网络前沿技术应用讲座之四七层交换和网络安全设备

1、网络前沿技术应用讲座之四七层交换和网络安全设备概念四七层交换对应OSI模型的第四层到第七层四层交换对应TCP或UDP交换七层对应应用交换第四层交换第四层交换机不仅可以完成端到端交换，还能根据端口主机的应用特点，确定或限制它的交换流量。简单地说，第四层交换机是基于传输层数据包的交换过程的，是 一类基于TCP/IP协议应用层的用户应用交换需求的新型局域网交换机。第四层交换机支持TCP/UDP第四层以下的所有协议，可识别至少80个字节的数 据包包头长度，可根据TCP/UDP端口号来区分数据包的应用类型，从而实现应用层的访问控制和效劳质量保证。与其说第四层交换机是硬件网络设备， 还不如说它是软件网络管

2、理系统。也就是说，第四层交换机是一类以软件技术为主，以硬件技术为辅的网络管理交换设备。 第四层交换的作用包过滤/平安控制 在大多数路由器上，采用第四层信息去定义过滤规那么已经成为默认标准，所以有许多路由器被用作包过滤防火墙，在这种防火墙上不仅能够配置允许或禁止IP子网 间的连接，还可以控制指定TCP/UDP端口的通信。和传统的基于软件的路由器不一样，第四层交换区别于第三层交换的主要不同之处，就是在于这种过滤能力 是在ASIC专用高速芯片中实现的，从而使这种平安过滤控制机制可以全线速地进行，极大地提高了包过滤速率。 第四层交换的作用效劳质量 在网络系统的层次结构中，TCP/UDP第四层信息，往往

3、用于建立应用级通信优先权限。如果没有第四层交换概念，效劳质量/效劳级别就必然受制于第二层和 第三层提供的信息，例如MAC地址，交换端口，IP子网或VLAN等。显然，在信息通信中，因缺乏第四层信息而受到阻碍时，紧急应用的优先权就无从谈起， 这将大大阻止紧急应用在网络上的迅速传输。第四层交换机允许用基于目的地址、目的端口号应用效劳的组合来区分优先级，于是紧急应用就可以获得网络的高 级别效劳。 第四层交换的作用效劳器负载均衡 在相似效劳内容的多台效劳器间提供平衡流量负载支持时，第四层信息是至关重要的。因此，第四层交换机在核心网络系统中，担负效劳器间负载均衡是一项非常重 要的应用。第四层交换机所支持的

4、效劳器负载均衡方式，是将附加有负载均衡效劳的IP地址，通过不同的物理效劳器组成一个集，共同提供相同的效劳，并将其定 义为一个单独的虚拟效劳器。这个虚拟效劳器是一个有单独IP地址的逻辑效劳器，用户数据流只需指向虚拟效劳器的IP地址，而不直接和物理效劳器的真实IP 地址进行通信。只有通过交换机执行的网络地址转换NAT后，未被注册IP地址的效劳器才能获得被访问的能力。这种定义虚拟效劳器的另一好处是，在隐藏 效劳器的实际IP地址后，可以有效地防止非授权访问。 第四层交换的作用主机备用连接 主机备用连接为端口设备提供了冗余连接，从而在交换机发生故障时有效保护系统，这种效劳允许定义主备交换机，同虚拟效劳器

5、定义一样，它们有相同的配置参 数。由于第四层交换机共享相同的MAC地址，备份交换机接收和主单元全部一样的数据。这使得备份交换机能够监视主交换机效劳的通信内容。主交换机持续地通 知备份交换机第四层的有关数据、MAC数据以及它的电源状况。主交换机失败时，备份交换机就会自动接管，不会中断对话或连接。 第四层交换的作用统计和通信监测通过查询第四层数据包，第四层交换机能够提供更详细的统计记录。因为管理员可以收集到更详细的哪一个IP地址在进行通信的信息，甚至可根据通信中涉及到哪 一个应用层效劳来收集通信信息。当效劳器支持多个效劳时，这些统计对于考察效劳器上每个应用的负载尤其有效。增加的统计效劳对于使用交换

6、机的效劳器负载平 衡效劳连接同样十分有用。 第七层交换应用层交换HTTP HTTPS FTP 对所有传输流和内容的控制 由于可以自由地完全翻开传输流的应用表示层，仔细分析其中的内容，因此可以根据应用的类型而非仅仅根据IP和端口号做出更智能的负载均衡决定。 多层交换应用效劳器负载均衡链路负载均衡内容控制WEB CACHEIPS入侵防御统计和审计负载均衡四层交换机收到用户请求利用实时的健康信息和性能信息选择最正确的效劳器充分地同时利用所有可用的效劳器在效劳器间智能分配流量IP 网络应用效劳器四层交换机用户负载均衡的原理IP NetworkLoad BalancerClientsClient Mes

