999精品在线视频,手机成人午夜在线视频,久久不卡国产精品无码,中日无码在线观看,成人av手机在线观看,日韩精品亚洲一区中文字幕,亚洲av无码人妻,四虎国产在线观看 ?

如何為扁平網(wǎng)絡(luò)保駕護(hù)航?

2012-12-31 00:00:00沈建苗編譯
計(jì)算機(jī)世界 2012年46期

扁平網(wǎng)絡(luò)(Flat network)是當(dāng)前業(yè)界的熱門話題。由于其可以使設(shè)備和端點(diǎn)之間實(shí)現(xiàn)更直接的通信,因此無(wú)論是速度還是性能都要?jiǎng)龠^(guò)傳統(tǒng)分層網(wǎng)絡(luò)。同時(shí),扁平網(wǎng)絡(luò)還適用于高度虛擬化的環(huán)境,并為虛擬化技術(shù)所特有的功能實(shí)現(xiàn)(如虛擬機(jī)遷移)提供了便利。

不過(guò),扁平網(wǎng)絡(luò)概念收到熱捧的同時(shí),也帶來(lái)了一個(gè)安全難題:如何兼顧網(wǎng)絡(luò)的高性能和低風(fēng)險(xiǎn)。要知道,扁平網(wǎng)絡(luò)去除了三層網(wǎng)絡(luò)分割界限。而長(zhǎng)期以來(lái),我們一直使用這種分割界限來(lái)區(qū)隔流量并提供深層防御機(jī)制。

如今大多數(shù)企業(yè)網(wǎng)絡(luò)都被劃分成了眾多的虛擬局域網(wǎng)(VLAN),每個(gè)VLAN代表一個(gè)子網(wǎng)。建立VLAN的目的是打破廣播域(broadcast domain),對(duì)設(shè)備進(jìn)行邏輯分組,并且方便在不同子網(wǎng)之間實(shí)施各不相同的訪問(wèn)控制機(jī)制。這些內(nèi)容對(duì)網(wǎng)管員是非常有用的。現(xiàn)在已經(jīng)有很多方法可以確定設(shè)備與VLAN的歸屬關(guān)系:既可以按照類型來(lái)分隔設(shè)備,把所有服務(wù)器放到一個(gè)或多個(gè)VLAN中,也可以按照樓層或者建筑的物理位置來(lái)分隔設(shè)備。

除了劃定不同訪問(wèn)機(jī)制外,把設(shè)備分隔到不同子網(wǎng)/VLAN中的另一個(gè)好處是,這為網(wǎng)絡(luò)管理員提供了上下文線索,以便了解網(wǎng)絡(luò)上系統(tǒng)的運(yùn)行狀況。比如,網(wǎng)管員可以將某個(gè)VLAN劃分為專門為無(wú)線連接使用。這種歸類有助于排除故障、優(yōu)化網(wǎng)絡(luò)及其他常見(jiàn)任務(wù)。此外,作為兩種最常見(jiàn)的網(wǎng)絡(luò)過(guò)濾控制機(jī)制,基本的防火墻和訪問(wèn)控制列表(ACL)通常 基于IP地址等三層網(wǎng)絡(luò)參數(shù)。數(shù)據(jù)流從某個(gè)IP地址或某組地址發(fā)來(lái),傳送到某個(gè)IP地址或某組地址去。安全策略和系統(tǒng)需求規(guī)定了過(guò)濾規(guī)則,而這些規(guī)則則負(fù)責(zé)對(duì)數(shù)據(jù)流進(jìn)行允許或禁止通過(guò)操作。

以上描述的是傳統(tǒng)分層網(wǎng)絡(luò)的優(yōu)勢(shì)。不過(guò),由于消除了子網(wǎng)的劃定,因此在扁平網(wǎng)絡(luò)中,我們會(huì)把更多設(shè)備放在同一個(gè)子網(wǎng)上,這就等于網(wǎng)管員失去了一個(gè)安全層劃分機(jī)制。

在本文中,我們要談到的是,IT部門其實(shí)可以采用二層控制機(jī)制,對(duì)網(wǎng)絡(luò)流量保持有效的分隔,在物理網(wǎng)絡(luò)和依賴虛擬網(wǎng)絡(luò)接口的虛擬化環(huán)境中都能做到這點(diǎn)。這些控制機(jī)制包括:VLAN訪問(wèn)控制列表、私有虛擬局域網(wǎng)(PVLAN)和二層防火墻。此外,通過(guò)使用端口配置文件和可運(yùn)用于虛擬機(jī)的安全區(qū)也可以達(dá)到風(fēng)險(xiǎn)控制的目的。

