數(shù)據(jù)中心解決方案安全技術(shù)白皮書

1、數(shù)據(jù)中心解決方案安全技術(shù)白皮書1.1 前言數(shù)據(jù)集中是管理集約化、精細化的必然要求，是企業(yè)優(yōu)化業(yè)務(wù)流程、管理流程的的必要手段。目前，數(shù)據(jù)集中已經(jīng)成為國內(nèi)電子政務(wù)、企業(yè)信息化建設(shè)的發(fā)展趨勢。數(shù)據(jù)中心的建設(shè)已成為數(shù)據(jù)大集中趨勢下的必然要求。做為網(wǎng)絡(luò)中數(shù)據(jù)交換最頻繁、資源最密集的地方，數(shù)據(jù)中心無疑是個充滿著巨大的誘惑的數(shù)字城堡，任何防護上的疏漏必將會導(dǎo)致不可估量的損失，因此構(gòu)筑一道安全地防御體系將是這座數(shù)字城堡首先面對的問題。1.2 數(shù)據(jù)中心面對的安全挑戰(zhàn)隨著Internet應(yīng)用日益深化，數(shù)據(jù)中心運行環(huán)境正從傳統(tǒng)客戶機/服務(wù)器向網(wǎng)絡(luò)連接的中央服務(wù)器轉(zhuǎn)型，受其影響，基礎(chǔ)設(shè)施框架下多層應(yīng)用程序與硬件、網(wǎng)絡(luò)

2、、操作系統(tǒng)的關(guān)系變得愈加復(fù)雜。這種復(fù)雜性也為數(shù)據(jù)中心的安全體系引入許多不確定因素，一些未實施正確安全策略的數(shù)據(jù)中心，黑客和蠕蟲將順勢而入。盡管大多數(shù)系統(tǒng)管理員已經(jīng)認識到來自網(wǎng)絡(luò)的惡意行為對數(shù)據(jù)中心造成的嚴重損害，而且許多數(shù)據(jù)中心已經(jīng)部署了依靠訪問控制防御來獲得安全性的設(shè)備，但對于日趨成熟和危險的各類攻擊手段，這些傳統(tǒng)的防御措施仍然顯現(xiàn)的力不從心。以下是當(dāng)前數(shù)據(jù)中心面對的一些主要安全挑戰(zhàn)。1.2.1 面向應(yīng)用層的攻擊常見的應(yīng)用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，最典型的應(yīng)用攻擊莫過于“蠕蟲”。蠕蟲是指通過計算機網(wǎng)絡(luò)進行自我復(fù)制的惡意程序，泛濫時可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓。從本質(zhì)上講，蠕

3、蟲和病毒的最大的區(qū)別在于蠕蟲是通過網(wǎng)絡(luò)進行主動傳播的，而病毒需要人的手工干預(yù)（如各種外部存儲介質(zhì)的讀寫）。蠕蟲有多種形式，包括系統(tǒng)漏洞型蠕蟲、群發(fā)郵件型蠕蟲、共享型蠕蟲、寄生型蠕蟲和混和型蠕蟲。其中最常見，變種最多的蠕蟲是群發(fā)郵件型蠕蟲，它是通過EMAIL進行傳播的，著名的例子包括求職信、網(wǎng)絡(luò)天空NetSky、雛鷹 BBeagle等，2005年11月爆發(fā)的Sober蠕蟲，是一個非常典型的群發(fā)郵件型蠕蟲。而傳播最快，范圍最廣、危害最大是系統(tǒng)漏洞型蠕蟲，例如利用TCP 445端口進行傳播的windows PnP服務(wù)漏洞到2006年第一季度還在肆虐它的余威。圖1 應(yīng)用協(xié)議攻擊穿透防火墻應(yīng)用攻擊的共同

4、特點是利用了軟件系統(tǒng)在設(shè)計上的缺陷，并且他們的傳播都基于現(xiàn)有的業(yè)務(wù)端口，因此應(yīng)用攻擊可以毫不費力的躲過那些傳統(tǒng)的或者具有少許深度檢測功能的防火墻。國際計算機安全協(xié)會 ICSA 實驗室調(diào)查的結(jié)果顯示，2005年病毒攻擊范圍提高了39%，重度被感染者提高了18%，造成的經(jīng)濟損失提高了31%，尤為引人注意的是，跨防火墻的應(yīng)用層(ISO 7層)攻擊提高了278%，即使在2004年，這一數(shù)字也高達249%。擺在我們面前的大量證據(jù)表明，針對系統(tǒng)缺陷的應(yīng)用攻擊已成為數(shù)據(jù)中心面臨的主要威脅。造成應(yīng)用攻擊的根本原因在于軟件開發(fā)人員編寫程序時沒有充分考慮異常情況的處理過程，當(dāng)系統(tǒng)處理處理某些特定輸入時引起內(nèi)存溢出

5、或流程異常，因此形成了系統(tǒng)漏洞。黑客利用系統(tǒng)漏洞可以獲得對系統(tǒng)非授權(quán)資源的訪問。來自CERT（計算機緊急事件相應(yīng)組）報告指出，從1995年開到2004年已有超過12，000個漏洞被報告，而且自1999年以來，每年的數(shù)量都翻翻，增長如此迅猛，如下圖所示：圖文圖2 19952005 CERT/CC統(tǒng)計發(fā)現(xiàn)的漏洞如此多的漏洞，對數(shù)據(jù)中心意味著什么？系統(tǒng)安全小組必須及時采取行動獲得補丁程序、測試、最后將其部署在服務(wù)器上，為什么不直接給服務(wù)器打補丁呢？因為不能保證補丁對應(yīng)用系統(tǒng)沒有影響，為了以防萬一，必須對補丁程序進行測試和驗證，然后才允許將其投入生產(chǎn)系統(tǒng)。從補丁程序獲得、測試和驗證，再到最終的部署，完

