本章通过介绍对理解IP流量平面安全性至关重要的概念和术语,为本书的其余部分打下了基础。回顾了基本的IP网络概念和IP协议操作,包括在网络中发现的各种包类型,以及这些包如何适用于不同的IP流量平面。然后,对路由器使用的分组处理和转发机制进行了综述。特别关注每个业务平面内不同的包类型如何影响转发机制。最后,回顾了各种路由器硬件架构,再次强调了路由器性能和网络安全如何受到IP流量平面的影响。
IP网络概念
Internet协议(IP)和IP/多协议标签交换(IP/MPLS)基于分组的网络能够支持聚合网络服务,正在迅速取代基于时分复用(TDM)、帧中继、异步传输模式(ATM)和其他传统技术的专用网络。全球的服务提供商正在部署IP/MPLS核心网络,以实现IP网络提供的效率和可伸缩性,并使其能够迅速扩展到新的服务市场。企业也在利用端到端、任意对任意连接的IP模型,通过基础设施和运营效率改进来驱动业务变化的盈利模型,并抓住电子商务的机会。
为聚合服务构建和操作IP网络基础设施是一种平衡行为。满足客户要求的电信级需求,同时支持具有不同带宽、抖动和延迟需求的多个不同服务,是一项具有挑战性的任务。传统的单用途网络是用特定的、严格控制的操作特征来设计和构建的,以支持单个服务。因此,每个网络所支持的(通常)单个服务通常能够完美地工作。这相对容易实现,因为这些网络只服务于一个受到严格控制的应用程序/服务。在一个公共IP骨干网上承载Internet流量、语音和视频流量、蜂窝流量和私有(VPN)业务流量对网络设计和网络操作都具有重要意义。这些交通服务中的任何一个中断都可能潜在地中断其他任何服务或更广泛的网络。因此,网络安全在聚合网络中的重要性被放大了。
注意 -传统的网络安全重点领域包括保密,完整性,可用性(CIA),在不同程度上,这取决于网络的功能。随着网络融合已经站稳了脚跟,这些领域的重要性而改变。
例如,可用性不再是一个简单的二进制“up/down”或“on/off”函数,而是必须考虑其他问题,如拥塞和处理延迟造成的网络延迟。例如,考虑恶意流量的影响,甚至一个服务的流量模式的变化,比如Internet数据。这可能会导致拥塞,从而影响到另一种服务,如IP语音(VoIP)流量通过相同的核心路由器,但在不同的路由器服务的飞机(如将在本章中以后定义)。由于可将不同业务和网络整合到单一IP核的主要动机之一是为了获得资本和运营支出(CAPEX和OPEX)的效率,这个扰动可用性可能导致整个收入模式,如果高价值服务中断不能充分支持。这是发展中有关IP网络的安全性,一个围绕着IP业务层面的概念模型不同的思维方式的基础。
首先考虑IP网络与其他网络类型的区别,IP网络流量平面的概念是最好的介绍:
IP网络承载的所有数据包在一个共同的管。从根本上说,所有网络本质上都有两种包:
- - - - - -数据包属于用户和执行用户或应用流
- - - - - -控制报文属于网络的,用于动态地构建和操作网络
其中IP协议的优势之一是,所有的数据包都在开展常见的管(也称为“带内”)。遗留网络通常依赖于单独的通道来获取数据和控制流量。IP不会将流量分割成单独的通道。正如本书的主题所暗示的,对不同的流量类型进行分类是划分和保护IP网络的第一步。这些任务中的每一个——流量分类、分段和控制——对IP网络安全都是必不可少的。
IP网络提供任意到任意的性质和终端到端到端连接。在最简单的形式,一个路由器提供IP数据包的基于目的地的转发。如果路由器在其转发表中的目的地前缀,它将转发朝其最终目的地的数据包。因此,路由(更具体地说,是在路由器的转发表什么前缀)是最重要的一个,但往往被忽视,IP网络安全的组成部分。
例如,使用a默认路由通常对网络安全有重大影响。IP无处不在的特性,以及它的任意对任意、端到端操作特性,在前所未有的水平上提供了固有的灵活性和可伸缩性。这既是IP网络的一个积极方面,也是一个消极方面。从积极的方面来说,这提供了即时的全球连接,这使得创新和不断的进化成为可能。然而,消极的一面是,这种全球性的联系也通过这些网络提供了空前的误用和滥用的机会。(在现实世界中,一个人必须接近现场才能实施犯罪。但在网络世界,情况并非如此。此外,一个人可以在网络世界造成巨大的破坏——换句话说,有一种力量——倍增器——这是现实世界所没有的。
IP网络使用IETF定义的开放标准;访问协议标准是免费提供给大家。这些标准是独立于任何特定的计算机硬件或操作系统。这种开放性鼓励,那在IP网络上运行新的应用和服务,推动创新。这导致了一些挑战,以及,但是。为网络,以跟上快速变化的需求的步伐往往很难。支持新的应用和服务可以提出新的挑战流动特性。一些例子包括:
- 不对称与对称上行/下行带宽与对等网络的网络
-增加视频服务的绝对带宽利用率和单播与多播包类型
- 耐延迟和抖动特性的变化的语音服务
此外,网络必须被滥用,误配置,混淆,或干脆恶意是有弹性的,足以账户滥用,无论是。
这些概念是这本书背后的推动因素。在今天的IP网络中,区分不同的流量类型,将它们划分为不同的IP流量平面,并结合机制来控制它们对更广泛的网络的影响是至关重要的。
本书重点介绍了两大类网络,为演示IP网络流量平面分离的概念提供了一个背景企业网络和网络服务提供者。虽然它们之间有相似之处,它们之间的差异显著是展示详细介绍在后面的章节IP业务层面的安全概念和技术是有用的。这些网络类型的以下描述被提供作为概述,简单地引入IP流量平面的概念。这并不是要作为设计底漆企业或服务提供商的网络。
企业网络
企业网络形成了一个大型的、广泛的类别,以其架构细节和典型的流量流来区分。企业经常建立网络来满足四个目标:
相互连接内部用户和应用程序
为内部用户提供访问同一组织(管理域)内的远程站点的权限,并且很可能还可以访问更广泛的Internet
将外部用户(Internet)连接到组织控制下的公开广告资源(例如,web站点)
将外部合作伙伴(外联网)连接到组织控制下的分段业务资源(非公共)
企业网络可以是小型,中型或大型,并且无疑具有许多内部变化。然而,他们也有很多共同的特征,包括:
一个定义明确的结构,典型地如下核心,分发和访问层的分级三层模型。在此,芯层为网络提供高速切换主干,以及连接到广域网,它可以由公共互联网,一个IP VPN或私有IP网络。分布层连接核心和接入层,并且通常提供用于网络的策略执行点。接入层提供用户和服务器到网络的本地段的访问。在小型网络中,这三个层常常合并。
界限分明的边缘,用作区分的分界线企业方面和提供方(或私人和公共)从所有权和资本财产的角度。在大多数情况下,谁拥有网络中的设备、这些设备负责什么以及谁被授权访问这些特定的设备和服务都是很清楚的。
一组定义良好的IP协议,包括用于动态路由(如Open最短路径优先[OSPF])的内部网关协议(IGP)、网络管理协议(如简单网络管理协议[SNMP]、syslog、FTP等)和支持企业客户端/服务器应用程序和其他内部功能的其他IP协议。
在网络边缘(内侧至外侧和外到内)运行的良好定义的业务流,并且业务流的网络的内部只运行。边缘几乎总是作为一个安全边界,并提出约束业务的机会穿越流根据定义的安全策略这一边界。内部交通流完全停留在企业内部网络。企业网络不应该有过境交通流,也就是进入网络边缘不应有不属于企业网络地址空间的一部分,目的地址的数据包,因此只会回流出网络。
图1 - 1是一个普通的,企业的网络架构。
这些特征为在企业网络中保护IP流量平面提供了基础,您将在后面的部分中更详细地了解这些特征。此外,在第8章“企业网络案例研究”中提供了关于在企业网络中保护IP流量平面的详细案例研究。
概念企业网络架构
网络服务提供者
服务提供者网络还形成了一个大型的、广泛的类别,其特点是其架构细节和典型的流量流。服务提供者网络是为了利润而建立的。也就是说,网络是收入的来源(或促进收入的产生)。为了创造收入,服务提供商建立网络的原因如下:
提供交通为自己的(企业)客户访问其他直接附属的(企业)客户站点和所有公开广告的地址空间(换句话说,Internet)的流量容量
提供流量容量和外部用户对服务提供商直接托管的内容和服务的访问
提供内部服务提供者拥有的其他聚合服务的流量容量,以利用IP核心网络
一般来说,SP网络具有以下特点: