本章建立了本书的引入的概念和理解IP流量平面安全术语关键其余的基础。基本的IP网络概念和IP协议操作进行审查,包括在网络中找到的各种数据包类型,并且这些数据如何应用到不同的IP流量平面。然后,通过使用路由器分组处理和转发机制进行了综述。特别注意的是包如何各种类型的每个业务平面内影响转发机制。最后,各种路由器硬件架构检讨,再次凸显如何路由器的性能和网络安全是由IP流量面的影响。
IP网络概念
互联网协议(IP)和IP /多协议标签交换(IP / MPLS),可以支持融合网络服务是基于时分多路复用(TDM),帧中继,异步传输模式(快速更换特制的网络基于分组的网络ATM)等传统技术。全球服务提供商正在部署IP / MPLS核心网络,实现了效率和通过IP网络提供的可扩展性,以及他们能够快速扩展到新的服务市场的能力。企业也采取了终端到终端的优势,任意到任意的IP连接模式通过基础设施建设和运营效率的提升,带动企业改变盈利模式,以及对捕获电子商务的机会。
建设和融合业务运营IP网络基础设施是一个平衡的行为。满足电信级要求的客户的需求,同时支持有不同的带宽,抖动和时延要求多个不同的服务,是一项艰巨的任务。遗留,单一用途的网络被设计并用特定内置,严格控制的操作特性来支持单个服务。因此,(通常)单个服务中的每个网络支持通常完美地工作。这是比较容易实现的,因为这些网络迎合了单个应用程序/服务这是严格控制的。便携上网流量,语音和视频业务,移动业务和私人(VPN)业务流量在一个共同的IP骨干网具有这两个网络设计和网络运营显著影响。在这些交通服务中任一项中断可能潜在地破坏任何其他服务,或更广泛的网络。因此,在融合网络的网络安全的重要性被放大。
注意 -网络安全的传统重点领域包括:保密,廉正和可用性(CIA),在不同程度上,这取决于网络的功能。随着网络融合已经站稳了脚跟,这些领域的重要性而改变。
可用性,例如,已不再是单纯的二进制“上/下”或“ON / OFF”的功能,但现在必须考虑其他问题,如网络拥塞和处理延迟的延迟造成的。例如,考虑恶意流量的影响,甚至改变一个服务的流量模式,说互联网的数据。这可能会导致堵塞,影响其它服务,如IP语音(VoIP)的流量穿过相同的核心路由器,但不同服务面(如将在本章中以后定义)。由于可将不同业务和网络整合到单一IP核的主要动机之一是为了获得资本和运营支出(CAPEX和OPEX)的效率,这个扰动可用性可能导致整个收入模式,如果高价值服务中断不能充分支持。这是发展中有关IP网络的安全性,一个围绕着IP业务层面的概念模型不同的思维方式的基础。
IP网络流量平面的概念最好通过首先考虑从其他网络类型区分IP网络的功能介绍:
IP网络承载的所有数据包在一个共同的管。从根本上说,人人网有两个基本类型的数据包:
-数据包属于用户和执行用户或应用流
-控制报文属于该网络,并用于动态构建和操作网络
其中IP协议的优势之一是,所有的数据包都在开展共同管(也被称为“带内”)。传统网络通常依赖于用于数据和控制流量单独的通道。IP不段流量分成单独的通道。由于这本书的主题意味着,分类不同的业务类型是分割和保护IP网络的第一步。每个任务的流量分类,分割和控制是IP网络的安全至关重要。
IP网络提供任意到任意的性质和终端到端到端连接。在最简单的形式,一个路由器提供IP数据包的基于目的地的转发。如果路由器在其转发表中的目的地前缀,它将转发朝其最终目的地的数据包。因此,路由(更具体地说,是在路由器的转发表什么前缀)是最重要的一个,但往往被忽视,IP网络安全的组成部分。
例如,使用一默认路由往往对网络安全显著的影响。IP的无处不在的特性,以其任意到任意,端至端的操作特性一起提供在前所未有的水平固有的灵活性和可扩展性。这是在同一时间都积极和IP网络的消极方面。从积极的一面,这提供即时的全球网络,使创新和不断发展。在消极的一面,但是,这种全球连通性也提供了误用和滥用通过这些相同网络的前所未有的机会。(在现实世界中,人们必须靠近现场进行犯罪。这不是在网络世界的情况。而且,一个人就可以做到在网络显著损害世界,换句话说,有一种力量-multiplier,其物理世界不提供。)