6、成這一系列任務(wù)需要多長時間？答案是，可能需要幾個小時到幾天，而在此期間攻擊可能已經(jīng)發(fā)生，損失已無法挽回。這也就是所謂的“零時差攻擊”。如下表所示，從系統(tǒng)漏洞被發(fā)現(xiàn)到產(chǎn)生針對性應(yīng)用攻擊的時間已從以年計算降至以天，以小時計算。試想一下，這是一個何等恐怖的情況，數(shù)據(jù)中心龐大的服務(wù)器群還未來得及做出任何反應(yīng)即遭到黑客發(fā)動的“閃擊戰(zhàn)”，大量敏感數(shù)據(jù)被盜用、網(wǎng)絡(luò)險入癱瘓 |。因此，數(shù)據(jù)中心面臨的另一個嚴峻問題是如何應(yīng)對由應(yīng)用攻擊造成的“零時差”效應(yīng)。1.2.2 面向網(wǎng)絡(luò)層的攻擊除了由于系統(tǒng)漏洞造成的應(yīng)用攻擊外，數(shù)據(jù)中心還要面對拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）的挑戰(zhàn)。DOS/DDOS是

7、一種傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，然而其破壞力卻十分強勁。據(jù)2004 美國CSI/FBI的計算機犯罪和安全調(diào)研分析，DOS和DDOS攻擊已成為對企業(yè)損害最大的犯罪行為，超出其他各種犯罪類型兩倍。常見的DDOS攻擊方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。已發(fā)現(xiàn)的DOS攻擊程序有ICMP Smurf、UDP 反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo 和 Stacheldraht等。DOS/DDoS攻擊大行其道的原因主要是利用了TCP/IP的開放性原則，從任意源地址向任意目標地址都

8、可以發(fā)送數(shù)據(jù)包。DOS/DDOS利用看似合理的海量服務(wù)請求來耗盡網(wǎng)絡(luò)和系統(tǒng)的資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。早期的DOS攻擊由單機發(fā)起，在攻擊目標的CPU速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬窄的情況下效果是明顯的。隨著網(wǎng)絡(luò)和系統(tǒng)性能的大幅提高，CPU的主頻已達數(shù)G，服務(wù)器的內(nèi)存通常在2G以上，此外網(wǎng)絡(luò)的吞吐能力已達萬兆，單機發(fā)起的DoS攻擊好比孤狼斗猛虎，沒有什么威脅。狼的習(xí)性是群居，一只固然勢單力薄，但如果群起而攻之，恐怕猛虎也難抵擋，這就是分布式拒絕服務(wù)攻擊的原理。用一臺攻擊機來攻擊不再起作用的話，攻擊者使用10臺攻擊機、100臺呢共同發(fā)起攻擊呢？DDoS就是利用大量的傀儡機來發(fā)起攻擊，積

9、少成多超過網(wǎng)絡(luò)和系統(tǒng)的能力的極限，最終擊潰高性能的網(wǎng)絡(luò)和系統(tǒng)。數(shù)據(jù)中心絕不允許DOS/DDOS垃圾報文肆虐于網(wǎng)絡(luò)之中，因此如何實施邊界安全策略，如何“拒敵于國門之外”將是數(shù)據(jù)中心面臨的又一個挑戰(zhàn)。1.2.3 對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊數(shù)據(jù)中心象一座擁有巨大財富的城堡，然而堅固的堡壘最容易從內(nèi)部被攻破，來自數(shù)據(jù)中心內(nèi)部的攻擊也更具破壞性。隱藏在企業(yè)內(nèi)部的黑客不僅可以通過應(yīng)用攻擊技術(shù)繞過防火墻，對數(shù)據(jù)中心的網(wǎng)絡(luò)造成損害，還可以憑借其網(wǎng)絡(luò)構(gòu)架的充分了解，通過違規(guī)訪問、嗅探網(wǎng)絡(luò)系統(tǒng)、攻擊路由器/交換機設(shè)備等手段，訪問非授權(quán)資源，這些行將對企業(yè)造成更大的損失?！澳就暗难b水量取決于最短的木板”，涉及內(nèi)網(wǎng)安全防護

10、的部件產(chǎn)品非常多，從接入層設(shè)備到匯聚層設(shè)備再到核心層設(shè)備，從服務(wù)器到交換機到路由器、防火墻，幾乎每臺網(wǎng)絡(luò)設(shè)備都將參與到系統(tǒng)安全的建設(shè)中，任何部署點安全策略的疏漏都將成為整個安全體系的短木板?！澳就暗难b水量還取決于木板間的緊密程度”，一個網(wǎng)絡(luò)的安全不僅依賴于單個部件產(chǎn)品的安全特性，也依賴于各安全部件之間的緊密協(xié)作。一個融合不同工作模式的安全部件產(chǎn)品的無縫安全體系必須可以進行全面、集中的安全監(jiān)管與維護。因此，數(shù)據(jù)中心的安全防護體系不能僅依靠單獨的某個安全產(chǎn)品，還要依托整個網(wǎng)絡(luò)中各部件的安全特性。2 技術(shù)特色2.1 三重保護，多層防御圖3 數(shù)據(jù)中心三重安全保護以數(shù)據(jù)中心服務(wù)器資源為核心向外延伸有三重

11、保護功能。依拖具有豐富安全特性的交換機構(gòu)成數(shù)據(jù)中心網(wǎng)絡(luò)的第一重保護；以ASIC、FPGA和NP技術(shù)組成的具有高性能精確檢測引擎的IPS提供對網(wǎng)絡(luò)報文深度檢測，構(gòu)成對數(shù)據(jù)中心網(wǎng)絡(luò)的第二重保護；第三重保護是憑借高性能硬件防火墻構(gòu)成的數(shù)據(jù)中心網(wǎng)絡(luò)邊界。用一個形象的比喻來說明數(shù)據(jù)的三重保護。數(shù)據(jù)中心就像一個欣欣向榮的國家，來往的商客就像訪問數(shù)據(jù)中心的報文；防火墻是駐守在國境線上的軍隊，一方面擔(dān)負著守衛(wèi)國土防御外族攻擊（DDOS）的重任，另一方面負責(zé)檢查來往商客的身份（訪問控制）；IPS是國家的警察，隨時準備捉拿雖然擁有合法身份，但仍在從事違法亂紀活動的商客（蠕蟲病毒），以保衛(wèi)社會秩序；具有各種安全特性

