1、網絡前沿技術應用講座之四七層交換和網絡安全設備概念四七層交換對應OSI模型的第四層到第七層四層交換對應TCP或UDP交換七層對應應用交換第四層交換第四層交換機不僅可以完成端到端交換，還能根據端口主機的應用特點，確定或限制它的交換流量。簡單地說，第四層交換機是基于傳輸層數據包的交換過程的，是 一類基于TCP/IP協議應用層的用戶應用交換需求的新型局域網交換機。第四層交換機支持TCP/UDP第四層以下的所有協議，可識別至少80個字節的數 據包包頭長度，可根據TCP/UDP端口號來區分數據包的應用類型，從而實現應用層的訪問控制和效勞質量保證。與其說第四層交換機是硬件網絡設備， 還不如說它是軟件網絡管

2、理系統。也就是說，第四層交換機是一類以軟件技術為主，以硬件技術為輔的網絡管理交換設備。 第四層交換的作用包過濾/平安控制 在大多數路由器上，采用第四層信息去定義過濾規那么已經成為默認標準，所以有許多路由器被用作包過濾防火墻，在這種防火墻上不僅能夠配置允許或禁止IP子網 間的連接，還可以控制指定TCP/UDP端口的通信。和傳統的基于軟件的路由器不一樣，第四層交換區別于第三層交換的主要不同之處，就是在于這種過濾能力 是在ASIC專用高速芯片中實現的，從而使這種平安過濾控制機制可以全線速地進行，極大地提高了包過濾速率。 第四層交換的作用效勞質量 在網絡系統的層次結構中，TCP/UDP第四層信息，往往

3、用于建立應用級通信優先權限。如果沒有第四層交換概念，效勞質量/效勞級別就必然受制于第二層和 第三層提供的信息，例如MAC地址，交換端口，IP子網或VLAN等。顯然，在信息通信中，因缺乏第四層信息而受到阻礙時，緊急應用的優先權就無從談起， 這將大大阻止緊急應用在網絡上的迅速傳輸。第四層交換機允許用基于目的地址、目的端口號應用效勞的組合來區分優先級，于是緊急應用就可以獲得網絡的高 級別效勞。 第四層交換的作用效勞器負載均衡 在相似效勞內容的多臺效勞器間提供平衡流量負載支持時，第四層信息是至關重要的。因此，第四層交換機在核心網絡系統中，擔負效勞器間負載均衡是一項非常重 要的應用。第四層交換機所支持的

4、效勞器負載均衡方式，是將附加有負載均衡效勞的IP地址，通過不同的物理效勞器組成一個集，共同提供相同的效勞，并將其定 義為一個單獨的虛擬效勞器。這個虛擬效勞器是一個有單獨IP地址的邏輯效勞器，用戶數據流只需指向虛擬效勞器的IP地址，而不直接和物理效勞器的真實IP 地址進行通信。只有通過交換機執行的網絡地址轉換NAT后，未被注冊IP地址的效勞器才能獲得被訪問的能力。這種定義虛擬效勞器的另一好處是，在隱藏 效勞器的實際IP地址后，可以有效地防止非授權訪問。 第四層交換的作用主機備用連接 主機備用連接為端口設備提供了冗余連接，從而在交換機發生故障時有效保護系統，這種效勞允許定義主備交換機，同虛擬效勞器

5、定義一樣，它們有相同的配置參 數。由于第四層交換機共享相同的MAC地址，備份交換機接收和主單元全部一樣的數據。這使得備份交換機能夠監視主交換機效勞的通信內容。主交換機持續地通 知備份交換機第四層的有關數據、MAC數據以及它的電源狀況。主交換機失敗時，備份交換機就會自動接管，不會中斷對話或連接。 第四層交換的作用統計和通信監測通過查詢第四層數據包，第四層交換機能夠提供更詳細的統計記錄。因為管理員可以收集到更詳細的哪一個IP地址在進行通信的信息，甚至可根據通信中涉及到哪 一個應用層效勞來收集通信信息。當效勞器支持多個效勞時，這些統計對于考察效勞器上每個應用的負載尤其有效。增加的統計效勞對于使用交換

6、機的效勞器負載平 衡效勞連接同樣十分有用。 第七層交換應用層交換HTTP HTTPS FTP 對所有傳輸流和內容的控制 由于可以自由地完全翻開傳輸流的應用表示層，仔細分析其中的內容，因此可以根據應用的類型而非僅僅根據IP和端口號做出更智能的負載均衡決定。 多層交換應用效勞器負載均衡鏈路負載均衡內容控制WEB CACHEIPS入侵防御統計和審計負載均衡四層交換機收到用戶請求利用實時的健康信息和性能信息選擇最正確的效勞器充分地同時利用所有可用的效勞器在效勞器間智能分配流量IP 網絡應用效勞器四層交換機用戶負載均衡的原理IP NetworkLoad BalancerClientsClient Mes

