您的位置: 网界网 > 周报全文 > 正文

[周报全文]宽带网络的“卫生防疫”措施(续)

2003年06月16日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:宽带网络的“卫生防疫”措施(续)

标签

    宽带网络的“卫生防疫”措施(续)

    ■ 北电网络运营商数据网络部产品经理 谢群

    运营商不仅要阻止来自互联网对宽带用户的“病毒”传给用户,为用户提供网络安全,另一方面,要防止“病毒”从宽带网上传出去。为此,运营商可以从反IP欺骗、状态防火墙的应用控制、反DOS攻击及会话控制等几个方面入手。

    反IP欺骗

    发起攻击的黑客,往往会先改变自已的源IP地址和源端口。这种手段是利用路由转发路由器只根据IP地址数据包的目的地址进行数据转发的特点。因此,网络安全小组建议在网络中的路由设备应对源IP地址进行检查。如果互联网的全部路由设备都进行这样的工作,显然不合算。最有效的是在接入侧就进行这样的检查,因为宽带接入服务器一般是接入网第一个路由设备,“清楚”每一个用户所应具有的源IP地址是什么。如果某一个宽带用户所发出的数据包的源IP地址与应有的源IP地址不一致,这些数据包一定有问题,应该丢弃。这个技术叫作接入侧的反IP欺骗(Ingress Anti-Spoofing)。

    应用控制

    宽带网络中,应适当对用户应用进行控制。比如,个人宽带用户上网的应用一般有页面浏览、文件下载、收发邮件、网上购物、网络游戏以及VPN拔号等等。这些应用都是作为IP应用的发起端进行的,即个人宽带用户应是IP应用的会话发起端,而不像服务器作为响应端。宽带接入网络应在用户的服务策略中加上一条简单的防火墙策略,不允许个人用户利用宽带网络开通任何的IP服务器。

    状态防火墙的策略不同于简单的包过滤。包过滤是看不到四层状态的,如果是包过滤的设置,服务器的响应包是无法通过的。包过滤方式的路由器要实现对用户作为服务器进行限制,需要加上一条非常不安全的策略:“allow all TCP ports >1024”或者是“allow all non-SYN TCP packets”。

    通过简单直观的状态防火墙设置,宽带运营商可以为用户提供多种业务套餐。对于上网只是看新闻、买光盘和化妆品的用户,选择一个在平均价格以下的一般宽带服务就可以了,而对于许多利用宽带服务在家办公的人,选择一个商务套餐比较合适。

    用户应用套餐的选择,是通过作用在宽带接入服务器的"个性化"状态防火墙策略实现的。下面介绍一下包过滤与状态防火墙的差别。例如,由于技术简单易于扩展,运营商倾向使用SIP作为第二代VoIP的应用,提供更丰富的语音功能。运营商在提供SIP软终端服务时,只会允许申请了该业务的用户使用,同时为了保护呼叫控制服务器,只允许软终端用户与呼叫控制服务器的SIP协议信息通过。使用包过滤技术,这个功能就难以实现了。因为SIP协议有控制信道和传输信道的RTP协议。只有通过RTCP协议与呼叫服务器建立控制信道后,SIP软终端才会与通话的另一端建立RTP通道。北电网络的宽带接入服务器的状态防火墙,可以动态地对用户的SIP应用进行控制。如果用户具有使用SIP会话的许可,当SIP控制信道会话建立之后,状态防火墙会动态地打开相应的RTP端口以支持相应的应用。如果使用包过滤技术,不具有应用会话的状态,无法动态控制SIP应用。

状态防火墙与包过滤技术不同点对照表

不同点状态防火墙包过滤
1 面向应用设置,直观简单;面向三层数据包设置(+本站微信networkworldweixin),设置复杂;
2 "感知"状态,了解会话的建立过程,只动态打开相应的端口号,更安全;无法感知状态,必须打开相关应用全部可能端口或某种标志位数据包,存在安全漏洞;
3 高速状态列表,使表中会话数据包快速通过,不对每个数据包进行策略检查,处理速度快,业务开展不影响性能。对每个数据包逐个进行策略检查,路由设备一旦打开包过滤,性能都会有显著下降。

    反Dos攻击、会话控制

    Shasta的状态防火墙,可以直接对一些DOS攻击进行“签名检测”,同时可以通过Delay Binding模式提供对Syn Flood攻击的阻隔。

    对于接入侧的安全控制,还有很重要的一点,就是对接入用户的流控制。流控制,是通过一个策略的定义,限制接入用户所能建立的四层会话连接数量。许多基于TCP、UDP和ICMP协议的攻击方式,都是通过建立大量的连接使网络或服务器不堪重负。通过一个合理范围的限制,可以在最后一公里处保护网络资源,保护服务器的资源,减缓DOS和WORM攻击的扩散。

    对于宽带网络安全业务除了可以提供给个人接入用户,更大的市场是面向选择ADSL或以太网接入作为互联网接入的中、小型企业。对于企业接入用户,宽带VPN也他们最关心的IP业务之一,宽带VPN业务往往和反IP欺骗、防火墙、反DOS攻击、地址转换、数据加密等结合在一起。在接下来的业务介绍当中,我们会着重说明宽带VPN业务。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]