接入層安全管理從“小”做起

　　互聯網接入層是直接面向用戶接入的接口，這里是網絡的起點也是網絡的終點。而影響安全問題的眾多因素，包括硬件、軟件、環境、用戶自身素質等，都可能是引發安全問題的來源點。

　　接入層面臨很多難以想象的環境。接入層設備成本低，出現問題影響小，設備品種繁多，地點分散，不便管理，大量重復性工作等原因導致了對此工作的忽視。如何轉變觀念也是運營商面臨的第一大難題。

　　接入安全講究技巧

　　單一的接入用戶連通網絡已經無法滿足網絡發展的需要，更多的性能、功能需求擺在了面前。一些技巧也會對管理網絡提供很大的幫助。

　　端口隔離

　　由于以太網技術本身的特點，端口隔離的存在是必要的。無論是物理端口還是邏輯端口，現階段有很多技術都可以實現端口隔離功能，有的采用物理手段，有的采用邏輯手段。如果采用物理手段則可以實現完全的隔離功能，符合國家有關安全部門的需要；如果采用邏輯手段，一般也是基于2層幀結構技術也比較安全?？梢哉f端口隔離目前成為了一種保護接入用戶內部安全的有效手段。在接入層隔離開用戶之間的訪問并不是為了限制用戶的使用，而是要防止用戶之間的攻擊。當然，用戶不是網絡殺手；但是總是有一些無辜的用戶被利用。也有很多機密部門需要這種隔離技術，網絡結構就是要隔離。無論是針對哪種用戶，合理而又靈活的利用端口隔離技術總可以有效地控制來自內部、外部用戶之間的安全問題。

　　環路檢測

　　說到這個技術之所以用在接入網中，因為環路所帶來的危害確實頻繁的發生。很多用戶不知道環路帶來的危害，所以環路經常發生在缺少專業技術人員維護的網絡中。越是接近用戶的設備檢測周期越應該短一些，上層設備的檢測周期應該長一些。這樣就可以減少一些因為上層設備先檢測到環路禁用端口造成下層整個交換機用戶都被斷掉的可能。這只是一種防止環路的使用方式，如果我們把環路檢測擴展成為一種對特殊有害幀的檢測，那么很多類型的故障就會得以抑制。

　　生成樹

　　生成樹從產生時就是用來解決2層設備的拓撲問題，接入層設備中大多數是2層設備。因為拓撲而產生的問題大多可以得到解決。但是生成樹的拓撲計算又無形中給網絡設備增加了負擔，對于許多復雜組網環境鏈路頻繁變化以及使用N+1鏈路是否需要開啟這個功能也是需要考慮的。如果開啟生成樹，還會讓用戶接入時等待一段拓撲計算時間，即使這只需要幾十秒，也會給部分苛刻的用戶產生厭煩感。和這個功能類似的問題很多管理者都會遇到過。任何一個功能的存在都給我們帶來了雙面的效應。怎樣根據實際把握這種問題，各種功能協議的選取確實是需要三思而后行。

　　QoS

　　網絡安全問題并不只是要去面對設備丟失，病毒傳播，網絡攻擊。表面沒有發生故障的網絡已經不能被現在的思想認為是安全的網絡。優質的服務已經成為安全的一部份，所以我們還要提高服務，優化網絡。服務質量保證體系就是為了這一目的產生的，我們這里所說的QoS也可以廣義一些，認為是一種保證服務質量的方式。骨干網上對QoS的過多使用會給網絡運行帶來不必要的壓力，因為對字段的分析是需要運算的。因此一些QoS功能進行下移是必要的，而有些又是需要每一層的支持。目前網絡資源有限，用戶對服務類型的需求種類繁多，網絡帶寬緊張。用戶業務在丟包，延遲，抖動，帶寬搶占等環境危機中生存。這種情況下QoS的作用表現了出來，雖然不能完美的解決這些問題，也算一些應對方案。針對不同的網絡環境需求制定優先級策略也是解決目前網絡帶寬緊張的策略之一，而基于IP技術的QoS策略國際上也有多種標準。QoS在IPV4和IPV6中的字段也有很大區別，但是目的是沒有改變的，針對服務質量的工作只會深入進行。業務帶寬流量的分配，擁塞的管理和各種業務之間的分配比例都是發展中值得考慮的。就像電信業現在的發展一樣：目前90%以上的傳輸帶寬已經被寬帶互聯網等業務占去，只剩下一點用來給傳統語音業務。即使這樣帶寬問題似乎永遠得不到滿足，有時還是只能盡力而為。

