防范内网遭受DoS攻击的策略

核心提示：虽然网络安全专家都在着力开发抗DoS攻击的办法，但收效不大，由于DoS攻击利用了TCP协议本身的弱点。在交换机上进行设置，并安装专门的DoS辨认和预防工具，能最大限度地 减少DoS攻击酿成的损失。 　　利用3层交换建立全面的网络安全部系，其基础必须是以3层交换和路由

虽然网络安全专家都在着力开发抗DoS攻击的办法，但收效不大，由于DoS攻击利用了TCP协议本身的弱点。在交换机上进行设置，并安装专门的DoS辨认和预防工具，能最大限度地 减少DoS攻击酿成的损失。
　　利用3层交换建立全面的网络安全部系，其基础必须是以3层交换和路由为核心的智能型网络，有完善的3层以上的安全策略治理工具。

局域网层

在局域网层上，可采取很多预防措施。例如，虽然完全消除IP分组假冒现象几近不可能，但网管可构建过滤器，假设数据带有内部网的信源地址，则通过限制数据输进流量，有效下降内部假冒IP攻击。过滤器还可限制外部IP分组流，避免假冒IP的DoS攻击被当作中间系统。

其他方法还有：封闭或限制特定服务，如限定UDP服务只答应于内部网中用于网络诊断目的。

但是，这些限制措施可能给正当利用（如采取UDP作为传输机制的RealAudio）带来负面影响。

网络传输层

以下对网络传输层的控制可对以上不足进行补充。

独立于层的线速服务质量(QoS)和访问控制 带有可配置智能软件、独立于层的QoS和访问控制功能的线速多层交换机的出现，改良了网络传输设备保护数据流完全性的能力。

在传统路由器中，认证机制（如滤除带有内部地址的假冒分组）要求流量到达路由器边沿，并与特定访问控制列表中的标准符合。但保护访问控制列表不但耗时，而且极大增加了路由器开消。

相比之下，线速多层交换机可灵活实现各种基于策略的访问控制。

这类独立于层的访问控制能力把安全决策与网络结构决策完全分开，使网管员在有效部署了DoS预防措施的同时，没必要采取次优的路由或交换拓扑。结果，网管员和服务供给商能把全部城域网、数据中心或企业网环境中基于策略的控制标准无缝地集成起来，而不管它采取的是复杂的基于路由器的核心服务，还是相对简单的第2层交换。另外，线速处理数据认证可在后台履行，基本没有性能延迟。

可定制的过滤和“信任邻居”机制

智能多层访问控制的另1优点是，能简便地实现定制过滤操纵，如根据特定标准定制对系统响应的控制粒度。多层交换可把分组推送到指定的最大带宽限制的特定QoS配置文件上，而不是对多是DoS攻击的组制定简单的“通过”或“抛弃”决策。这类方式，既可避免DoS攻击，也可下降抛弃正当数据包的危险。

另1个优点是能定制路由访问策略，支持具体系统之间的“信任邻居”关系，避免未经授权使用内部路由。

定制网络登录配置

网络登录采取惟1的用户名和口令，在用户获准进进前认证身份。网络登录由用户的浏览器把动态主机配置协议（DHCP）递交到交换机上，交换机捕捉用户身份，向RADIUS服务器发送要求，进行身份认证，只有在认证以后，交换机才答应当用户发出的分组流量流经网络。

评论加载中... 内容： 评论者： 验证码：