7、sageSource IP = Client IPDestination IP = Load Balancer VIPSource IP = Client IPDefault Gateway = Load Balancer IP私有和平安的效勞器 IP用戶訪問負載均衡器 VIP負載均衡器執行 NATVIP = 虛擬 IP硬件負載均衡和軟件負載均衡比照關鍵特點4-7層交換機基于PC的負載均衡注釋模塊熱插拔YESNO冗余電源YES部分端口擴展性YESNO性能可升級性YESNOPC 平臺需要徹底更換安全可靠的操作系統YESNOUnix操作系統安全可靠性較低萬兆支持YESNOPC無法支持萬兆吞吐網絡設

8、計靈活性YESNOPC不適用于網絡核心的串聯設計直接連接服務器YESNOPC端口少線速 ACLs 和流量監控YESNO是否內置硬盤NO部分高可靠性網絡設備不應該含有轉動存儲設備統計應用：效勞器健康檢查周期性向效勞器發送健康檢查檢查失敗時，效勞器和應用從效勞均衡列表中移除可定制健康檢查2/3 層(ARP, Ping)4層 (TCP connections and UDP messages)7層 (HTTP, Application Specific, SSL, Scripted)Load BalancerRequestResponseServer taken out of serviceRequ

9、est會話保持IP NetworkLoad BalancerClients交易涉及多個TCP連接或UDP會話需要同一臺效勞器處理所有連接按“交易負載均衡Connection to Browse Book 11Connection to Add Book 1 to Cart2Connection to Browse Book 23Connection to Add Book 2 to Cart4Connection to Checkout Cart512345Transaction persistence maintained會話保持機制4層TCP 連接保持Source IP & port, D

10、estination IP & port7層 Cookie交換Cookie 被插入在HTTP數據中具有相同cookie的所有請求被交換到同一臺效勞器效勞器不插入Cookie時，負載均衡器可以插入cookiesSSL Session ID 交換UDP 會話保持Source IP & port, Destination IP & portInactivity timeout used to age sessions負載均衡高可用性兩種高可用性模式Active-Standby (一主一備)Active-Active (負載分擔)狀態保存的會話切換保持活動會話，改善用戶性能體驗對應用和用戶全透明GSL

11、B 提供站點級保護IP NetworkLoad BalancersClientsAB防火墻負載均衡RouterInternal NetworkInternetSecure, Protected NetworkFirewallFirewallFirewallLoad Balancer多臺防火墻負載均衡以改善性能和提升擴展性防火墻失敗時透明切換在防火墻資源耗盡時保護網絡和效勞器ISP鏈路負載均衡充分的同時利用所有可用的ISP 鏈路智能地均衡流量，到達最優的利用率針對ISP不同價格和效勞靈活制定策略會聚多條低速鏈路成為一條虛擬的高速鏈路Enterprise NetworkRouter #1Route

12、r #2Router #3InternetISP1ISP2ISP3Load Balancer透明緩存交換效勞器加速透明重定向流量到緩存在緩存間負載均衡可接受單臺緩存失敗如所有緩存失敗，流量被送往效勞器Web ServerFarmCacheStatic contentDynamicContent透明緩存交換互聯網加速對緩存進行健康檢查透明重定向流量至緩存在多臺緩存間負載均衡一臺緩存失敗時，可透明切換所有緩存失敗時，流量被直接轉發到源效勞器Cache緩存內容至源效勞器Internet內容交換防止在所有效勞器上復制相同內容增加整體效勞器利用率和響應時間使用URL和HTTP 頭內容選擇最正確效勞器UR

13、L full, prefix and suffix matchBrowser type, device type and language codeIP NetworkServersfor EnglishJapanese ClientsEnglish ClientsServersfor JapaneseHTTP Language Code = EnglishHTTP Language Code = JapaneseIP Hdr TCP HdrHTTP HdrLanguage Code/home. foo /*.htmURL Switch七層交換URL交換控制/movies/songs/prod

14、ucts/products/supportABCDEServerContent根據 前綴, 后綴或 匹配模式定義規那么高達256條URL規那么，URL長度無限制支持 URL 散列: 對URL通過散列法選擇效勞器保證同一URL訪問在同一效勞器InternetServerIronXL七層交換差異客戶內容控制IP NetworkPremium ServersNormal ServersPremium ClientsNormal Clients用戶分類并提供差異效勞定制化性能和響應時間以滿足不同客戶需求區分客戶Cookies 和其他7層信息源IP地址四七層控制：保障效勞器平安防DoS攻擊，連接代理保護

15、效勞器免受攻擊超級的防攻擊性能14.88 Million SYN/sec地址翻譯保證內部網絡平安全面的IronShieldTM 平安特性集Transaction Rate Limiting, Connection Rate Limiting and Acess Control ListsSYN-DefenseTM and SYN-GuardTMTCP SYNTCP SYN ACK Special SEQ Good Client Bad ClientTCP ACK Special SEQComplete ConnectionTCP SYNTCP SYN ACK Special SEQBAD TC