VACL很有用

改用更扁平的網(wǎng)絡(luò)架構(gòu)也許能夠提高企業(yè)網(wǎng)絡(luò)的速度,但是由于其涉及一種全然不同的設(shè)計(jì)策略,因此在很多方面同以往相比都是顛覆性的。比如,VLAN不會(huì)消失,也不會(huì)從多層體系結(jié)構(gòu)中完全移除,但更多設(shè)備都會(huì)在同一個(gè)子網(wǎng)中運(yùn)行,VLAN的使用將受到限制。比如在三層網(wǎng)絡(luò)模型中,你可能會(huì)把Web服務(wù)器和數(shù)據(jù)庫(kù)系統(tǒng)放在兩個(gè)不同的子網(wǎng)中,這兩個(gè)子網(wǎng)之間的網(wǎng)絡(luò)流量經(jīng)由防火墻來(lái)傳送。而在扁平網(wǎng)絡(luò)的二層模型中,可能我們需要把所有主機(jī)都放在一個(gè)子網(wǎng)上。不過(guò),由于實(shí)施了控制機(jī)制,在扁平網(wǎng)絡(luò)中,只有被許可的流量才能經(jīng)過(guò)每個(gè)系統(tǒng)來(lái)傳送。

可供使用的第一個(gè)控制機(jī)制是VLAN訪問(wèn)控制列表(VACL)。VACL同傳統(tǒng)的三層/四層ACL沒(méi)有太大區(qū)別,不過(guò)在扁平網(wǎng)絡(luò)中,其還可以用在二層的物理交換/路由設(shè)備上。這就意味著,VACL可以過(guò)濾同一個(gè)VLAN上多個(gè)設(shè)備之間橋接的流量,而不一定只被用于進(jìn)出VLAN的路由流量。IT部門可以定義VACL來(lái)阻止特定類型的流量(UDP、TCP等)或端口,VACL就能有目的性地阻止進(jìn)出各個(gè)主機(jī)的流量。根據(jù)網(wǎng)管員的要求不同,VACL可以與特定的接口聯(lián)系起來(lái),或者更廣泛地用于整個(gè)VLAN。這意味著,我們可以實(shí)施最小權(quán)限概念——比如說(shuō),允許來(lái)自一臺(tái)Web服務(wù)器的流量通過(guò)特定的端口與必要的數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行聯(lián)系,同時(shí)阻止流量進(jìn)入到同一個(gè)子網(wǎng)上其他毫無(wú)關(guān)聯(lián)的服務(wù)器。

不過(guò),正確實(shí)施VACL需要深入了解主機(jī)的數(shù)據(jù)流動(dòng)和網(wǎng)絡(luò)通信要求。如果VACL定義得不合適,設(shè)備之間反而可能會(huì)出現(xiàn)多余的通信流量。另一方面,如果VACL設(shè)置得過(guò)于嚴(yán)格,設(shè)備可能無(wú)法與被許可系統(tǒng)進(jìn)行通信。

流量控制保安全

在扁平網(wǎng)絡(luò)中,物理交換機(jī)/路由器層的私有虛擬局域網(wǎng)(PVLAN)會(huì)將系統(tǒng)規(guī)劃為三種類型中的一種,每一種都有各自的流量控制屬性:混雜端口(promiscuous port)、社區(qū)端口(community port)和隔離端口(isolated port)。

使用混雜端口的PVLAN通常用于某個(gè)子網(wǎng)的網(wǎng)關(guān),其可以自由地訪問(wèn)PVLAN上的其他接口。使用社區(qū)端口的PVLAN允許與各個(gè)端點(diǎn)和PVLAN上的混雜端口進(jìn)行通信,對(duì)于某一個(gè)網(wǎng)段上需要互相通信的一組服務(wù)器(比如一組Web服務(wù)器和一臺(tái)數(shù)據(jù)庫(kù)服務(wù)器)來(lái)說(shuō),社區(qū)端口是很好的選擇。使用隔離端口的PVLAN實(shí)施的控制最嚴(yán)格,只允許設(shè)備與PVLAN上的混雜端口進(jìn)行聯(lián)系。

PVLAN對(duì)二層流量通常提供了籠統(tǒng)的分隔,而不是精細(xì)的控制。其可被用于支持深層防御,并且打破子網(wǎng)廣播域。另外,如果需要更特定的訪問(wèn)配置文件,PVLAN還可以與VACL配合使用。