12、的交換機就像商鋪雇傭的保安，提供最基本的安全監(jiān)管，時刻提防由內(nèi)部人員造成的破壞（STP 攻擊）。圖文圖4 數(shù)據(jù)中心多層安全防御三重保護的同時為數(shù)據(jù)中心網(wǎng)絡(luò)提供了從鏈路層到應(yīng)用層的多層防御體系，如圖。交換機提供的安全特性構(gòu)成安全數(shù)據(jù)中心的網(wǎng)絡(luò)基礎(chǔ)，提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上，通過狀態(tài)防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進行隔離，并提供對DDOS和多種畸形報文攻擊的防御。IPS可以針對應(yīng)用流量做深度分析與檢測能力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各

13、種流量進行有效管理，從而達到對網(wǎng)絡(luò)應(yīng)用層的保護。2.2 分區(qū)規(guī)劃，分層部署在網(wǎng)絡(luò)中存在不同價值和易受攻擊程度不同的設(shè)備，按照這些設(shè)備的情況制定不同的安全策略和信任模型，將網(wǎng)絡(luò)劃分為不同區(qū)域，這就是所謂的分區(qū)思想。數(shù)據(jù)中心網(wǎng)絡(luò)根據(jù)不同的信任級別可以劃分為：遠程接入?yún)^(qū)、園區(qū)網(wǎng)、Internet服務(wù)器區(qū)、Extranet服務(wù)器區(qū)、Intranet服務(wù)器區(qū)、管理區(qū)、核心區(qū)，如圖。圖5 數(shù)據(jù)中心分區(qū)規(guī)劃思想所謂多層思想（n-Tier）不僅體現(xiàn)在傳統(tǒng)的網(wǎng)絡(luò)三層部署（接入?yún)R聚核心）上，更應(yīng)該關(guān)注數(shù)據(jù)中心服務(wù)器區(qū)（Server Farm）的設(shè)計部署上。服務(wù)器資源是數(shù)據(jù)中心的核心，多層架構(gòu)把應(yīng)用服務(wù)器分解成可管

14、理的、安全的層次?！岸鄬印敝笖?shù)據(jù)中心可以有任意數(shù)據(jù)的層次，但通常是3層。按照功能分層打破了將所有功能都駐留在單一服務(wù)器時帶來的安全隱患，增強了擴展性和高可用性。如圖，第一層，Web服務(wù)器層，直接與接入設(shè)備相連，提供面向客戶的應(yīng)用；第二層，即應(yīng)用層，用來粘合面向用戶的應(yīng)用程序、后端的數(shù)據(jù)庫服務(wù)器或存儲服務(wù)器；第三層，即數(shù)據(jù)庫層，包含了所有的數(shù)據(jù)庫、存儲和被不同應(yīng)用程序共享的原始數(shù)據(jù)。圖6 數(shù)據(jù)中心分層部署思想3 關(guān)鍵技術(shù)說明本節(jié)將按照“三重保護、多層防御”的思想，詳細說明每種安全技術(shù)的應(yīng)用模式。本節(jié)的最后還將介紹另一個不容忽視的問題“數(shù)據(jù)中心網(wǎng)絡(luò)管理安全技術(shù)”。圖7 數(shù)據(jù)中心基礎(chǔ)架構(gòu)安全相關(guān)架構(gòu)

15、1. 基于VLAN的端口隔離交換機可以由硬件實現(xiàn)相同VLAN中的兩個端口互相隔離。隔離后這兩個端口在本設(shè)備內(nèi)不能實現(xiàn)二、三層互通。當(dāng)相同VLAN中的服務(wù)器之間完全沒有互訪要求時，可以設(shè)置各自連接的端口為隔離端口，如圖。這樣可以更好的保證相同安全區(qū)域內(nèi)的服務(wù)器之間的安全：? 即使非法用戶利用后門控制了其中一臺服務(wù)器，但也無法利用該服務(wù)器作為跳板攻擊該安全區(qū)域內(nèi)的其他服務(wù)器。? 可以有效的隔離蠕蟲病毒的傳播，減小受感染服務(wù)器可能造成的危害。比如：如果Web服務(wù)器遭到了Code-Red紅色代碼的破壞，即使其它Web服務(wù)器也在這個網(wǎng)段中，也不會被感染。圖8 交換機Isolated Vlan 技術(shù)2.

16、STP Root/BPDU Guard基于Root/BPDU Guard方式的二層連接保護保證STP/RSTP穩(wěn)定,防止攻擊,保障可靠的二層連接。如圖。圖9 交換機Root Guard/BPDU Guard 技術(shù)l BPDU Guard對于接入層設(shè)備，接入端口一般直接與用戶終端（如PC機）或文件服務(wù)器相連，此時接入端口被設(shè)置為邊緣端口以實現(xiàn)這些端口的快速遷移；當(dāng)這些端口接受到配置消息（BPDU報文）時系統(tǒng)會自動將這些端口設(shè)置為非邊緣端口，重新計算生成樹，引起網(wǎng)絡(luò)拓撲的震蕩。這些端口正常情況下應(yīng)該不會收到生成樹協(xié)議的配置消息的。如果有人偽造配置消息惡意攻擊交換機，就會引起網(wǎng)絡(luò)震蕩。BPDU保護功

17、能可以防止這種網(wǎng)絡(luò)攻擊。交換機上啟動了BPDU保護功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口shutdown，同時通知網(wǎng)管。被shutdown的端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。推薦用戶在配置了邊緣端口的交換機上配置BPDU保護功能。l ROOT Guard由于維護人員的錯誤配置或網(wǎng)絡(luò)中的惡意攻擊，網(wǎng)絡(luò)中的合法根交換機有可能會收到優(yōu)先級更高的配置消息，這樣當(dāng)前根交換機會失去根交換機的地位，引起網(wǎng)絡(luò)拓撲結(jié)構(gòu)的錯誤變動。這種不合法的變動，會導(dǎo)致原來應(yīng)該通過高速鏈路的流量被牽引到低速鏈路上，導(dǎo)致網(wǎng)絡(luò)擁塞。Root保護功能可以防止這種情況的發(fā)生。對于設(shè)置了Root保護功能的端口，端口角色只能保持