IP网络使用IETF定义的开放标准;访问协议标准是免费提供给大家。这些标准是独立于任何特定的计算机硬件或操作系统。这种开放性鼓励,那在IP网络上运行新的应用和服务,推动创新。这导致了一些挑战,以及,但是。为网络,以跟上快速变化的需求的步伐往往很难。支持新的应用和服务可以提出新的挑战流动特性。一些例子包括:
- 不对称与对称上行/下行带宽与对等网络的网络
- 绝对的带宽利用率,并提高单播与组播数据包类型的视频服务
- 耐延迟和抖动特性的变化的语音服务
此外,网络必须被滥用,误配置,混淆,或干脆恶意是有弹性的,足以账户滥用,无论是。
这些概念是这本书背后的驱动因素。在今天的IP网络,关键是不同的业务类型进行区分,段他们到不同的IP流量的飞机,并纳入机制来控制更广泛的网络可能造成的影响。
两大网络类别在这本书中强调,为展现IP网络流量平面分离的概念提供了一个背景:企业网络和服务提供商网络。虽然它们之间有相似之处,它们之间的差异显著是展示详细介绍在后面的章节IP业务层面的安全概念和技术是有用的。这些网络类型的以下描述被提供作为概述,简单地引入IP流量平面的概念。这并不是要作为设计底漆企业或服务提供商的网络。
企业网络
企业网络形成由他们的建筑细节和典型交通流量区分大,广泛的一类。企业往往建立网络,以满足四个目标:
互连内部用户和应用程序彼此
为了提供用户内部使用相同的组织(管理域),而最有可能内部访问远程站点,以更广泛的互联网以及
外部用户(Internet)的公开广告资源连接根据该组织的控制(例如,一个网站)
该组织的控制下连接外部合作伙伴(外网),以分段业务资源(非公开)
企业网络可以是小型,中型或大型,并且无疑具有许多内部变化。然而,他们也有很多共同的特征,包括:
一个定义明确的结构,典型地如下核心,分发和访问层的分级三层模型。在此,芯层为网络提供高速切换主干,以及连接到广域网,它可以由公共互联网,一个IP VPN或私有IP网络。分布层连接核心和接入层,并且通常提供用于网络的策略执行点。接入层提供用户和服务器到网络的本地段的访问。在小型网络中,这三个层常常合并。
在作为分界用于区分一个定义明确的边缘企业方和提供方从所有权和资本属性的角度(或私人和公共)。这是谁拥有一个网络中的设备,什么这些设备是负责大多数情况下清晰,谁有权访问这些特殊的设备和服务。
A-良好定义的IP协议,包括一个内部网关协议(IGP)的动态路由选择(如开放最短路径优先[OSPF]),网络管理协议(如简单网络管理协议[SNMP],系统日志,FTP,等等),以及其它IP协议的配套企业客户端/服务器应用程序和其他内部功能。
在网络边缘(内侧至外侧和外到内)运行的良好定义的业务流,并且业务流的网络的内部只运行。边缘几乎总是作为一个安全边界,并提出约束业务的机会穿越流根据定义的安全策略这一边界。内部交通流完全停留在企业内部网络。企业网络不应该有过境交通流,也就是进入网络边缘不应有不属于企业网络地址空间的一部分,目的地址的数据包,因此只会回流出网络。
图1-1是一个普通的,企业的网络架构。
这些特性提供了在企业网络中保护IP流量的飞机,你会在后面的部分更详细了解的基础上。此外,在企业网络中确保IP通信的飞机详细的案例研究在第8章,按“企业网络为例。”
概念企业网络架构
服务提供商网络
服务提供商网络也形成通过建筑细节和典型交通流量区分大,广泛的一类。服务提供商网络是建立以盈利为目的。即,该网络是收入发生器(或促进收入代)。为了创造收入,服务提供商建立网络,原因如下:
提供过境通行能力为自己的(企业)用户访问其他直接连接(企业)客户网站,以及所有公开宣传的地址空间(换句话说,互联网)
要通过外部用户的内容和服务,由服务提供商直接提供托管业务容量和访问
提供内部由服务提供商拥有的其他的融合服务通行能力采取IP核心网络的优势
在一般情况下,SP的网络具有以下特点: