由于計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)的復(fù)雜性及其開放性等特征，使得網(wǎng)絡(luò)設(shè)備及數(shù)據(jù)的穩(wěn)定傳輸成為影響網(wǎng)絡(luò)正常運(yùn)行的重要問題。分析當(dāng)前網(wǎng)絡(luò)設(shè)備受到的攻擊主要表現(xiàn)之一：大量攻擊報(bào)文砸向CPU，占用了整個(gè)送CPU的報(bào)文通路的帶寬，嚴(yán)重消耗內(nèi)存資源等，導(dǎo)致正常報(bào)文無法得到處理，進(jìn)而影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。

目前業(yè)界已開發(fā)了一些用于防攻擊的功能模塊(比如：ACL①、QOS①、CPU保護(hù)等等)，通過這些功能模塊自行建立攻擊檢測和業(yè)務(wù)保護(hù)的機(jī)制，并提供對(duì)外的管理接口。但實(shí)現(xiàn)得不夠系統(tǒng)，解決問題單一，在體系上沒有統(tǒng)一的框架。從現(xiàn)有的數(shù)據(jù)幀實(shí)現(xiàn)的流程來看，缺乏從流的主干上考慮實(shí)施防攻擊保護(hù)。為此，我司致力開發(fā)出一套完整的網(wǎng)絡(luò)基礎(chǔ)保護(hù)體系，稱之為網(wǎng)絡(luò)基礎(chǔ)保護(hù)策略(Network Foundation Protection Policy)，簡稱NFPP。NFPP技術(shù)主要對(duì)設(shè)備本身實(shí)施保護(hù)，通過對(duì)報(bào)文流進(jìn)行檢測、限速、隔離，以保證設(shè)備及網(wǎng)絡(luò)可靠、安全、有效地運(yùn)行。

交換機(jī)的功能在邏輯上可以劃分為三個(gè)層面：數(shù)據(jù)面、管理面、控制面。

• 數(shù)據(jù)面(Data Plane)：數(shù)據(jù)面是負(fù)責(zé)轉(zhuǎn)發(fā)處理各種類型的數(shù)據(jù)，對(duì)交換機(jī)的性能表現(xiàn)起決定作用。
• 控制面(Control Plane)：控制面負(fù)責(zé)控制和管理所有網(wǎng)絡(luò)協(xié)議的運(yùn)行，它通過網(wǎng)絡(luò)協(xié)議提供給交換機(jī)對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境中網(wǎng)絡(luò)設(shè)備、連接鏈路和交互狀態(tài)的準(zhǔn)確了解，并在網(wǎng)絡(luò)狀況發(fā)生改變時(shí)做出及時(shí)的調(diào)整以維護(hù)網(wǎng)絡(luò)的正常運(yùn)行。
• 管理面(Management Plane)：管理面是提供給網(wǎng)絡(luò)管理人員，使其能夠以多種管理方式來管理設(shè)備，并支持、理解和執(zhí)行管理人員對(duì)于網(wǎng)絡(luò)設(shè)備各種網(wǎng)絡(luò)協(xié)議的設(shè)置操作。

針對(duì)交換機(jī)設(shè)備而言，數(shù)據(jù)的路由和交換過程主要由硬件來完成，而CPU主要對(duì)控制流、管理流和部分硬件無法處理的數(shù)據(jù)流進(jìn)行處理，并同時(shí)提供交互界面供用戶進(jìn)行本地管理配置。

NFPP技術(shù)就是從數(shù)據(jù)面、管理面、控制面對(duì)交換機(jī)實(shí)施保護(hù)，具體來說就是對(duì)送CPU的控制流、管理流、數(shù)據(jù)流三種報(bào)文進(jìn)行攻擊檢測并采取相應(yīng)保護(hù)措施。