18、為指定端口。一旦這種端口上收到了優(yōu)先級高的配置消息，即其將被選擇為非指定端口時，這些端口的狀態(tài)將被設(shè)置為偵聽狀態(tài)，不再轉(zhuǎn)發(fā)報文（相當(dāng)于將此端口相連的鏈路斷開）。當(dāng)在足夠長的時間內(nèi)沒有收到更優(yōu)的配置消息時，端口會恢復(fù)原來的正常狀態(tài)。LOOP PROTECTION 交換機的根端口和其他阻塞端口的狀態(tài)依靠不斷接收上游交換機發(fā)送的BPDU來維持的。但是由于鏈路擁塞或者單向鏈路故障，這些端口會收不到上游交換機的BPDU。此時交換機會重新選擇根端口，根端口會轉(zhuǎn)變?yōu)橹付ǘ丝?，而阻塞端口會遷移到轉(zhuǎn)發(fā)狀態(tài)，從而交換網(wǎng)絡(luò)中會產(chǎn)生環(huán)路。環(huán)路保護功能會抑制這種環(huán)路的產(chǎn)生。在啟動了環(huán)路保護功能后，根端口的角色如果發(fā)生變

19、化就會設(shè)置它為Discarding狀態(tài)，阻塞端口會一直保持在Discarding狀態(tài)，不轉(zhuǎn)發(fā)報文，從而不會在網(wǎng)絡(luò)中形成環(huán)路。l TC PROTECTION根據(jù)IEEE 802.1w和IEEE 802.1s協(xié)議，交換機監(jiān)測到拓撲變化或者接收到TC報文后會清空MAC表。如果受到TC攻擊(連續(xù)不斷收到TC報文)交換機就會一直進行MAC刪除操作，影響正常的轉(zhuǎn)發(fā)業(yè)務(wù)。使能TC PROTECTION功能后，將減少刪除MAC的次數(shù)，保證業(yè)務(wù)的正常運行。3. 端口安全端口安全（Port Security）的主要功能就是通過定義各種安全模式，讓設(shè)備學(xué)習(xí)到合法的源MAC地址，以達到相應(yīng)的網(wǎng)絡(luò)管理效果。對于不能通過

20、安全模式學(xué)習(xí)到源MAC地址的報文或802.1x認證失敗的0當(dāng)發(fā)現(xiàn)非法報文后，系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式自動進行處理，減少了用戶的維護工作量，極大地提高了系統(tǒng)的安全性和可管理性。端口安全的特性包括：NTK：NTK（Need To Know）特性通過檢測從端口發(fā)出的數(shù)據(jù)幀的目的MAC地址，保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過認證的設(shè)備上，從而防止非法設(shè)備竊聽網(wǎng)絡(luò)數(shù)據(jù)。Intrusion Protection：該特性通過檢測端口接收到的數(shù)據(jù)幀的源MAC地址或802.1x認證的用戶名、密碼，發(fā)現(xiàn)非法報文或非法事件，并采取相應(yīng)的動作，包括暫時斷開端口連接、永久斷開端口連接或是過濾此MAC地址的報

21、文，保證了端口的安全性。Device Tracking：該特性是指當(dāng)端口有特定的數(shù)據(jù)包（由非法入侵，用戶不正常上下線等原因引起）傳送時，設(shè)備將會發(fā)送Trap信息，便于網(wǎng)絡(luò)管理員對這些特殊的行為進行監(jiān)控。表2 端口的安全模式：安全模式類型描述特性說明secure禁止端口學(xué)習(xí)MAC地址，只有源MAC為端口上已經(jīng)配置的靜態(tài)MAC的報文，才能通過該端口在左側(cè)列出的模式下，當(dāng)設(shè)備發(fā)現(xiàn)非法報文后，將觸發(fā)NTK特性和Intrusion Protection特性userlogin對接入用戶采用基于端口的802.1x認證此模式下NTK特性和Intrusion Protection特性不會被觸發(fā)userlogin

22、-secure接入用戶必須先通過802.1x認證，認證成功后端口開啟，但也只允許認證成功的用戶報文通過；此模式下，端口最多只允許接入一個經(jīng)過802.1x認證的用戶；當(dāng)端口從正常模式進入此安全模式時，端口下原有的動態(tài)MAC地址表項和已認證的MAC地址表項將被自動刪除在左側(cè)列出的模式下，當(dāng)設(shè)備發(fā)現(xiàn)非法報文后，將觸發(fā)Need To Know特性和Intrusion Protection特性userlogin-withoui與userlogin-secure類似，端口最多只允許一個802.1x認證用戶，但同時，端口還允許一個oui地址的報文通過；當(dāng)用戶從端口的正常模式進入此模式時，端口下原有的動態(tài)MA

23、C地址表項和已認證mac-authentication基于MAC地址對接入用戶進行認證userlogin-secure-or-mac表示mac-authentication和userlogin-secure模式下的認證可以同時進行，如果都認證通過的話，userlogin-secure的優(yōu)先級高于mac-authentication模式userlogin-secure-else-mac表示先進行mac-authentication認證，如果成功則表明認證通過，如果失敗則再進行userlogin-secure認證userlogin-secure-ext與userlogin-secure類似，但端口

24、下的802.1x認證用戶可以有多個userlogin-secure-or-mac-ext與userlogin-secure-or-mac類似，但端口下的802.1x認證用戶可以有多個userlogin-secure-else-mac-ext與mac-else-userlogin-secure類似，但端口下的802.1x認證用戶可以有多個4. 防IP偽裝病毒和非法用戶很多情況會偽裝IP來實現(xiàn)攻擊。偽裝IP有三個用處：? 本身就是攻擊的直接功能體。比如smurf攻擊。? 麻痹網(wǎng)絡(luò)中的安全設(shè)施。比如繞過利用源IP做的接入控制。? 隱藏攻擊源設(shè)備防止IP偽裝的關(guān)鍵在于如何判定設(shè)備接收到的報文的源IP是