7、sageSource IP = Client IPDestination IP = Load Balancer VIPSource IP = Client IPDefault Gateway = Load Balancer IP私有和平安的效劳器 IP用户访问负载均衡器 VIP负载均衡器执行 NATVIP = 虚拟 IP硬件负载均衡和软件负载均衡比照关键特点4-7层交换机基于PC的负载均衡注释模块热插拔YESNO冗余电源YES部分端口扩展性YESNO性能可升级性YESNOPC 平台需要彻底更换安全可靠的操作系统YESNOUnix操作系统安全可靠性较低万兆支持YESNOPC无法支持万兆吞吐网络设

8、计灵活性YESNOPC不适用于网络核心的串联设计直接连接服务器YESNOPC端口少线速 ACLs 和流量监控YESNO是否内置硬盘NO部分高可靠性网络设备不应该含有转动存储设备统计应用：效劳器健康检查周期性向效劳器发送健康检查检查失败时，效劳器和应用从效劳均衡列表中移除可定制健康检查2/3 层(ARP, Ping)4层 (TCP connections and UDP messages)7层 (HTTP, Application Specific, SSL, Scripted)Load BalancerRequestResponseServer taken out of serviceRequ

9、est会话保持IP NetworkLoad BalancerClients交易涉及多个TCP连接或UDP会话需要同一台效劳器处理所有连接按“交易负载均衡Connection to Browse Book 11Connection to Add Book 1 to Cart2Connection to Browse Book 23Connection to Add Book 2 to Cart4Connection to Checkout Cart512345Transaction persistence maintained会话保持机制4层TCP 连接保持Source IP & port, D

10、estination IP & port7层 Cookie交换Cookie 被插入在HTTP数据中具有相同cookie的所有请求被交换到同一台效劳器效劳器不插入Cookie时，负载均衡器可以插入cookiesSSL Session ID 交换UDP 会话保持Source IP & port, Destination IP & portInactivity timeout used to age sessions负载均衡高可用性两种高可用性模式Active-Standby (一主一备)Active-Active (负载分担)状态保存的会话切换保持活动会话，改善用户性能体验对应用和用户全透明GSL

11、B 提供站点级保护IP NetworkLoad BalancersClientsAB防火墙负载均衡RouterInternal NetworkInternetSecure, Protected NetworkFirewallFirewallFirewallLoad Balancer多台防火墙负载均衡以改善性能和提升扩展性防火墙失败时透明切换在防火墙资源耗尽时保护网络和效劳器ISP链路负载均衡充分的同时利用所有可用的ISP 链路智能地均衡流量，到达最优的利用率针对ISP不同价格和效劳灵活制定策略会聚多条低速链路成为一条虚拟的高速链路Enterprise NetworkRouter #1Route

12、r #2Router #3InternetISP1ISP2ISP3Load Balancer透明缓存交换效劳器加速透明重定向流量到缓存在缓存间负载均衡可接受单台缓存失败如所有缓存失败，流量被送往效劳器Web ServerFarmCacheStatic contentDynamicContent透明缓存交换互联网加速对缓存进行健康检查透明重定向流量至缓存在多台缓存间负载均衡一台缓存失败时，可透明切换所有缓存失败时，流量被直接转发到源效劳器Cache缓存内容至源效劳器Internet内容交换防止在所有效劳器上复制相同内容增加整体效劳器利用率和响应时间使用URL和HTTP 头内容选择最正确效劳器UR

13、L full, prefix and suffix matchBrowser type, device type and language codeIP NetworkServersfor EnglishJapanese ClientsEnglish ClientsServersfor JapaneseHTTP Language Code = EnglishHTTP Language Code = JapaneseIP Hdr TCP HdrHTTP HdrLanguage Code/home. foo /*.htmURL Switch七层交换URL交换控制/movies/songs/prod

14、ucts/products/supportABCDEServerContent根据 前缀, 后缀或 匹配模式定义规那么高达256条URL规那么，URL长度无限制支持 URL 散列: 对URL通过散列法选择效劳器保证同一URL访问在同一效劳器InternetServerIronXL七层交换差异客户内容控制IP NetworkPremium ServersNormal ServersPremium ClientsNormal Clients用户分类并提供差异效劳定制化性能和响应时间以满足不同客户需求区分客户Cookies 和其他7层信息源IP地址四七层控制：保障效劳器平安防DoS攻击，连接代理保护

15、效劳器免受攻击超级的防攻击性能14.88 Million SYN/sec地址翻译保证内部网络平安全面的IronShieldTM 平安特性集Transaction Rate Limiting, Connection Rate Limiting and Acess Control ListsSYN-DefenseTM and SYN-GuardTMTCP SYNTCP SYN ACK Special SEQ Good Client Bad ClientTCP ACK Special SEQComplete ConnectionTCP SYNTCP SYN ACK Special SEQBAD TC

