|
盡管網(wǎng)絡(luò)安全(服務(wù)器租用找:51033397)專家都在著力開發(fā)抗DoS攻擊的辦法,但收效不大�,因?yàn)镈oS攻擊利用了TCP協(xié)議本身的弱點(diǎn)。在交換機(jī)上進(jìn)行設(shè)置���,并安裝專門的DoS識(shí)別和預(yù)防工具���,能最大限度地 減少DoS攻擊造成的損失。
利用三層交換建立全面的網(wǎng)絡(luò)安全(服務(wù)器租用找:51033397)體系����,其基礎(chǔ)必須是以三層交換和路由為核心的智能型網(wǎng)絡(luò),有完善的三層以上的安全(服務(wù)器租用找:51033397)策略管理工具���。
局域網(wǎng)層
在局域網(wǎng)層上�,可采取很多預(yù)防措施�����。例如���,盡管完全消除IP分組假冒現(xiàn)象幾乎不可能�,但網(wǎng)管可構(gòu)建過(guò)濾器,如果數(shù)據(jù)帶有內(nèi)部網(wǎng)的信源地址���,則通過(guò)限制數(shù)據(jù)輸入流量���,有效降低內(nèi)部假冒IP攻擊。過(guò)濾器還可限制外部IP分組流����,防止假冒IP的DoS攻擊被當(dāng)作中間系統(tǒng)。
其他方法還有:關(guān)閉或限制特定服務(wù)�,如限定UDP服務(wù)只允許于內(nèi)部網(wǎng)中用于網(wǎng)絡(luò)診斷目的。
但是��,這些限制措施可能給合法應(yīng)用(如采用UDP作為傳輸機(jī)制的RealAudio)帶來(lái)負(fù)面影響�。
網(wǎng)絡(luò)傳輸層
以下對(duì)網(wǎng)絡(luò)傳輸層的控制可對(duì)以上不足進(jìn)行補(bǔ)充。
獨(dú)立于層的線速服務(wù)質(zhì)量(QoS)和訪問(wèn)控制 帶有可配置智能軟件�����、獨(dú)立于層的QoS和訪問(wèn)控制功能的線速多層交換機(jī)的出現(xiàn)�,改善了網(wǎng)絡(luò)傳輸設(shè)備保護(hù)數(shù)據(jù)流完整性的能力��。
在傳統(tǒng)路由器中,認(rèn)證機(jī)制(如濾除帶有內(nèi)部地址的假冒分組)要求流量到達(dá)路由器邊緣�,并與特定訪問(wèn)控制列表中的標(biāo)準(zhǔn)相符。但維護(hù)訪問(wèn)控制列表不僅耗時(shí)�,而且極大增加了路由器開銷。
相比之下�,線速多層交換機(jī)可靈活實(shí)現(xiàn)各種基于策略的訪問(wèn)控制。
這種獨(dú)立于層的訪問(wèn)控制能力把安全(服務(wù)器租用找:51033397)決策與網(wǎng)絡(luò)結(jié)構(gòu)決策完全分開��,使網(wǎng)管員在有效部署了DoS預(yù)防措施的同時(shí)��,不必采用次優(yōu)的路由或交換拓?fù)�。結(jié)果,網(wǎng)管員和服務(wù)供應(yīng)商能把整個(gè)城域網(wǎng)����、數(shù)據(jù)中心或企業(yè)網(wǎng)環(huán)境中基于策略的控制標(biāo)準(zhǔn)無(wú)縫地集成起來(lái),而不管它采用的是復(fù)雜的基于路由器的核心服務(wù)�,還是相對(duì)簡(jiǎn)單的第二層交換。此外����,線速處理數(shù)據(jù)認(rèn)證可在后臺(tái)執(zhí)行,基本沒有性能延遲�。
可定制的過(guò)濾和“信任鄰居”機(jī)制
智能多層訪問(wèn)控制的另一優(yōu)點(diǎn)是,能簡(jiǎn)便地實(shí)現(xiàn)定制過(guò)濾操作���,如根據(jù)特定標(biāo)準(zhǔn)定制對(duì)系統(tǒng)響應(yīng)的控制粒度�。多層交換可把分組推送到指定的最大帶寬限制的特定QoS配置文件上,而不是對(duì)可能是DoS攻擊的組制訂簡(jiǎn)單的“通過(guò)”或“丟棄”決策��。這種方式����,既可防止DoS攻擊,也可降低丟棄合法數(shù)據(jù)包的危險(xiǎn)����。
另一個(gè)優(yōu)點(diǎn)是能定制路由訪問(wèn)策略,支持具體系統(tǒng)之間的“信任鄰居”關(guān)系����,防止未經(jīng)授權(quán)使用內(nèi)部路由。
定制網(wǎng)絡(luò)登錄配置
網(wǎng)絡(luò)登錄采用惟一的用戶名和口令�����,在用戶獲準(zhǔn)進(jìn)入前認(rèn)證身份��。網(wǎng)絡(luò)登錄由用戶的瀏覽器把動(dòng)態(tài)億恩科技主機(jī)配置協(xié)議(DHCP)遞交到交換機(jī)上���,交換機(jī)捕獲用戶身份����,向RADIUS億恩科技服務(wù)器發(fā)送請(qǐng)求����,進(jìn)行身份認(rèn)證,只有在認(rèn)證之后��,交換機(jī)才允許該用戶發(fā)出的分組流量流經(jīng)網(wǎng)絡(luò)�����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)��!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�����!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