　　例如：一企業有A、B、C、D四個點的局域網，經過Internet廣域網相連分別使用10M出口帶寬，四個點之間有許多業務需要占用帶寬，辦公網交互數據、郵件、IP語音、視頻會議、文件下載、企業網站等。合理的分配帶寬，調度管理有限資源就顯得特別重要。為了滿足這種用戶的需求，通過類似QoS的技術方式逐步解決有限資源的合理利用問題，是邁向環保型信息社會的重要一步。事實上，很大一部分用戶都面臨了這種問題，“盡力而為”不再會令用戶滿意。防火墻防火墻技術已經成為了各大網絡業務服務商的護身符，可以說是網絡安全界的成功案例。雖然防火墻市場正邁向規范化，大多個人用戶和中小企業還是無法支付昂貴的硬件防火墻費用。由于個人用戶，中小企業計算機使用人員水平參差不齊，也無法自己做好自己的保護工作。我們可以利用防火墻思想，利用現有的設備來完成一些防火墻功能為用戶提供更加安全可靠的保障。防火墻的主要功能就是隔離，它使得內部網絡和外部網絡或Internet互相隔離，以此來保護內部網絡或主機。

　　利用Router或Switch的ACL(accesscontrollist)來充當部分防火墻功能，甚至利用子網的劃分來實現。這就是合理利用有限的資源，借鑒成功的模型，以達到相應的效果。而且即使再面對新一代技術也有辦法來解決。目前訪問控制技術已經在接入層得到廣泛的支持，很多接入層設備都可以實現一些類似功能。不同的接入設備對ACL功能的支持也有所不同。所以針對不同用戶使用特色，配置有針對性地ACL給用戶提供保護，這樣就可以有效防御很多安全問題。

　　任務調度

　　任務調度是解決管理維護人員需求，從而更好的實現對用戶任務管理的功能。基本任務調度功能是實現周期性有規律操作的需求。利用任務調度可以有效地解放維護管理人員勞動力，完成頻繁乏味的操作管理任務。

　　基本任務調度一般分為兩個部分：任務調度觸發點，任務調度執行事件。任務調度觸發點可以是時間，周期，獨立參數數值等等。如果達到預期觸發點，就執行任務調度事件。任務調度的靈活性取決于設備對觸發點的支持，多樣可靠的觸發點是任務調度實施的基礎。在實際當中，大多數情況還是使用基于時間，周期的任務調度觸發點。按照時間標準來觸發任務，這時就需要一個準確的時間標準；可以單獨調度一個任務來按周期同步時間保證觸發點的可靠。觸發執行的任務事件理論上說可以是等于管理員操作的任何事件。通過時間和事件的結合來完成工作。利用好任務調度來完成工作，是一項經濟實用的管理方式。

　　集中管理手段最重要

　　有點網絡規模的地區就會深深體會到集中管理的重要性。集中管理，集中監控也正是用來主動對抗網絡突發事件的有效手段。事實證明只針對核心層，匯聚層的網管已經無法滿足網絡維護的需求。網絡的發展需要管理的更加具體，需要更加及時準確地信息。有些地區甚至需要管理到用戶家里的終端。

　　雖然目前大多地區的網管員有80%以上的時間是用在了日常操作，沒有時間進行主動管理；但是越來越多的地區開始廣泛利用集中管理的技術，主動管理工作將占更大的比重。

　　將網絡設備接入安全控制和用戶接入行為管理結合，加強對用戶終端的集中控制管理，能夠提高網絡的主動抵抗能力。同時結合防火墻功能和核心網絡安全策略，就可以提供端到端的安全解決方案，有效提高網絡安全能力。