二層防火墻提供了與VACL相似的功能,不過(guò)其在結(jié)構(gòu)上更為清晰。高級(jí)防火墻產(chǎn)品(比如Palo Alto Networks的防火墻)支持這種功能:在同一個(gè)VLAN上的兩個(gè)或多個(gè)接口之間進(jìn)行實(shí)際交換,并檢查通過(guò)這條路徑傳送的流量。這種方案的優(yōu)點(diǎn)是,其充分利用了企業(yè)級(jí)防火墻的功能,并且提供了一條清晰的路徑,把控制機(jī)制集成到一致的防火墻策略中。不過(guò),就像每個(gè)完美的產(chǎn)品一樣,其惟一的缺點(diǎn)就是價(jià)格昂貴。由于端口密度方面有要求,加上每個(gè)物理接口成本高,其實(shí)施起來(lái)費(fèi)用高昂。

真正的二層防火墻相當(dāng)少見(jiàn),其可以作為在同一子網(wǎng)上不同物理交換機(jī)之間的過(guò)濾層,對(duì)企業(yè)很有意義。

需要注意的是,添加任何二層控制機(jī)制都會(huì)為整個(gè)網(wǎng)絡(luò)引入另一種異構(gòu)環(huán)境,這很有可能對(duì)整個(gè)網(wǎng)絡(luò)造成破壞。在這種情況下,內(nèi)網(wǎng)主機(jī)訪問(wèn)不了的原因會(huì)很多,防火墻、主機(jī)適配器、應(yīng)用程序進(jìn)程和網(wǎng)絡(luò)都有可能出現(xiàn)問(wèn)題。

我們說(shuō)過(guò)扁平網(wǎng)絡(luò)可能會(huì)讓網(wǎng)絡(luò)速度更快,但沒(méi)有說(shuō)其可以簡(jiǎn)化你的工作。

網(wǎng)管員尤其要考慮在運(yùn)用VACL和PVLAN等控制機(jī)制時(shí),其對(duì)運(yùn)營(yíng)方面的影響。企業(yè)一定要有出色的管理和審查機(jī)制,以簡(jiǎn)化配置任務(wù)、減小故障排除難度。通常來(lái)說(shuō),這意味著要使用管理工具或可以監(jiān)控過(guò)濾規(guī)則的網(wǎng)元管理系統(tǒng),以提供集中式、可以付諸行動(dòng)的審查日志,并且能夠在整個(gè)實(shí)施過(guò)程中確保一致性。我們從物理設(shè)備談到虛擬二層控制機(jī)制時(shí),可管理性和一致性方面的概念極其重要。

“扁平”的虛擬化網(wǎng)絡(luò)安全

很多人都知道,扁平網(wǎng)絡(luò)架構(gòu)很適合私有云或高度虛擬化的數(shù)據(jù)中心。在這種環(huán)境下,虛擬機(jī)常常在服務(wù)器之間遷移。但是在這些架構(gòu)中仍需要二層網(wǎng)絡(luò)控制,這意味著我們就要與虛擬接口和虛擬交換機(jī)打交道。

通過(guò)上文,如果你已經(jīng)了解了VACL、PVLAN和物理二層防火墻的控制機(jī)制,就可以把這套知識(shí)照搬過(guò)來(lái),因?yàn)橐蕴摂M機(jī)為中心的這些控制機(jī)制與上文所述大同小異。

對(duì)虛擬化系統(tǒng)進(jìn)行精細(xì)控制有幾個(gè)原則:強(qiáng)審查、可擴(kuò)展性和便于了解流量如何控制的可視性。

強(qiáng)有力的低級(jí)分隔在虛擬化網(wǎng)絡(luò)中仍然需要。隨著占用某個(gè)子網(wǎng)的虛擬化設(shè)備數(shù)量越來(lái)越多、設(shè)計(jì)的復(fù)雜性越來(lái)越大,這種分隔變得越來(lái)越重要。

確保高度虛擬化扁平網(wǎng)絡(luò)的安全需要重點(diǎn)關(guān)注端口配置文件和安全配置文件。這兩類文件規(guī)定了被分配到某個(gè)組的虛擬機(jī)如何運(yùn)行。網(wǎng)管員一旦創(chuàng)建和設(shè)定了配置文件,虛擬機(jī)的配置就會(huì)永遠(yuǎn)保持不變,哪怕其被遷移到了不同的物理硬件上或改變了狀態(tài)。

創(chuàng)建虛擬機(jī)時(shí),我們可以動(dòng)態(tài)地運(yùn)用這些配置文件。比如說(shuō),可以創(chuàng)建一個(gè)配置文件,牢牢保護(hù)通過(guò)管理GUI對(duì)某個(gè)管理子網(wǎng)進(jìn)行的訪問(wèn)。我們也可以在配置文件中明確拒絕可信度較低的系統(tǒng)通過(guò)網(wǎng)絡(luò)訪問(wèn)一組比較敏感的虛擬機(jī)。配置文件簡(jiǎn)化了管理任務(wù),而且有助于為相似系統(tǒng)執(zhí)行一致的基本策略。

