网络前沿技术讲座之四四、七层交换和网络安全设备

1、 网络前沿技术讲座之四 四、七层交换和网络平安设备.概念四七层交换对应OSI模型的第四层到第七层四层交换对应TCP或UDP交换七层对应运用交换.第四层交换第四层交换机不仅可以完成端到端交换，还能根据端口主机的运用特点，确定或限制它的交换流量。简单地说，第四层交换机是基于传输层数据包的交换过程的，是 一类基于TCP/IP协议运用层的用户运用交换需求的新型局域网交换机。第四层交换机支持TCP/UDP第四层以下的一切协议，可识别至少80个字节的数 据包包头长度，可根据TCP/UDP端口号来区分数据包的运用类型，从而实现运用层的访问控制和效力质量保证。与其说第四层交换机是硬件网络设备， 还不如说它是软

2、件网络管理系统。也就是说，第四层交换机是一类以软件技术为主，以硬件技术为辅的网络管理交换设备。 .第四层交换的作用包过滤/平安控制 在大多数路由器上，采用第四层信息去定义过滤规那么曾经成为默许规范，所以有许多路由器被用作包过滤防火墙，在这种防火墙上不仅可以配置允许或制止IP子网 间的衔接，还可以控制指定TCP/UDP端口的通讯。和传统的基于软件的路由器不一样，第四层交换区别于第三层交换的主要不同之处，就是在于这种过滤才干 是在ASIC公用高速芯片中实现的，从而使这种平安过滤控制机制可以全线速地进展，极大地提高了包过滤速率。 .第四层交换的作用效力质量 在网络系统的层次构造中，TCP/UDP第四

3、层信息，往往用于建立运用级通讯优先权限。假设没有第四层交换概念，效力质量/效力级别就必然受制于第二层和 第三层提供的信息，例如MAC地址，交换端口，IP子网或VLAN等。显然，在信息通讯中，因缺乏第四层信息而遭到妨碍时，紧急运用的优先权就无从谈起， 这将大大阻止紧急运用在网络上的迅速传输。第四层交换机允许用基于目的地址、目的端口号运用效力的组合来区分优先级，于是紧急运用就可以获得网络的高 级别效力。 .第四层交换的作用效力器负载平衡 在类似效力内容的多台效力器间提供平衡流量负载支持时，第四层信息是至关重要的。因此，第四层交换机在中心网络系统中，担负效力器间负载平衡是一项非常重 要的运用。第四层

4、交换机所支持的效力器负载平衡方式，是将附加有负载平衡效力的IP地址，经过不同的物理效力器组成一个集，共同提供一样的效力，并将其定 义为一个单独的虚拟效力器。这个虚拟效力器是一个有单独IP地址的逻辑效力器，用户数据流只需指向虚拟效力器的IP地址，而不直接和物理效力器的真实IP 地址进展通讯。只需经过交换机执行的网络地址转换NAT后，未被注册IP地址的效力器才干获得被访问的才干。这种定义虚拟效力器的另一益处是，在隐藏 效力器的实践IP地址后，可以有效地防止非授权访问。 .第四层交换的作用主机备用衔接 主机备用衔接为端口设备提供了冗余衔接，从而在交换机发生缺点时有效维护系统，这种效力允许定义主备交换

5、机，同虚拟效力器定义一样，它们有一样的配置参 数。由于第四层交换机共享一样的MAC地址，备份交换机接纳和主单元全部一样的数据。这使得备份交换机可以监视主交换机效力的通讯内容。主交换机继续地通 知备份交换机第四层的有关数据、MAC数据以及它的电源情况。主交换机失败时，备份交换机就会自动接纳，不会中断对话或衔接。 .第四层交换的作用统计和通讯监测经过查询第四层数据包，第四层交换机可以提供更详细的统计记录。由于管理员可以搜集到更详细的哪一个IP地址在进展通讯的信息，甚至可根据通讯中涉及到哪 一个运用层效力来搜集通讯信息。当效力器支持多个效力时，这些统计对于调查效力器上每个运用的负载尤其有效。添加的统

6、计效力对于运用交换机的效力器负载平 衡效力衔接同样非常有用。 .第七层交换运用层交换 HTTPS FTP 对一切传输流和内容的控制 由于可以自在地完全翻开传输流的运用表示层，仔细分析其中的内容，因此可以根据运用的类型而非仅仅根据IP和端口号做出更智能的负载平衡决议。 .多层交换运用效力器负载平衡链路负载平衡内容控制WEB CACHEIPS入侵防御统计和审计.负载平衡四层交换机收到用户恳求利用实时的安康信息和性能信息选择最正确的效力器充分地同时利用一切可用的效力器在效力器间智能分配流量IP 网络运用效力器四层交换机用户.负载平衡的原理IP NetworkLoad BalancerClients0