16、P ACK Special SEQNO ConnectionFoundry ServerIron监控、统计和计费基于RFC3176的sFlow流量监控统计实时监控client/ServerIron，server/ServerIron间流量，提供详细统计报告不影响性能的前提下度量应用可用性、ToS、链路利用率以及其它参数识别DoS攻击INM四、七层市场演化智能Deep Content ScanSLBTCSFWLBGSLBDOS SecurityApplication Services and IntegrationCookieURLApplication SecurityBlade Server

17、 FarmsXMLEnterprise AppsVirus Worm Filtering平安D-DOS SecurityDNS SecuritySSL ID扩展性高可用性SSL Acceleration时间4-7层市场趋势平安、扩展性、和高可用性高速的防D-DoS攻击新型DDoS攻击要求能够对突发的泉涌式攻击进行保护DNS 成为新的攻击弱点和网络瓶颈跨数据中心的无缝冗余容灾，扩展性和Non-stop功能高端口密度满足效劳器数量扩展高吞吐量应用内容丰富的多媒体应用要求增加效劳器能力效劳器千兆铜线需要万兆上连需要端口、带宽可扩展的高可用平台第二节 网络平安设备IDS和IPSIDS:入侵监测系统IP

18、S:入侵防护系统平安事件类型统计 2005病毒事件 非授权访问 私有信息窃取拒绝效劳攻击内部网络的滥用 电脑盗窃 电信欺诈 公共web应用的滥用无线网络的滥用 金融欺诈 系统渗透 怠工、蓄意破坏Web页面替换燃眉之急有哪些？ 周末去郊游，没想到周一早晨一来，网络瘫痪了，原来是没及时安装周末刚发布的一个平安补丁，真是个“黑色星期一； 蠕虫病毒爆发，造成网络瘫痪，无法网上办公，邮件收不了，网页打不开； 有员工使用BT、电驴等P2P下载电影或MP3，造成上网速度奇慢无比； 有员工沉迷在QQ或MSN上聊天，或者玩传奇、魔兽等网络游戏，或者看在线视频，不专心工作，无法有效控制； 电脑被人破坏，公司机密资

19、料被人放在网上，原来都是间谍软件搞的鬼；防火墙的局限一种高级访问控制设备，置于不同网络平安域之间的一系列部件的组合，它是不同网络平安域间通信流的唯一通道，能根据企业有关的平安政策控制允许、拒绝、监视、记录进出网络的访问行为。 两个平安域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规那么决定进出网络的行为IDSIDSIDS在网络骨干上形成接收网络镜像传输数据并进行分析IPSIPSIPSIPS部署在流

20、量流经关卡，对流量进行检测，如果发现数据风险，当即将风险化解IPS与相关产品的区别IPS与IDSIDS侧重网络监控，注重平安审计IPS侧重访问控制，注重主动防御配合使用，优势互补NIPS防火墙模块是原有防火墙的一个补充两级过滤，防火墙负责静态规那么，NIPS负责动态规那么，相互配合，灵活方便不能完全替代单独的防火墙产品传统防火墙功能更为强大，访问控制力度细，NAT，IPSec，认证NIPS与防火墙IPS与IDS绿盟-冰之眼产品架构网络引擎控制台升级站点三大组件控制台探测器升级站点网络引擎IDS/IPS产品功能攻击防护防御黑客攻击防御蠕虫、网络病毒防御拒绝效劳攻击防御间谍软件管理控制控制IM即时

21、通讯控制P2P下载控制网络在线游戏控制在线视频IPS 部署模式DDOS拒绝效劳攻击者以消耗WEB资源为主，以至于不能向合法的用户提供效劳。攻击者也可以使用户帐号锁定，导致整个应用不能运行。按照攻击方式可以分为：资源消耗、效劳中止和物理破坏。其中资源消耗是指攻击者试图消耗目标的合法资源，例如：网络带宽、CPU、内存使用率等等。通常，网络层的拒绝效劳攻击是利用网络协议的漏洞，或者抢占网络设备有限的处理能力，造成网络或者效劳的瘫痪。DDoS攻击变得越来越普遍有意识的攻击Yahoo、ebay 等网站被拒绝效劳攻击，累计损失12亿美元2001年 CERT 被拒绝效劳攻击2002年 Microsoft被DDoS攻击，造成约5000万美元损失2002年 CNNIC 被拒绝效劳攻击2003年 全球13台根 DNS 中有8台被大规模拒绝效劳有组织、有预谋的涉及金钱利益的拒绝攻击出现溯本归原PK攻击分析图Reflector Ddos Atta