除了配置文件外,管理員還可以為網(wǎng)段建立安全區(qū)。所謂安全區(qū),指的是為有共同特點(diǎn)的一組設(shè)備進(jìn)行如操作角色、相對(duì)的安全值或者訪問(wèn)要求等在內(nèi)的一系列設(shè)定。安全區(qū)的設(shè)定會(huì)降低操作復(fù)雜度并且節(jié)省時(shí)間。我們可以將應(yīng)用服務(wù)器放入到應(yīng)用安全區(qū),Web服務(wù)器可以放入到Web安全區(qū)。

扁平網(wǎng)絡(luò)的本質(zhì)是降低網(wǎng)絡(luò)復(fù)雜性(更少的VLAN,更簡(jiǎn)單的子網(wǎng)),并提升性能。在虛擬化環(huán)境中更是如此。雖然打破網(wǎng)絡(luò)界限并非在所有情況下都是“萬(wàn)金油”,但是扁平網(wǎng)絡(luò)依然吸引著對(duì)擁有虛擬化架構(gòu)或者需要提高網(wǎng)絡(luò)速度的企業(yè)。借助合適的工具,我們能夠在虛擬網(wǎng)卡上,提供非常靠近網(wǎng)絡(luò)流量來(lái)源的過(guò)濾控制機(jī)制。這有助于減少資源浪費(fèi)、提高性能,因?yàn)椴恍枰牧髁吭诳拷鼇?lái)源的地方被過(guò)濾掉了。如果IT部門善于使用相關(guān)工具,就能在二層實(shí)施強(qiáng)有力的控制,享受選用扁平網(wǎng)絡(luò)帶來(lái)的好處。

主站蜘蛛池模板: 中文成人在线视频| 国产在线精彩视频二区| 亚洲性色永久网址| 国产美女叼嘿视频免费看| 极品国产在线| 偷拍久久网| 又爽又大又黄a级毛片在线视频| 欧美翘臀一区二区三区| 中文无码日韩精品| 亚洲天堂高清| 97久久精品人人| 97在线碰| 亚洲欧美国产视频| 亚洲成人黄色在线| 99re在线免费视频| 国产精品va| 成人午夜免费观看| 久久99热这里只有精品免费看| 欧美日韩午夜| 亚洲福利视频一区二区| 亚洲欧美成人综合| 97在线国产视频| 国产AV无码专区亚洲A∨毛片| 国产精品v欧美| 婷婷六月在线| 亚洲综合精品第一页| 精品夜恋影院亚洲欧洲| 日韩不卡高清视频| 日韩第一页在线| 国产精品成人免费综合| 亚洲国产天堂久久综合226114| 亚洲午夜天堂| 亚洲美女一区| 亚洲有无码中文网| 日韩无码黄色网站| 国产在线自揄拍揄视频网站| 无码中文字幕精品推荐| 精品一区二区三区水蜜桃| 国产经典三级在线| 国产成人福利在线视老湿机| 国产高清在线精品一区二区三区| 国产乱子伦视频三区| 无码专区第一页| 成人在线第一页| 精品人妻无码中字系列| 国产在线拍偷自揄拍精品| 久久a毛片| 少妇精品网站| 高清大学生毛片一级| 在线观看国产精品一区| 亚洲成年人片| 婷婷99视频精品全部在线观看| 扒开粉嫩的小缝隙喷白浆视频| 中文字幕亚洲无线码一区女同| 欧洲熟妇精品视频| 在线毛片免费| 欧美视频免费一区二区三区| 国产99久久亚洲综合精品西瓜tv| 国产精品嫩草影院视频| 影音先锋丝袜制服| 精品91视频| 制服丝袜无码每日更新| 日韩精品专区免费无码aⅴ| 天堂成人在线| 狠狠v日韩v欧美v| 亚洲一区免费看| 在线观看精品国产入口| 尤物国产在线| 国产精品开放后亚洲| 免费在线色| 国产小视频a在线观看| 亚洲天堂啪啪| 国产区人妖精品人妖精品视频| 精品国产福利在线| 波多野结衣亚洲一区| 992Tv视频国产精品| 99久久国产综合精品女同| 成·人免费午夜无码视频在线观看| 国产麻豆精品在线观看| 欧美日韩久久综合| 永久免费精品视频| 欧美激情综合一区二区|