16、P ACK Special SEQNO ConnectionFoundry ServerIron監控、統計和計費基于RFC3176的sFlow流量監控統計實時監控client/ServerIron，server/ServerIron間流量，提供詳細統計報告不影響性能的前提下度量應用可用性、ToS、鏈路利用率以及其它參數識別DoS攻擊INM四、七層市場演化智能Deep Content ScanSLBTCSFWLBGSLBDOS SecurityApplication Services and IntegrationCookieURLApplication SecurityBlade Server

17、 FarmsXMLEnterprise AppsVirus Worm Filtering平安D-DOS SecurityDNS SecuritySSL ID擴展性高可用性SSL Acceleration時間4-7層市場趨勢平安、擴展性、和高可用性高速的防D-DoS攻擊新型DDoS攻擊要求能夠對突發的泉涌式攻擊進行保護DNS 成為新的攻擊弱點和網絡瓶頸跨數據中心的無縫冗余容災，擴展性和Non-stop功能高端口密度滿足效勞器數量擴展高吞吐量應用內容豐富的多媒體應用要求增加效勞器能力效勞器千兆銅線需要萬兆上連需要端口、帶寬可擴展的高可用平臺第二節 網絡平安設備IDS和IPSIDS:入侵監測系統IP

18、S:入侵防護系統平安事件類型統計 2005病毒事件 非授權訪問 私有信息竊取拒絕效勞攻擊內部網絡的濫用 電腦盜竊 電信欺詐 公共web應用的濫用無線網絡的濫用 金融欺詐 系統滲透 怠工、蓄意破壞Web頁面替換燃眉之急有哪些？ 周末去郊游，沒想到周一早晨一來，網絡癱瘓了，原來是沒及時安裝周末剛發布的一個平安補丁，真是個“黑色星期一； 蠕蟲病毒爆發，造成網絡癱瘓，無法網上辦公，郵件收不了，網頁打不開； 有員工使用BT、電驢等P2P下載電影或MP3，造成上網速度奇慢無比； 有員工沉迷在QQ或MSN上聊天，或者玩傳奇、魔獸等網絡游戲，或者看在線視頻，不專心工作，無法有效控制； 電腦被人破壞，公司機密資

19、料被人放在網上，原來都是間諜軟件搞的鬼；防火墻的局限一種高級訪問控制設備，置于不同網絡平安域之間的一系列部件的組合，它是不同網絡平安域間通信流的唯一通道，能根據企業有關的平安政策控制允許、拒絕、監視、記錄進出網絡的訪問行為。 兩個平安域之間通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根據訪問控制規那么決定進出網絡的行為IDSIDSIDS在網絡骨干上形成接收網絡鏡像傳輸數據并進行分析IPSIPSIPSIPS部署在流

20、量流經關卡，對流量進行檢測，如果發現數據風險，當即將風險化解IPS與相關產品的區別IPS與IDSIDS側重網絡監控，注重平安審計IPS側重訪問控制，注重主動防御配合使用，優勢互補NIPS防火墻模塊是原有防火墻的一個補充兩級過濾，防火墻負責靜態規那么，NIPS負責動態規那么，相互配合，靈活方便不能完全替代單獨的防火墻產品傳統防火墻功能更為強大，訪問控制力度細，NAT，IPSec，認證NIPS與防火墻IPS與IDS綠盟-冰之眼產品架構網絡引擎控制臺升級站點三大組件控制臺探測器升級站點網絡引擎IDS/IPS產品功能攻擊防護防御黑客攻擊防御蠕蟲、網絡病毒防御拒絕效勞攻擊防御間諜軟件管理控制控制IM即時

21、通訊控制P2P下載控制網絡在線游戲控制在線視頻IPS 部署模式DDOS拒絕效勞攻擊者以消耗WEB資源為主，以至于不能向合法的用戶提供效勞。攻擊者也可以使用戶帳號鎖定，導致整個應用不能運行。按照攻擊方式可以分為：資源消耗、效勞中止和物理破壞。其中資源消耗是指攻擊者試圖消耗目標的合法資源，例如：網絡帶寬、CPU、內存使用率等等。通常，網絡層的拒絕效勞攻擊是利用網絡協議的漏洞，或者搶占網絡設備有限的處理能力，造成網絡或者效勞的癱瘓。DDoS攻擊變得越來越普遍有意識的攻擊Yahoo、ebay 等網站被拒絕效勞攻擊，累計損失12億美元2001年 CERT 被拒絕效勞攻擊2002年 Microsoft被DDoS攻擊，造成約5000萬美元損失2002年 CNNIC 被拒絕效勞攻擊2003年 全球13臺根 DNS 中有8臺被大規模拒絕效勞有組織、有預謀的涉及金錢利益的拒絕攻擊出現溯本歸原PK攻擊分析圖Reflector Ddos Atta