能力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡中的各種流量進行有效管理，從而達到對網(wǎng)絡應用層的保護。圖6 數(shù)據(jù)中心分層部署思想4 關鍵技術說明本節(jié)將按照“三重保護、多層防御”的思想，詳細說明每種安全技術的應用模式。COMWARE的這一特性可使網(wǎng)絡中各節(jié)點設備得到同一的安全特性，徹底避免了由于部件產(chǎn)品安全特性不一致、不統(tǒng)一造成的安全“短木板效應”。BPDU保護功能可以防止這種網(wǎng)絡攻擊。一旦這種端口上收到了優(yōu)先級高的配置消息，即其將被選擇為非指定端口時，這些端口的狀態(tài)將被設置為偵聽狀態(tài)，不再轉發(fā)報文（相當于將此端口相連的鏈路斷開）。如果受到TC攻擊(連續(xù)不斷收到TC報文)交換機就會一直進行MAC刪除操作，影響正常的轉發(fā)業(yè)務。 防IP偽裝病毒和非法用戶很多情況會偽裝IP來實現(xiàn)攻擊。比如繞過利用源IP做的接入控制。如果找到則正常學習，否則不學習該ARP。對于類似于應用FTP協(xié)議進行通信的多通道協(xié)議來說，配置ACL則是困難的。例如，通過對本地安全區(qū)域的報文控制，可以很容易的防止不安全區(qū)域對防火墻本身的Telnet、ftp等訪問。而基于安全區(qū)域的策略控制模型，可以清晰的分別定義從trust到untrust、從DMZ到untrust之間的各種訪問，這樣的策略控制模型使得SecPath防火墻的網(wǎng)絡隔離功能具有很好的管理能力。因為Dos攻擊手段種類比較多，因此必須具有豐富的防御手段，才可以保證真正的抵御Dos攻擊。Eudemon防火墻采用了TCP透明代理的方式實現(xiàn)了對這種攻擊的防范，Eudemon防火墻通過精確的驗證可以準確的發(fā)現(xiàn)攻擊報文，對正常報文依然可以通過允許這些報文訪問防火墻資源，而攻擊報文則被Eudemon防火墻丟棄。 多層服務器區(qū)內部的狀態(tài)防火墻在ServerFarm內部多層服務器區(qū)的各層之間也可以部署防火墻以增強不同層次之間的安全性，如圖。圖11 防火墻TCP代理 防火墻在數(shù)據(jù)中心的部署點 ServerFarm 網(wǎng)絡邊界上的狀態(tài)防火墻園區(qū)網(wǎng)絡通常包括園區(qū)核心網(wǎng)、邊界網(wǎng)絡、內部網(wǎng)絡、分支結構網(wǎng)絡、數(shù)據(jù)中心(ServerFarm)網(wǎng)絡。SecPath系列防火墻產(chǎn)品，在對上述各個方面都做了詳盡的考慮，因此Dos防御的綜合性能、功能等方面在同類防火墻產(chǎn)品中都具有很強的優(yōu)勢。因為Dos攻擊伴隨這一個重要特征就是網(wǎng)絡流量突然增大，如果防火墻本身不具有優(yōu)秀的處理能力，則防火墻在處理Dos攻擊的同時本身就成為了網(wǎng)絡的瓶頸，根本就不可能抵御Dos攻擊?，F(xiàn)在幾乎所有的防火墻設備都宣傳具有Dos攻擊防御功能，但是那么為什么Dos攻擊導致網(wǎng)絡癱瘓的攻擊事件為什么還是層出不窮呢？一個優(yōu)秀的Dos攻擊防御體系，應該具有如下最基本的特征：部分防火墻還是采用基于接口的安全策略管理機制，如圖。 防火墻安全區(qū)域管理邊界安全的一項主要功能是網(wǎng)絡隔離，并且這種網(wǎng)絡隔離技術不是簡單的依靠網(wǎng)絡接口來劃分的，因為網(wǎng)絡的實際拓撲是千差萬別的，使用固定接口來進行網(wǎng)絡隔離不能適應網(wǎng)絡的實際要求。但這種方法會消耗掉許多ACL資源。如果兩者不一致，則將報文丟棄。 接入設備防御利用DHCP SNOOPING特性，接入設備通過監(jiān)控其端口接收到的DHCP request、ACK、release報文，也可以形成一張端口下IP、MAC的映射表。 利用IP和MAC的綁定關系216。由于現(xiàn)今internet上的大多數(shù)攻擊者都不具備很高的網(wǎng)絡技術水平，其攻擊手段僅僅是比較機械利用現(xiàn)有的攻擊工具。這種判定的方式有三種。比如smurf攻擊。端口安全的特性包括：NTK：NTK（Need To Know）特性通過檢測從端口發(fā)出的數(shù)據(jù)幀的目的MAC地址，保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過認證的設備上，從而防止非法設備竊聽網(wǎng)絡數(shù)據(jù)。此時交換機會重新選擇根端口，根端口會轉變?yōu)橹付ǘ丝?，而阻塞端口會遷移到轉發(fā)狀態(tài)，從而交換網(wǎng)絡中會產(chǎn)生環(huán)路。 ROOT Guard由于維護人員的錯誤配置或網(wǎng)絡中的惡意攻擊，網(wǎng)絡中的合法根交換機有可能會收到優(yōu)先級更