支撐聯(lián)網(wǎng)基礎(chǔ)設(shè)施與保護(hù)用戶和服務(wù)的安全常是互補(bǔ)的任務(wù)。將路由和安全基礎(chǔ)設(shè)施與具有策略意識(shí)的把持機(jī)制聯(lián)合在一起，可幫助服務(wù)供給商設(shè)置利潤(rùn)豐富的服務(wù)，同時(shí)保護(hù)網(wǎng)絡(luò)安全。關(guān)于實(shí)現(xiàn)上述目標(biāo)的戰(zhàn)略和建議，請(qǐng)參見Juniper 網(wǎng)絡(luò)公司面向供給商網(wǎng)絡(luò)安全的“超人法則”。

對(duì)于金融服務(wù)、電子商務(wù)、交通運(yùn)輸和能源等行業(yè)的公司來(lái)說(shuō)，保證網(wǎng)絡(luò)全天候的正常運(yùn)行變得越來(lái)越重要。大多數(shù)企業(yè)都與服務(wù)供給商簽訂了服務(wù)程度協(xié)議，讓服務(wù)供給商為虧損買單。隨著基于botnet的散布式拒絕服務(wù)（DDoS）攻擊等安全要挾手段日益高超、次數(shù)日益頻繁，迫使服務(wù)供給商必須預(yù)防、監(jiān)督并最終牽制這些攻擊對(duì)客戶及自己的基礎(chǔ)設(shè)施的影響。

說(shuō)到保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，服務(wù)供給商如果能夠借鑒“超人法則”中供給的戰(zhàn)術(shù)，定將受益匪淺。具體說(shuō)：

◆盡量暗藏自己

◆如果不能暗藏自己，則力求別人無(wú)法接觸自己

◆如果不能禁止別人接觸自己，則盡量保持別人無(wú)法參透自己

◆始終警惕表象上的好人和壞人

如想實(shí)行這些戰(zhàn)術(shù)，服務(wù)供給商的基礎(chǔ)設(shè)施設(shè)備必須能夠以線速過濾數(shù)萬(wàn)個(gè)實(shí)體傳輸?shù)臄?shù)據(jù)包，并能夠在攻擊期間通過機(jī)動(dòng)的鏈接和分配技巧動(dòng)態(tài)增加和傳播這些過濾器。供給商還需要路由器的把持面板和數(shù)據(jù)面板同時(shí)供給流量整形功效，包含對(duì)流量進(jìn)行限速以及將流量放置到優(yōu)先級(jí)隊(duì)列中。最后，操作人員需要安全套件來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)策略層的主動(dòng)化流程，以幫助動(dòng)態(tài)牽制要挾。專業(yè)化的服務(wù)廠商和路由軟件都能為服務(wù)供給商供給具備這些功效的工具。

盡量暗藏自己

在服務(wù)供給商的網(wǎng)絡(luò)中，路由器和網(wǎng)絡(luò)是操作人員供給安全保護(hù)所需的基礎(chǔ)IP基礎(chǔ)設(shè)施。除極少數(shù)系統(tǒng)因法律原因無(wú)法向路由器發(fā)送流量外，幾乎所有系統(tǒng)都將流量發(fā)送到路由器中。網(wǎng)絡(luò)安全經(jīng)理可通過數(shù)據(jù)包過濾器只容許合法用戶向路由器的把持面板發(fā)送流量，從而將路由器暗藏起來(lái)。

大多數(shù)的過濾工作都是在入口和出口處完成的，但是，為了盡量靠近源頭阻斷攻擊，服務(wù)供給商有時(shí)必須在所有核心路由器、匯聚路由器和客戶端設(shè)備的入口處端到端地實(shí)行過濾器。這些路由器必須能夠支撐數(shù)據(jù)包過濾器，同時(shí)以線速處理流量，以便為服務(wù)供給商開展工作供給足夠的數(shù)據(jù)包轉(zhuǎn)發(fā)機(jī)動(dòng)性。

網(wǎng)絡(luò)經(jīng)理必須在這些過濾器上穿孔，以便容許有效流量進(jìn)入路由器。網(wǎng)絡(luò)管理站、直接聯(lián)網(wǎng)的主機(jī)、同一個(gè)子網(wǎng)上的服務(wù)器、內(nèi)部路由器以及用作外部邊界網(wǎng)關(guān)協(xié)議 （EBGP） 對(duì)等體的外部路由器，都是需要接入網(wǎng)絡(luò)路由器的合法設(shè)備。

如果不能暗藏自己，則力求別人無(wú)法接觸自己

當(dāng)然，基礎(chǔ)設(shè)施也存在大批的合法用戶。例如，多協(xié)議標(biāo)簽交換（MPLS） 客戶邊沿（CE）路由器必須與供給商邊沿（PE）路由器交談。同樣，您必須將直接聯(lián)網(wǎng)的設(shè)備之間傳輸?shù)木W(wǎng)間把持報(bào)文協(xié)議（ICMP）流量傳輸?shù)骄W(wǎng)絡(luò)中任何路由器的把持面板中。如果無(wú)法通過過濾器實(shí)行拒絕接入策略，網(wǎng)絡(luò)經(jīng)理可應(yīng)用流量整形和限速等機(jī)制來(lái)牽制攻擊的影響力，以防攻擊利用有效的路由器間通信技巧。

入站ICMP流量增加速度異常是DoS攻擊來(lái)臨的第一個(gè)信號(hào)。為了牽制攻擊的影響力，操作人員必須對(duì)ICMP流量實(shí)行限速，迫使路由器丟棄超限流量。這種做法可大幅度減少穿過網(wǎng)絡(luò)的惡意ICMP流量。限速意味著限制存在要挾的合法用戶應(yīng)用網(wǎng)絡(luò)或完整禁止來(lái)自存在安全要挾的網(wǎng)絡(luò)的用戶訪問某些網(wǎng)站，直到攻擊結(jié)束。然而，限速最重要的目標(biāo)是保護(hù)網(wǎng)絡(luò)的其他部分。

限速并不是網(wǎng)絡(luò)經(jīng)理用于保護(hù)網(wǎng)絡(luò)不被接觸的唯一工具。狀態(tài)過濾器可阻斷通過IP地址欺騙或端口地址攔阻發(fā)動(dòng)的TCP SYN泛濫攻擊和TCP zombies 攻擊，并保護(hù)BGP會(huì)話（和網(wǎng)絡(luò)）不受被沾染主機(jī)的影響，從而使網(wǎng)絡(luò)免遭惡意流量的攻擊。此外，通過單播逆向路徑轉(zhuǎn)發(fā)（uRPF）等技巧對(duì)源地址進(jìn)行驗(yàn)證也是遏制欺騙攻擊的有效手段。

如果不能禁止別人接觸自己，則盡量保持別人無(wú)法參透自己