25、經(jīng)過偽裝的。這種判定的方式有三種。分別在內(nèi)網(wǎng)和內(nèi)外網(wǎng)的邊界使用。l 在internet出口處過濾RFC3330和RFC1918所描述的不可能在內(nèi)外網(wǎng)之間互訪的IP地址。由于現(xiàn)今internet上的大多數(shù)攻擊者都不具備很高的網(wǎng)絡(luò)技術(shù)水平，其攻擊手段僅僅是比較機械利用現(xiàn)有的攻擊工具。同時一些攻擊工具雖然做到了使用方便，但其攻擊方法設(shè)計也相對簡單，沒有辦法根據(jù)網(wǎng)絡(luò)實際狀況進行調(diào)整。因此，網(wǎng)絡(luò)中大多數(shù)的攻擊方式是帶有盲目性的。局域網(wǎng)在其internet出入口處過濾掉不可能出現(xiàn)的IP地址，可以緩解非法用戶簡單的隨機偽裝IP所帶來的危害。l 利用IP和MAC的綁定關(guān)系? 網(wǎng)關(guān)防御利用DHCP relay特

26、性，網(wǎng)關(guān)可以形成本網(wǎng)段下主機的IP、MAC映射表。當(dāng)網(wǎng)關(guān)收到一個ARP報文時，會先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系。如果找到則正常學(xué)習(xí)，否則不學(xué)習(xí)該ARP。這樣偽裝IP的設(shè)備沒有辦法進行正常的跨網(wǎng)段通信。? 接入設(shè)備防御利用DHCP SNOOPING特性，接入設(shè)備通過監(jiān)控其端口接收到的DHCP request、ACK、release報文，也可以形成一張端口下IP、MAC的映射表。設(shè)備可以根據(jù)IP、MAC、端口的對應(yīng)關(guān)系，下發(fā)ACL規(guī)則限制從該端口通過的報文源IP必須為其從DHCP 服務(wù)器獲取的IP地址。UPRF UPRF會檢測接收到的報文中的源地址是否和其接收報文的接口相匹配。其實現(xiàn)機制如

27、下：設(shè)備接收到報文后，UPRF會比較該報文的源地址在路由表中對應(yīng)的出接口是否和接收該報文的接口一致。如果兩者不一致，則將報文丟棄。5. 路由協(xié)議認證攻擊者也可以向網(wǎng)絡(luò)中的設(shè)備發(fā)送錯誤的路由更新報文，使路由表中出現(xiàn)錯誤的路由，從而引導(dǎo)用戶的流量流向攻擊者的設(shè)備。為了防止這種攻擊最有效的方法就是使用局域網(wǎng)常用路由協(xié)議時，必須啟用路由協(xié)議的認證。? OSPF協(xié)議，支持鄰居路由器之間的明文/MD5認證和OSPF區(qū)域內(nèi)的明文/MD5認證；? RIPv2協(xié)議，支持鄰居路由器之間的明文/MD5認證另外，在不應(yīng)該出現(xiàn)路由信息的端口過濾掉所有路由報文也是解決方法之一。但這種方法會消耗掉許多ACL資源。3.1.2

28、 數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全技術(shù)邊界安全的一項主要功能是實現(xiàn)網(wǎng)絡(luò)隔離，通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進行隔離。華為3COM SecPath系列防火墻以其高效可靠的防攻擊手段，和靈活多變的安全區(qū)域配置策略擔(dān)負起是守護數(shù)據(jù)中心邊界安全的的重任。1. 狀態(tài)防火墻實現(xiàn)網(wǎng)絡(luò)隔離的基本技術(shù)是IP包過濾，ACL是一種簡單可靠的技術(shù)，應(yīng)用在路由器或交換機上可實現(xiàn)最基本的IP包過濾，但單純的ACL包過濾缺乏一定的靈活性。對于類似于應(yīng)用FTP協(xié)議進行通信的多通道協(xié)議來說，配置ACL則是困難的。FTP包含一個預(yù)知端口的TCP控制通道和一個動態(tài)協(xié)商的TCP數(shù)據(jù)通道，對于一般的ACL來說，配置安全策略時無法預(yù)知數(shù)據(jù)

29、通道的端口號，因此無法確定數(shù)據(jù)通道的入口。狀態(tài)防火墻設(shè)備將狀態(tài)檢測技術(shù)應(yīng)用在ACL技術(shù)上，通過對連接狀態(tài)的狀態(tài)的檢測，動態(tài)的發(fā)現(xiàn)應(yīng)該打開的端口，保證在通信的過程中動態(tài)的決定哪些數(shù)據(jù)包可以通過防火墻。狀態(tài)防火墻還采用基于流的狀態(tài)檢測技術(shù)可以提供更高的轉(zhuǎn)發(fā)性能，因為基于ACL的包過濾技術(shù)是逐包檢測的，這樣當(dāng)規(guī)則非常多的時候包過濾防火墻的性能會變得比較低下，而基于流的狀態(tài)防火墻可以根據(jù)流的信息決定數(shù)據(jù)包是否可以通過防火墻，這樣就可以利用流的狀態(tài)信息決定對數(shù)據(jù)包的處理結(jié)果加快了轉(zhuǎn)發(fā)性能。2. 防火墻安全區(qū)域管理邊界安全的一項主要功能是網(wǎng)絡(luò)隔離，并且這種網(wǎng)絡(luò)隔離技術(shù)不是簡單的依靠網(wǎng)絡(luò)接口來劃分的，因為網(wǎng)

30、絡(luò)的實際拓撲是千差萬別的，使用固定接口來進行網(wǎng)絡(luò)隔離不能適應(yīng)網(wǎng)絡(luò)的實際要求。SecPath防火墻提供了基于安全區(qū)域的隔離模型，每個安全區(qū)域可以按照網(wǎng)絡(luò)的實際組網(wǎng)加入任意的接口，因此SecPath的安全管理模型是不會受到網(wǎng)絡(luò)拓撲的影響。業(yè)界很多防火墻一般都提供受信安全區(qū)域（trust）、非受信安全區(qū)域（untrust）、非軍事化區(qū)域（DMZ）三個獨立的安全區(qū)域，這樣的保護模型可以適應(yīng)大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場合，這樣的保護模型還是不能滿足要求。SecPath防火墻默認提供四個安全區(qū)域：trust、untrust、DMZ、local，在提供三個最常用的安全邏輯區(qū)域的基礎(chǔ)上還新

