从Cisco IOS XR静态NetFlow功能中衍生出来的带内分组监听采用了与静态NetFlow相同的功能,例如类似于ACL的过滤,且还可以搜集样本,并将它们转发到某个指定的目的地 。
治理面板保护
治理面板是所有与路由平台的系统治理有关的流量的逻辑路径 。在一个分布式、模块化的环境中,治理面板可以提供新的复杂度等级,因而提高了对于确保安全访问的要求 。这种安全访问最好通过下列手段实现:
拒绝缺省访问——一个已知的、常见的系统漏洞是在缺省情况下启用某些协议 。这些开放的端口导致了一些让入侵者有可乘之机的安全漏洞 。为了满足服务供给商的要求,CRS-1采用了专门的设计,即在缺省配置下关闭所有这些服务,直到由操作人员手动启用这些服务 。
身份验证、授权和记帐(AAA)和加密协议——所有对路由器的访问和路由器对外的访问都应当被加密和控制 。Cisco CRS-1支持AAA身份验证和加密协议SSH、SSL、IPSec和SNMPv3 。利用ACL,还可以使用其他的控制功能,将访问权限只限制于特定的源主机 。每个用户都可以被明确归于某个AAA区域,以反映用户的访问权限 。
隔离治理端口——核心路由器和交换机通常都带有专用的治理以太网端口,它们可能会导致对设备的不安全访问 。Cisco CRS-1以太网治理端口都是可以路由的,因而可以通过AAA访问控制和加密进行控制 。隔离数据和控制面板流量可以防止它们不会“干扰” 。ACL可以被用于阻塞干扰,而且治理员利用Cisco Craft Works界面(CWI),只需点击几下鼠标就可以在多个端口之间有效地部署ACL 。CWI是一个专门为多机架路由器治理而设计的增值GUI工具 。
基于角色的权限模式——因为未经授权的或者缺乏经验的网络操作人员可能会对系统的可用性造成威胁,服务供给商需要用灵活的方法,根据用户所设定的标准分配操作人员的权限 。
Cisco IOS XR软件可以通过一种方便、灵活的方法,向特定的操作人员或团队分配适当的访问权限,从而实现一种基于角色的权限模式 。它可以将各项操作业务设置为不同的任务 。例如,BGP配置是一项任务,而开放最短路径优先(OSPF)是另外一项任务 。系统重启也是另外一项任务 。每项任务都具有一个与众不同的标识号——任务ID,并且具有指定的读取或者写入权限 。用户可以与任务组关联,以继续相应的访问权限 。为了确保安全,任务ID可以与AAA服务器配合,为访问路由器提供最大限度的集中控制 。
总结
DoS和DDoS攻击是互联网现状的重要组成部分,也是服务供给商的盈利能力面临的最严重的威胁之一 。为了保护利润,服务供给商必须在具有嵌入式安全检测功能的下一代路由系统的基础上建设一个自我防御网络 。服务供给商应当确保该系统的成功,并在整个网络中采用最佳实践 。
Cisco CRS-1的分布式、模块化架构通过内存保护,逻辑路由器内部的服务隔离,以及治理、控制和数据面板之间的流程隔离,支持高度安全的、不间断的系统运营 。
除了CRS-1的内嵌功能和推荐的最佳实践以外,思科产品安全事件响应团队(PSIRT)是一个全球性的专家小组,天天24小时待命 。他们能够迅速地解决涉及到思科产品的客户安全事件和消除产品的安全漏洞 。借助于思科在网络市场上的领先优势,思科客户可以获得业界独一无二的、主动、迅速的响应服务 。
推荐阅读
- Cisco 1800、2800 和3800 集成多业务路由器的安全特性
- Cisco 675 路由器Web管理拒绝服务漏洞
- Netopia 650-T ISDN路由器用户名和口令泄露漏洞
- Cisco千兆交换路由器ACL被绕过以及拒绝服务攻击
- 路由器VS防火墙 ROUTER典型防火墙设置
- 路由器“黑洞”威胁互联网络安全
- 配置NetScreen208+C3550VLAN间路由
- 防毒别忘了路由器
- 北电网络安全路由技术
- Cisco路由器安全配置