攻擊檢測的技術(shù)：對(duì)攻擊的檢測技術(shù)主要是通過將具體報(bào)文流的數(shù)量、報(bào)文特定字段的內(nèi)容以及來源根據(jù)預(yù)設(shè)定的條件進(jìn)行判斷，或者輸出報(bào)告信息，由用戶進(jìn)行判斷處理。

實(shí)施保護(hù)的技術(shù)：NFPP針對(duì)檢測到的攻擊流主要采取主動(dòng)保護(hù)和被動(dòng)保護(hù)措施。

• 主動(dòng)保護(hù)的技術(shù)主要是對(duì)操作對(duì)象制定某些操作行為約束，按照該約束就盡可能的避免被攻擊。
• 被動(dòng)保護(hù)的技術(shù)主要是對(duì)攻擊源進(jìn)行抑制，抑制的方式包括拒絕、限速、隔離。

保護(hù)技術(shù)還可以分為軟件保護(hù)和硬件保護(hù)兩類，硬件保護(hù)在前，軟件保護(hù)在后。硬件保護(hù)可以使軟件保護(hù)在盡量少占用資源的情況下更高效的執(zhí)行，而軟件保護(hù)可以彌補(bǔ)硬件保護(hù)的不足，使保護(hù)策略更加細(xì)化，更加靈活。他們是一種相輔相成的關(guān)系。

NFPP檢測、保護(hù)的過程

a) NFPP首先檢測出報(bào)文攻擊，然后通過手動(dòng)或自動(dòng)的方式實(shí)施保護(hù)。檢測可以通過設(shè)備提供數(shù)據(jù)信息進(jìn)行人為判斷，當(dāng)判斷為攻擊時(shí)將實(shí)施手動(dòng)保護(hù)配置；也可以通過設(shè)備本身進(jìn)行智能判斷，而后自動(dòng)的實(shí)施保護(hù)配置。對(duì)于智能判斷以及自動(dòng)實(shí)施保護(hù)配置的方式，能夠支持用戶預(yù)配置并按照用戶的意愿自動(dòng)進(jìn)行。

b) 所有的保護(hù)如果通過一個(gè)設(shè)備來進(jìn)行，顯然不是最明智的。對(duì)于一個(gè)網(wǎng)絡(luò)而言，需要從接入設(shè)備、匯聚設(shè)備、核心設(shè)備共同進(jìn)行協(xié)作來完成保護(hù)功能。為了實(shí)現(xiàn)跨設(shè)備間的協(xié)作保護(hù)，這就需要設(shè)備間通過某種協(xié)議進(jìn)行交互來達(dá)到傳遞攻擊信息和實(shí)施保護(hù)。在這個(gè)過程中往往需要設(shè)備之間提供一個(gè)安全管理平臺(tái)來輔助完成。

c) 對(duì)比上述的被動(dòng)保護(hù)，主動(dòng)保護(hù)過程相對(duì)比較簡單。主動(dòng)保護(hù)往往是設(shè)備啟動(dòng)服務(wù)之前就已經(jīng)啟動(dòng)了。約束的條件或者方法允許用戶在設(shè)備啟動(dòng)服務(wù)前進(jìn)行配置。

結(jié)束語：如今，除了用戶身份的安全、數(shù)據(jù)的安全之外，網(wǎng)絡(luò)設(shè)備的安全也日益成為業(yè)界關(guān)注的焦點(diǎn)，銳捷網(wǎng)絡(luò)自研的NFPP技術(shù)是目前業(yè)界支持基礎(chǔ)安全保護(hù)策略 ，可實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)攻擊的自動(dòng)防御。銳捷網(wǎng)絡(luò)匯聚交換機(jī)RG-S5750E系列憑借其自身的技術(shù)優(yōu)勢，可全面支持銳捷網(wǎng)絡(luò)NFPP技術(shù)，滿足用戶對(duì)網(wǎng)絡(luò)設(shè)備安全的需要。

①ACL：Access Control List，訪問控制列表

②QoS：Quality of Service，服務(wù)質(zhì)量