31、增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到防火墻本身的報文，保證了防火墻本身的安全防護，使得對防火墻本身的安全保護得到加強。例如，通過對本地安全區(qū)域的報文控制，可以很容易的防止不安全區(qū)域?qū)Ψ阑饓Ρ旧淼腡elnet、ftp等訪問。SecPath防火墻還提供自定義安全區(qū)域，可以最大定義16個安全區(qū)域，每個安全區(qū)域都可以加入獨立的接口。SecPath系列防火墻支持根據(jù)不同的安全區(qū)域之間的訪問設(shè)計不同的安全策略組，每條安全策略組支持若干個獨立的規(guī)則。這樣的規(guī)則體系使得防火墻的策略十分容易管理，方面用戶對各種邏輯安全區(qū)域的獨立管理。部分防火墻還是采用基于接口的安全策略管理機制，如圖。圖10 防火墻安

32、全區(qū)域管理兩個接口：trust接口和DMZ接口共享untrust接口訪問internet，如果在接口上使用安全策略進行控制，則會導(dǎo)致策略混亂。因為在untrust接口流量中，即有從DMZ和internet之間的流量，也有從trust和internet之間的流量。這樣的策略控制模型不適合用戶進行策略配置。而基于安全區(qū)域的策略控制模型，可以清晰的分別定義從trust到untrust、從DMZ到untrust之間的各種訪問，這樣的策略控制模型使得SecPath防火墻的網(wǎng)絡(luò)隔離功能具有很好的管理能力。. 防火墻DOS/DDOS防御Dos（Deny of service）是一類攻擊方式的統(tǒng)稱（DDos也

33、是Dos的一種），其攻擊的基本原理就是通過發(fā)送各種垃圾報文導(dǎo)致網(wǎng)絡(luò)的阻塞、服務(wù)的癱瘓。Dos攻擊方式其利用IP無連接的特點，可以制造各種不同的攻擊手段，而且攻擊方式非常簡單。在Internet上非常流行，對企業(yè)網(wǎng)、甚至骨干網(wǎng)都造成了非常嚴重的影響，引發(fā)很大的網(wǎng)絡(luò)事故，因此優(yōu)秀的Dos攻擊防范功能是防火墻的必備功能?，F(xiàn)在幾乎所有的防火墻設(shè)備都宣傳具有Dos攻擊防御功能，但是那么為什么Dos攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓的攻擊事件為什么還是層出不窮呢？一個優(yōu)秀的Dos攻擊防御體系，應(yīng)該具有如下最基本的特征：l 防御手段的健全和豐富。因為Dos攻擊手段種類比較多，因此必須具有豐富的防御手段，才可以保證真正的抵御D

34、os攻擊。l 優(yōu)秀的處理性能。因為Dos攻擊伴隨這一個重要特征就是網(wǎng)絡(luò)流量突然增大，如果防火墻本身不具有優(yōu)秀的處理能力，則防火墻在處理Dos攻擊的同時本身就成為了網(wǎng)絡(luò)的瓶頸，根本就不可能抵御Dos攻擊。因為Dos攻擊的一個重要目的就是使得網(wǎng)絡(luò)癱瘓，網(wǎng)絡(luò)上的關(guān)鍵設(shè)備點發(fā)生了阻塞，則Dos攻擊的目的就達到了。防火墻設(shè)備不但要注重轉(zhuǎn)發(fā)性能，同時一定要保證對業(yè)務(wù)的處理能力。在進行Dos攻擊防御的過程中，防火墻的每秒新建能力就成為保證網(wǎng)絡(luò)通暢的一個重要指標，Dos攻擊的過程中，攻擊者都是在隨機變化源地址因此所有的連接都是新建連接。l 準確的識別攻擊能力。很多防火墻在處理Dos攻擊的時候，僅僅能保證防火墻

35、后端的流量趨于網(wǎng)絡(luò)可以接受的范圍，但是不能保證準確的識別攻擊報文。這樣處理雖然可以保證網(wǎng)絡(luò)流量的正常，可以保證服務(wù)器不會癱瘓，但是這樣處理還是會阻擋正常用戶上網(wǎng)、訪問等的報文，因此雖然網(wǎng)絡(luò)層面是正常的，但是真正的服務(wù)還是被拒絕了，因此還是不能達到真正的Dos攻擊防御的目的。SecPath系列防火墻產(chǎn)品，在對上述各個方面都做了詳盡的考慮，因此Dos防御的綜合性能、功能等方面在同類防火墻產(chǎn)品中都具有很強的優(yōu)勢。4. 防火墻TCP代理Tcp代理是SecPath系列防火墻為防止SYN Flood類的Dos攻擊，而專門開發(fā)的一個安全特性。SYN Flood攻擊可以很快的消耗服務(wù)器資源，導(dǎo)致服務(wù)器崩潰。在

36、一般的Dos防范技術(shù)中，在攻擊發(fā)生的時候不能準確的識別哪些是合法用戶，哪些是攻擊報文。Eudemon防火墻采用了TCP透明代理的方式實現(xiàn)了對這種攻擊的防范，Eudemon防火墻通過精確的驗證可以準確的發(fā)現(xiàn)攻擊報文，對正常報文依然可以通過允許這些報文訪問防火墻資源，而攻擊報文則被Eudemon防火墻丟棄。有些攻擊是建立一個完整的TCP連接用來消耗服務(wù)器的資源。Eudemon系列防火墻可以實現(xiàn)增強代理的功能，在客戶端與防火墻建立連接以后察看客戶是否有數(shù)據(jù)報文發(fā)送，如果有數(shù)據(jù)報文發(fā)送防火墻再與服務(wù)器端建立連接否則丟棄客戶端的報文。這樣可以保證即使采用完成TCP三次握手的方式消耗服務(wù)器資源，也可以被E

37、udemon防火墻發(fā)現(xiàn)。圖11 防火墻TCP代理5. 防火墻在數(shù)據(jù)中心的部署點1） ServerFarm 網(wǎng)絡(luò)邊界上的狀態(tài)防火墻園區(qū)網(wǎng)絡(luò)通常包括園區(qū)核心網(wǎng)、邊界網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)、分支結(jié)構(gòu)網(wǎng)絡(luò)、數(shù)據(jù)中心(ServerFarm)網(wǎng)絡(luò)。核心網(wǎng)絡(luò)是所有網(wǎng)絡(luò)區(qū)域的中心，內(nèi)部網(wǎng)絡(luò)、數(shù)據(jù)中心、邊界網(wǎng)絡(luò)以星狀連接在核心周圍，邊界網(wǎng)的另一端還與Internet相連，可以為園區(qū)提供Internet出口，并且作為分支網(wǎng)絡(luò)的接入點，如圖所示。圖文圖12 防火墻在數(shù)據(jù)中心的部署點防火墻應(yīng)該部署在信任與非信任網(wǎng)絡(luò)的鄰接點上，避免不安全因素的擴散。上述園區(qū)網(wǎng)絡(luò)模型中存在兩個這樣的鄰接點，一是邊界網(wǎng)絡(luò)與Internet的接入點