7、00VIP = Client MessageSource IP = Client IPDestination IP = Load Balancer VIPSource IP = Client IPDestination IP = 0GW IP = Default Gateway = Load Balancer IP私有和平安的效力器 IP用户访问负载平衡器 VIP负载平衡器执行 NATVIP = 虚拟 IP.硬件负载平衡和软件负载平衡对比关键特点4-7层交换机基于PC的负载均衡注释模块热插拔YESNO冗余电源YES部分端口扩展性YESNO性能可升级性YESNOPC 平台需要彻底更换安全可靠的操

8、作系统YESNOUnix操作系统安全可靠性较低万兆支持YESNOPC无法支持万兆吞吐网络设计灵活性YESNOPC不适用于网络核心的串联设计直接连接服务器YESNOPC端口少线速 ACLs 和流量监控YESNO是否内置硬盘NO部分高可靠性网络设备不应该含有转动存储设备.统计运用：效力器安康检查周期性向效力器发送安康检查检查失败时，效力器和运用从效力平衡列表中移除可定制安康检查2/3 层(ARP, Ping)4层 (TCP connections and UDP messages)7层 (, Application Specific, SSL, Scripted)Load BalancerRequ

9、estResponseServer taken out of serviceRequest.会话坚持IP NetworkLoad BalancerClients买卖涉及多个TCP衔接或UDP会话需求同一台效力器处置一切衔接按“买卖负载平衡Connection to Browse Book 11Connection to Add Book 1 to Cart2Connection to Browse Book 23Connection to Add Book 2 to Cart4Connection to Checkout Cart512345Transaction persistence ma

10、intained.会话坚持机制4层TCP 衔接坚持Source IP & port, Destination IP & port7层 Cookie交换Cookie 被插入在HTTP数据中具有一样cookie的一切恳求被交换到同一台效力器效力器不插入Cookie时，负载平衡器可以插入cookiesSSL Session ID 交换UDP 会话坚持Source IP & port, Destination IP & portInactivity timeout used to age sessions.负载平衡高可用性两种高可用性方式Active-Standby (一主一备)Active-Acti

11、ve (负载分担)形状保管的会话切换坚持活动会话，改善用户性能体验对运用和用户全透明GSLB 提供站点级维护IP NetworkLoad BalancersClientsAB.防火墙负载平衡RouterInternal NetworkInternetSecure, Protected NetworkFirewallFirewallFirewallLoad Balancer多台防火墙负载平衡以改善性能和提升扩展性防火墙失败时透明切换在防火墙资源耗尽时维护网络和效力器.ISP链路负载平衡充分的同时利用一切可用的ISP 链路智能地平衡流量，到达最优的利用率针对ISP不同价钱和效力灵敏制定战略会聚多条

12、低速链路成为一条虚拟的高速链路Enterprise NetworkRouter #1Router #2Router #3InternetISP1ISP2ISP3Load Balancer.透明缓存交换效力器加速透明重定向流量到缓存在缓存间负载平衡可接受单台缓存失败如一切缓存失败，流量被送往效力器Web ServerFarmCacheStatic contentDynamicContent.透明缓存交换互联网加速对缓存进展安康检查透明重定向流量至缓存在多台缓存间负载平衡一台缓存失败时，可透明切换一切缓存失败时，流量被直接转发到源效力器Cache缓存内容至源效力器Internet.内容交换防止在一

13、切效力器上复制一样内容添加整体效力器利用率和呼应时间运用URL和HTTP 头内容选择最正确效力器URL full, prefix and suffix matchBrowser type, device type and language codeIP NetworkServersfor EnglishJapanese ClientsEnglish ClientsServersfor Japanese Language Code = English Language Code = JapaneseIP Hdr TCP Hdr HdrLanguage Codefoo/*.gif/home. fo

14、o/*.htmfoo/*.binURL Switch.七层交换URL交换控制/movies/songs/products/products/supportABCDEServerContent根据 前缀, 后缀或 匹配方式定义规那么高达256条URL规那么，URL长度无限制支持 URL 散列: 对URL经过散列法选择效力器保证同一URL访问在同一效力器InternetServerIronXL.七层交换差别客户内容控制IP NetworkPremium ServersNormal ServersPremium ClientsNormal Clients用户分类并提供差别效力定制化性能和呼应时间以满

15、足不同客户需求区分客户Cookies 和其他7层信息源IP地址.四七层控制：保证效力器平安防DoS攻击，衔接代理维护效力器免受攻击超级的防攻击性能14.88 Million SYN/sec地址翻译保证内部网络平安全面的IronShieldTM 平安特性集Transaction Rate Limiting, Connection Rate Limiting and Acess Control ListsSYN-DefenseTM and SYN-GuardTMTCP SYNTCP SYN ACK Special SEQ Good Client Bad ClientTCP ACK Special

16、SEQComplete ConnectionTCP SYNTCP SYN ACK Special SEQBAD TCP ACK Special SEQNO ConnectionFoundry ServerIron.监控、统计和计费基于RFC3176的sFlow流量监控统计实时监控client/ServerIron，server/ServerIron间流量，提供详细统计报告不影响性能的前提下度量运用可用性、ToS、链路利用率以及其它参数识别DoS攻击INM.四、七层市场演化智能Deep Content ScanSLBTCSFWLBGSLBDOS SecurityApplication Servi

17、ces and IntegrationCookieURLApplication SecurityBlade Server FarmsXMLEnterprise AppsVirus Worm Filtering平安D-DOS SecurityDNS SecuritySSL ID扩展性高可用性SSL Acceleration时间.4-7层市场趋势平安、扩展性、和高可用性高速的防D-DoS攻击新型DDoS攻击要求可以对突发的泉涌式攻击进展维护DNS 成为新的攻击弱点和网络瓶颈跨数据中心的无缝冗余容灾，扩展性和Non-stop功能高端口密度满足效力器数量扩展高吞吐量运用内容丰富的多媒体运用要求添加效力

18、器才干效力器千兆铜线需求万兆上连需求端口、带宽可扩展的高可用平台.第二节 网络平安设备.IDS和IPSIDS:入侵监测系统IPS:入侵防护系统.平安事件类型统计 2005病毒事件 非授权访问 私有信息窃取回绝效力攻击内部网络的滥用 电脑盗窃 电信欺诈 公共web运用的滥用无线网络的滥用 金融欺诈 系统浸透 怠工、蓄意破坏Web页面交换.燃眉之急有哪些？ 周末去郊游，没想到周一早晨一来，网络瘫痪了，原来是没及时安装周末刚发布的一个平安补丁，真是个“黑色星期一； 蠕虫病毒迸发，呵斥网络瘫痪，无法网上办公，邮件收不了，网页打不开； 有员工运用BT、电驴等P2P下载电影或MP3，呵斥上网速度奇慢无比；

19、 有员工沉浸在QQ或MSN上聊天，或者玩传奇、魔兽等网络游戏，或者看在线视频，不专心任务，无法有效控制； 电脑被人破坏，公司资料被人放在网上，原来都是间谍软件搞的鬼；.防火墙的局限一种高级访问控制设备，置于不同网络平安域之间的一系列部件的组合，它是不同网络平安域间通讯流的独一通道，能根据企业有关的平安政策控制允许、回绝、监视、记录进出网络的访问行为。 两个平安域之间通讯流的独一通道平安域1Host A Host B 平安域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据

20、访问控制规那么决议进出网络的行为.IDSIDSIDS在网络骨干上构成接纳网络镜像传输数据并进展分析.IPSIPSIPSIPS部署在流量流经关卡，对流量进展检测，假设发现数据风险，当即将风险化解.IPS与相关产品的区别IPS与IDSIDS偏重网络监控，注重平安审计IPS偏重访问控制，注重自动防御配合运用，优势互补NIPS防火墙模块是原有防火墙的一个补充两级过滤，防火墙担任静态规那么，NIPS担任动态规那么，相互配合，灵敏方便不能完全替代单独的防火墙产品传统防火墙功能更为强大，访问控制力度细，NAT，IPSec，认证NIPS与防火墙IPS与IDS.绿盟-冰之眼产品架构网络引擎控制台晋级站点三大组件

21、控制台探测器晋级站点网络引擎.IDS/IPS产品功能攻击防护防御黑客攻击防御蠕虫、网络病毒防御回绝效力攻击防御间谍软件管理控制控制IM即时通讯控制P2P下载控制网络在线游戏控制在线视频.IPS 部署方式.DDOS回绝效力攻击者以耗费WEB资源为主，以致于不能向合法的用户提供效力。攻击者也可以运用户帐号锁定，导致整个运用不能运转。按照攻击方式可以分为：资源耗费、效力中止和物理破坏。其中资源耗费是指攻击者试图耗费目的的合法资源，例如：网络带宽、CPU、内存运用率等等。通常，网络层的回绝效力攻击是利用网络协议的破绽，或者抢占网络设备有限的处置才干，呵斥网络或者效力的瘫痪。.DDoS攻击变得越来越普遍有认识的攻击Yahoo、ebay 等网站被回绝效力攻击，累计损失12亿美圆2001年 CERT 被回绝效力攻击2002年 Microsoft被DDoS攻击，呵斥约5000万美圆损失2002年 CNNIC 被回绝效力攻击2003年 全球13台根 DNS 中有8台被大规模回绝效力有组织、有预谋的涉及金钱利益的回绝攻击出现溯本归原PK.攻击分析图.Reflector Ddos Attac