NewDon推出IDC机房防毒交换机解决方案前沿技术
ARP欺骗/攻击反复发生,是近来IDC机房最为头痛的问题,随着ARP攻击的不断升级,不同的解决方案在市场上流传。有一些方案,从短期看来似乎有效,实际上对于真正的ARP攻击发挥不了作用,也降低局域网工作效率。中国网域网的技术服务人员接到很多用户反应说有些ARP软件防治方法很容易操作和实施,但经过实际深入了解后,发现长期效果都不大。
作为交换机设备,对交换机的整体性能提出了越来越高的要求,一旦发生大流量攻击事件时,往往最先失去抵抗能力的就是发生在这里,如果异常流量和ARP攻击达到一定的程度可以将整个机房的上层设备带宽堵满,形成网络瓶颈和系统单点故障,导致整个网络中断,而在网络第二层数据链路层的设备交换机防御来自内部的异常流量和ARP等攻击的问题,也在缠绕着广大交换机厂商和各IDC公司。
对于ARP攻击防治,我们建议选择具有专业素质的网络安全产品公司生产的防毒交换机来进行抵御。今天我们就向大家介绍的是一款来自国内顶级网络安全公司纽盾科技近期推出的NewDon防毒交换机,这套新型交换机产品完全是根据IDC机房实地环境而量身打造的,能够有效抵御局域网内的ARP攻击。下面我们就来一步步针对IDC机房的布置以及NewDon防毒交换机防毒解决方案进行详细说明。
IDC机房用户托管主机连接设备所在区域分为:汇聚层和接入层
* 汇聚层:为用户的托管主机系统提供连接网络设备和大带宽、高质量的网络接口。配置不同的功能模块,以满足用户不同的需求
(1)连接到汇聚层的托管主机,能够享受更大的带宽,在转发效率和质量上均优于其他接入方式,无需于其他设备争用上行骨干的带宽流量。
(2)因为汇聚层交换机为NewDon防毒三层交换机,因此在ip的转发和控制上具有多种优势和手段,比如在路由选择、QOS频宽管理、MAC+IP或Port+IP鎖定、异常流量监测、隔离修复管理等是接入端口无法比拟的。
(3)严格保证线速转发,一般的接入端口由于共用上行汇聚链路,只能实现十兆共享和百兆共享的服务,在突发流量较大的时段,可能会影响到数据传送质量,因此汇聚层的NewDon防毒千兆交换端口是托管用户,尤其是对网络质量要求较高的用户的首选。
* 接入层:为用户托管主机系统提供连接端口的高密度分配结构,由多个高性能的NewDon防毒接入层交换机组成。配置不同的功能模块,以满足用户不同的需求。接入层托管主机连接到NewDon防毒接入层交换机,通过上行端口连接到NewDon防毒汇聚层交换机,从而到达internet出口。
在IDC机房对内部服务器的管理中遇到的内网安全问题最集中的两点是ARP攻击和异常流量。
由于IDC机房的服务器是IDC公司的每个客户公司托管的,所以相对来说每个服务器的使用和控制权在每个客户公司,这相对于IDC机房对客户托管的服务器安全管理来说是比较麻烦,特别是在这些客户中,某些公司还上传恶意病毒和程序在他们公司的托管服务器中从而影响所有的内部托管服务器的网络故障,以往传统的交换设备是不会去判别和隔离这些受到病毒感染的服务器,只能在出现问题的时候,IDC机房管理人员逐一去排查找寻问题服务器,然后物理隔离出来,这使得发生网络故障的排查时间相对缓慢,严重时甚至要赔偿客户损失,NewDon防毒交换机直接可以在接入层和汇聚层上对内部托管服务器进行认证、授权、监测、管理等动作。NewDon防毒交换机通过硬件方式来计算每个IP Layer 4 Session 使用流量,收集了目前网络上多种严重影响网络安全的蠕虫特征(CoreRed, Nimda, Sassar, slammer,Nimda, Sassar, slammer …),当芯片检测到有符合蠕虫特征的流量行为时,NewDon防毒交换机可以迅速加以阻隔,以免传染整个网络。除特定蠕虫特征检测外,NewDon防毒交换机也支持以统计为基础的异常流量检测(anomaly detection) –管理者可以统计数据为基础,定义异常流量的临界值,加以拦截那些未知型的病毒或后门程序的攻击,这在对付内网ARP攻击是有很好的防御效果。
NewDon防毒交换机对于ARP攻击主机和异常流量主机的隔离有很多种灵活的方式,端口阻断、MAC过滤、QVLAN、也可以通过上行、下行的网络速率等方式。具体表现形式为:
1.使用Port+IP(或MAC+IP)绑定存取控制方式,使各托管服务器与IP对应,不遵守IP者将无法上网。
2.自动侦测ARP攻击并加以阻止
3.使用Quota Control总额管式,每IP每天最多可使用一定的流量额度。更加方便管理每台托管服务器的实际使用流量。
4.某客户托管服务器感染蠕虫、ARP病毒攻击时,立即加以隔离,并以Web-PoPup方式通知改善,并于一定时间后解放,如无改善再加以隔离;这些动作均以自动化的方式执行,可以大大降低网络管理者的工作负荷。
5.使用Quota Control总额管制,公平使用网络。
6.Rate Limit (上、下行频宽限制):将使用者上、下行频宽限速处理,让使用者有公平之频宽使用,NewDon防毒交换机具有8阶的上、下行频宽限制(bit per second): 64K、128K、256K、512K、1M、2M、5M。
7.在NewDon防毒接入层交换机各交换端口划分VLAN,保证各VLAN间的不互相通信,这样,各VLAN下的托管服务器其中的一台感染蠕虫、ARP病毒攻击时不至于影响NewDon防毒接入层交换机下的其他接入服务器并且不会对NewDon防毒接入层交换机的上层设备如:网关(路由器)造成冲击。同时,很大程度上降低了网络风暴的发生。
IDC机房NewDon防毒交换机解决方案的图例:
综上所述,使用纽盾科技NewDon防毒交换机,能够真正实现对防蠕虫病毒的隔离和每port对应一个vlan功能。并且在侦测到蠕虫类的病毒后能够自动把速度降下来,避免对网关造成冲击。推荐各大IDC机房使用NewDon防毒交换机解决方案。