38、上，這個位置部署放火墻可以隔離來自Internet或外部網(wǎng)絡(luò)的有害數(shù)據(jù)；另一個在數(shù)據(jù)中心（ServerFarm）匯聚交換機與核心網(wǎng)交換機的接的接入點上，在此部署防火墻可避免來自內(nèi)部網(wǎng)絡(luò)的威脅，這種威脅可能是內(nèi)網(wǎng)員工惡意攻擊造成的，也可能是一些不恰當(dāng)?shù)牟僮鲗W(wǎng)絡(luò)造成的。在ServerFarm內(nèi)部多層服務(wù)器區(qū)的各層之間也可以部署防火墻以增強不同層次之間的安全性，如圖。由于web服務(wù)器直接面對訪問者，通常來說是網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，使用分層防御可以將重要的服務(wù)器通過防火墻進行保護，即使web服務(wù)器被攻陷，也不會造成應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器的進一步破壞。3.1.3 數(shù)據(jù)中心應(yīng)用防護技術(shù)IPS可以針對應(yīng)用流

39、量做深度分析與檢測能力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進行有效管理，從而達到對網(wǎng)絡(luò)上應(yīng)用的保護、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護和網(wǎng)絡(luò)性能的保護。以下介紹H3C TippingPoint IPS應(yīng)用防護功能的幾項關(guān)鍵技術(shù)：1. IPS in-line 部署方式TippingPoint IPS可以被“in-line”地部署到網(wǎng)絡(luò)當(dāng)中去，對所有流經(jīng)的流量進行深度分析與檢測，從而具備了實時阻斷攻擊的能力，同時對正常流量不產(chǎn)生任何影響。基于其高速和可擴展的硬件平臺，TippingPoint IPS不斷優(yōu)

40、化檢測性能，使其能夠達到與交換機同等級別的高吞吐量和低延時，同時可以對所有主要網(wǎng)絡(luò)應(yīng)用進行分析，精確鑒別和阻斷攻擊。TippingPoint IPS的出現(xiàn)使得應(yīng)用層威脅問題迎刃而解。2. 硬件引擎TippingPoint基于ASIC、FPGA和NP技術(shù)開發(fā)的威脅抑制引擎（TSE，Threat Suppression Engine）是高性能和精確檢測的基礎(chǔ)。TSE的核心架構(gòu)由以下部件有機融合而成：圖13 IPS 的基于硬件的威脅抑止引擎定制的ASICFPGA(現(xiàn)場可編程門陣列)20G高帶寬背板高性能網(wǎng)絡(luò)處理器該核心架構(gòu)提供的大規(guī)模并行處理機制，使得TippingPoint IPS對一個報文從2層

41、到7層所有信息的檢測可以在215微秒內(nèi)完成，并且保證處理時間與檢測特征數(shù)量無線性關(guān)系。采用流水線與大規(guī)模并行處理融合技術(shù)的TSE可以對一個報文同時進行幾千種檢測，從而將整體的處理性能提高到空前水平。在具備高速檢測功能的同時，TSE還提供增值的流量分類、流量管理和流量整形功能。TSE可以自動統(tǒng)計和計算正常狀況下網(wǎng)絡(luò)內(nèi)各種應(yīng)用流量的分布，并且基于該統(tǒng)計形成流量框架模型；當(dāng)短時間內(nèi)大規(guī)模爆發(fā)的病毒導(dǎo)致網(wǎng)絡(luò)內(nèi)流量發(fā)生異常時，TSE將根據(jù)已經(jīng)建立的流量框架模型限制或者丟棄異常流量，保證關(guān)鍵業(yè)務(wù)的可達性和通暢性。此外，為防止大量的P2P、IM流量侵占帶寬，TSE還支持對100多種點到點應(yīng)用的限速功能，保證

42、關(guān)鍵應(yīng)用所需的帶寬。3. 應(yīng)用防護能力TippingPoint IPS在跟蹤流狀態(tài)的基礎(chǔ)上，對報文進應(yīng)用層信息的深度檢測，可以在蠕蟲、病毒、木馬、DoS/DDoS、后門、Walk-in蠕蟲、連接劫持、帶寬濫用等威脅發(fā)生前成功地檢測并阻斷。圖14 IPS 的應(yīng)用防護能力TippingPoint IPS還支持以下檢測機制：基于訪問控制列表（ACL）的檢測基于統(tǒng)計的檢測基于協(xié)議跟蹤的檢測基于應(yīng)用異常的檢測報文規(guī)范檢測（Normalization）IP報文重組TCP流恢復(fù)以上機制協(xié)同工作，TippingPoint IPS可以對應(yīng)用流量進行細微粒度的識別與控制，有效檢測流量激增、緩沖區(qū)溢出、漏洞探測、I

43、PS規(guī)避等一些已知的、甚至未知的攻擊。TippingPoint的安全威脅分析團隊也處于業(yè)界領(lǐng)先的地位。該團隊是安全威脅快訊SANS Risk的主要撰稿人，SANS Risk每4. “零時差攻擊”防御TippingPoint實時更新、發(fā)布的數(shù)字疫苗（DV，Digital Vaccine）是網(wǎng)絡(luò)免疫的保障與基礎(chǔ)。在撰寫SANS Risk公告的同時，TippingPoint的專業(yè)團隊同時跟蹤其它知名安全組織和廠商發(fā)布的安全公告；經(jīng)過跟蹤、分析、驗證所有這些威脅，生成供TippingPoint IPS使用的可以保護這些漏洞的特征知識庫 數(shù)字疫苗，它針對漏洞的本質(zhì)進行保護，而不是根據(jù)特定的攻擊特征進行防

