国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 安全管理 >

防御收集報復(fù)打擊的SDN安然策略

時間:2013-07-18 23:20來源:TuZhiJiaMi企業(yè)信息安全專家 點(diǎn)擊:
軟件定義收集(SDN)手藝將收集節(jié)制轉(zhuǎn)移到專用SDN節(jié)制器上,由它負(fù)責(zé)治理和節(jié)制虛擬收集和物理收集的所有功能。因?yàn)镾DN安然策略實(shí)現(xiàn)了這類隔離和節(jié)制,所以它撐持更深層次的數(shù)據(jù)包闡發(fā)、收
Tags網(wǎng)絡(luò)攻擊(132)安全管理(325)安全策略(98)SDN(13)  

  軟件定義收集(SDN)手藝將收集節(jié)制轉(zhuǎn)移到專用SDN節(jié)制器上,由它負(fù)責(zé)治理和節(jié)制虛擬收集和物理收集的所有功能。因?yàn)镾DN安然策略實(shí)現(xiàn)了這類隔離和節(jié)制,所以它撐持更深層次的數(shù)據(jù)包闡發(fā)、收集監(jiān)控和流量節(jié)制,對防御收集報復(fù)打擊有很大年夜幫忙。

  軟件定義監(jiān)控的鼓起

  比來,微軟發(fā)布了它在內(nèi)部利用了一種自行開辟且基于OpenFlow的收集分流聚合平臺(稱為漫衍式以太網(wǎng)監(jiān)控,DEMON)。這個東西可用于措置微軟云收集的大年夜范圍流量。之前,其內(nèi)部的不計其數(shù)個連接與收集流已超出了傳統(tǒng)分流與捕獲機(jī)制(如SPAN或端口鏡像)的措置能力。

  經(jīng)由過程利用可編程的矯捷互換機(jī)和其他收集設(shè)備,讓它們作為數(shù)據(jù)包反對和重定向平臺,安然團(tuán)隊(duì)便可以檢測和防御今朝的各類常見報復(fù)打擊。良多行業(yè)將SDN驅(qū)動的安然闡發(fā)手藝稱為軟件定義監(jiān)控(SDM)。在SDM中,SDN互換機(jī)作為數(shù)據(jù)包闡發(fā)設(shè)備,而節(jié)制器則作為監(jiān)控和闡發(fā)設(shè)備。

  利用SDN監(jiān)控安然性和闡發(fā)數(shù)據(jù)包

  起首,來自IBM、Juniper、惠普和Arista Networks等供給商的相對較便宜的消費(fèi)類可編程SDN互換機(jī),可用于代替較昂貴的數(shù)據(jù)包闡發(fā)設(shè)備。與微軟的用例近似,大年夜量的小我連接和數(shù)據(jù)流聚合到一路發(fā)送到多個安然數(shù)據(jù)包捕獲與闡發(fā)平臺。第一層互換機(jī)可用于捕獲和轉(zhuǎn)發(fā)數(shù)據(jù)包,然后第二層(或第三層)設(shè)備終止第一層的監(jiān)控端口。別的,這些互換機(jī)還可以堆積流量,將數(shù)據(jù)流和統(tǒng)計數(shù)據(jù)發(fā)送到其他監(jiān)控設(shè)備和平臺。

  兼容OpenFlow(最好也兼容sFlow)的SDK節(jié)制器可用于編程實(shí)現(xiàn)和治理多種兼容SDN的互換機(jī),如Big Switch節(jié)制器。同時,安然監(jiān)控堆疊軟件產(chǎn)品(Big Switch的Big Tap)可以幫忙工程師編程實(shí)現(xiàn)加倍細(xì)粒度的過濾和端口分派功能,從而在SDN互換機(jī)上摹擬出傳統(tǒng)分流功能。

  在這類環(huán)境中,多個層次的數(shù)據(jù)包闡發(fā)東西可以從SDM端口領(lǐng)受流量。SDM端口可以連接各類硬件東西,如數(shù)據(jù)包闡發(fā)設(shè)備和收集偵測設(shè)備,也能夠連接基于軟件的和談闡發(fā)器,如Wireshark。

  SDN安然策略若何防御收集報復(fù)打擊

  SDN可覺得最復(fù)雜的環(huán)境供給更高級的收集監(jiān)控功能。是以,節(jié)制器和互換機(jī)就可以夠辯白各類數(shù)據(jù)包屬性。例如,如許便可以主動反對或卸載拒盡辦事(DoS)報復(fù)打擊。實(shí)際上,SDN可以防御良多報復(fù)打擊:

  1、沉沒報復(fù)打擊,如SYN洪水報復(fù)打擊:這些報復(fù)打擊包含大年夜量只設(shè)置了SYN標(biāo)識表記標(biāo)幟的TCP數(shù)據(jù)包。它們會占用帶寬,也會填滿方針系統(tǒng)的連接隊(duì)列?;赟DN開辟的互換機(jī)可以作為第一道防御線,辯白特定模式和設(shè)定一段特按時候內(nèi)來自一個或多個來歷的數(shù)據(jù)包涵量臨界值。然后,這些互換機(jī)可以選擇丟棄數(shù)據(jù)包,或利用其他手藝和和談將它重定向到其他方針。大年夜大都路由器和其他收集平臺都沒有如許詳實(shí)的節(jié)制機(jī)制。

  2、針對特定利用與辦事的報復(fù)打擊:這些報復(fù)打擊只針對帶有很是特別HTTP要求序列的Web辦事(利用帶有特別Cookie變量等信息的用戶代辦署理字符串)。SDN設(shè)備可以辯白、記實(shí)和丟棄這些要求。

  3、針對和談行動的DDoS報復(fù)打擊:這些報復(fù)打擊會填滿設(shè)備的狀況表,可是SDN設(shè)備可以按照流挨次和連接限制辯白這些行動。

  除此以外,SDN可以摹擬良多根本的防火墻功能。節(jié)制器可以履行腳本和號令,快速更新MAC、IP地址及端口過濾編制,是以可以快速響應(yīng)和更新流量的策略與法則。別的,它可以解放其他收集設(shè)備,使它們不需要措置大年夜量的流量。

  前面只介紹了最根基的SDN安然功能。因?yàn)榭梢曰蛟S措置更多的流量,也能夠或許措置特定的數(shù)據(jù)包屬性,所以收集安然闡發(fā)可以或許實(shí)現(xiàn)的安然功能不只有根基數(shù)據(jù)包過濾和DDoS檢測。并且,它也很可能可以或許措置加倍高級的進(jìn)侵檢測和不測響應(yīng)。

------分隔線----------------------------

推薦內(nèi)容