44、御。數(shù)字疫苗以定期（每周）和緊急（當(dāng)重大安全漏洞被發(fā)現(xiàn)）兩種方式發(fā)布，并且能夠通過內(nèi)容發(fā)布網(wǎng)絡(luò)自動地分發(fā)到用戶駐地的IPS設(shè)備中，從而使得用戶的IPS設(shè)備在漏洞被公布的同時立刻具備防御零時差攻擊的能力。TippingPoint還與全球著名的系統(tǒng)軟件廠商，如Microsoft、Oracle等，保持了良好的合作關(guān)系。在某個漏洞被發(fā)現(xiàn)后，TippingPoint能夠在第一時間（即廠商公布安全公告之前）獲得該漏洞的詳細信息，并且利用這一時間差及時制作可以防御該漏洞的數(shù)字疫苗，使得用戶的網(wǎng)絡(luò)免遭這種“零時差攻擊”（Zero-day Attack）。圖15 IPS的數(shù)字疫苗系統(tǒng)3.1.4 數(shù)據(jù)中心網(wǎng)絡(luò)管理

45、安全技術(shù)1. SSH由于Telnet沒有提供安全的認證方式，且通過TCP傳輸?shù)耐ㄐ艃?nèi)容都是明文的，即使啟用了AAA認證，輸入的用戶名和密碼也可以通過抓包分析來獲得；由于系統(tǒng)對Telnet用戶不進行復(fù)雜的驗證，DoS攻擊、主機IP欺騙、路由欺騙等攻擊都可能給服務(wù)器帶來致命威脅，因此存在著相當(dāng)大的安全隱患。圖16 基于SSH管理交換機SSH（Secure Shell）是在Telnet基礎(chǔ)上發(fā)展起來的一種安全的遠程登錄協(xié)議，協(xié)議號22，它支持password和RSA認證，對數(shù)據(jù)進行DES和3DES等加密（由于DES的安全性不高，SSH2中已不支持DES），有效防止了對密碼的竊聽，保護了數(shù)據(jù)的完整性和

46、可靠性，保證了數(shù)據(jù)的安全傳輸。特別是對于RSA認證的支持，對稱加密和非對稱加密的混合應(yīng)用，密鑰的安全交換，最終實現(xiàn)了安全的會話過程。在不安全的網(wǎng)絡(luò)上直接進行遠程登陸和文件傳輸是不安全的，用戶名、密碼、數(shù)據(jù)都可能被非法人員截獲。SSH使用認證和加密來保護不安全的網(wǎng)絡(luò)上的通信，SSH分為客戶端和服務(wù)端，服務(wù)端的知名端口號為22。SSH是Secure Shell的簡稱，中文可叫做安全外殼，目前有stelnet(secure telnet)和SFTP(Secure FTP)兩種應(yīng)用。Stelnet完成遠程登陸，SFTP完成文件傳輸，與telnet和FTP的功能相同，但是協(xié)議的處理完全不同。2. SNM

47、PV3由于SNMP承載于UDP之上，因而SNMP很容易被非法用戶利用偽裝IP進行攻擊。特別是當(dāng)攻擊者先捕獲到合法SNMP流量后，SNMP對其幾乎不設(shè)防。也正因為如此，SNMP一直未能得到大規(guī)模的使用。在這種前提下。SNMP V3應(yīng)運而生。SNMP V3支持MD5或SHA認證和DES或AES加密。從而為SNMP協(xié)議提供了合理的安全特性。3. 常見協(xié)議的信任源控制設(shè)備支持對SNMP、TELNET/SSH設(shè)定軟件ACL，來限定只有合法的網(wǎng)段或者IP才能訪問設(shè)備的這些協(xié)議。4. 端口鏡像由于現(xiàn)階段網(wǎng)絡(luò)對人們的工作、生活都有極其深遠的影響。高可用的網(wǎng)絡(luò)也越來越受到關(guān)注。高可用包含兩層含義：一是網(wǎng)絡(luò)本身不

48、出現(xiàn)異常；二是網(wǎng)絡(luò)出現(xiàn)異常后能夠迅速恢復(fù)。因此，現(xiàn)階段對網(wǎng)絡(luò)管理維護人員迅速定位問題的能力提出了很高的要求。端口鏡像作為網(wǎng)絡(luò)管理維護人員很好的網(wǎng)絡(luò)狀況監(jiān)控手段成為網(wǎng)絡(luò)管理維護人員定位問題的一個重要組成部分。端口鏡像有兩類：遠程端口鏡像和本地鏡像。本地鏡像是指將交換機的1個或多個端口的報文復(fù)制到本交換機的一個監(jiān)控端口，用于報文的分析和監(jiān)視。例如：可以將Ethernet0/1端口上的報文復(fù)制到指定監(jiān)控口Ethernet0/2，通過監(jiān)控口Ethernet0/2上連接的協(xié)議分析儀進行測試和記錄。目前我司所有的可管理交換機都實現(xiàn)了這個功能。但本地鏡像在實際應(yīng)用中存在一定的缺陷，例如：當(dāng)交換機不是集中放置

49、在一個中心機房中時，為了檢測分散在不同地域的交換機上的端口需要維護人員跑到現(xiàn)場進行鏡像觀測。為了降低維護人員的維護工作量，遠程鏡像的功能隨即在一些廠商的交換機上產(chǎn)生了。遠程鏡像突破了被鏡像端口和鏡像端口必須在同一臺交換機上的限制，使被鏡像端口和鏡像端口間可以跨越多個網(wǎng)絡(luò)設(shè)備，這樣維護人員就可以坐在中心機房以通過分析儀觀測遠端被鏡像端口的數(shù)據(jù)報文了。 圖17 交換機的端口鏡像理想狀態(tài)下被鏡像的數(shù)據(jù)報文應(yīng)該能夠穿越三層網(wǎng)絡(luò)到達遠端的鏡像端口，但由于目前被鏡像的端口所在的交換機多為低端二層交換機，出于成本和實現(xiàn)難度的考慮，目前廠家實現(xiàn)的遠程鏡像功能都無法穿越三層網(wǎng)絡(luò)。遠程鏡像功能簡稱為RSPAN。RSPAN實現(xiàn)