計算機網絡安全有那些類容?

什麽是計算機網絡安全，盡管現在這個詞很火，但是真正對它有個正确認識的(de)人并不多。事實上要正确定義計算機網絡安全并不容易，困難在于要形成一(yī)個足夠去(qù)全面而有效的(de)定義。通常的(de)感覺下，安全就是"避免冒險和(hé)危險"。在計算機科學(xué)中，安全就是防止：

未授權的(de)使用者訪問信息

未授權而試圖破壞或更改信息

這可(kě)以重述為(wèi)"安全就是一(yī)個系統保護信息和(hé)系統資源相應的(de)機密性和(hé)完整性的(de)能力"。注意第二個定義的(de)範圍包括系統資源，即CPU、硬盤、程序以及其他信息。

在電信行業中，網絡安全的(de)含義包括：關鍵設備的(de)可(kě)靠性；網絡結構、路由的(de)安全性；具有網絡監控、分析和(hé)自(zì)動響應的(de)功能；确保網絡安全相關的(de)參數正常；能夠保護電信網絡的(de)公開服務器（如(rú)撥号接入服務器等）以及網絡數據的(de)安全性等各個方面。其關鍵是在滿足電信網絡要求，不影響網絡效率的(de)同時保障其安全性。

電信行業的(de)具體網絡應用（結合典型案例）

電信整個網絡在技術上定位為(wèi)以光纖為(wèi)主要傳輸介質，以IP為(wèi)主要通信協議。所以我們在選用安防産品時必須要達到電信網絡的(de)要求。如(rú)防火牆必須滿足各種路由協議，QOS的(de)保證、MPLS技術的(de)實現、速率的(de)要求、冗餘等多種要求。這些都是電信運營商應該首先考慮的(de)問題。電信網絡是提供信道(dào)的(de)，所以IP優化尤其重要，至少包括包括如(rú)下幾個要素：

網絡結構的(de)IP優化。網絡體系結構以IP為(wèi)設計基礎，體現在網絡層的(de)層次化體系結構，可(kě)以減少對傳統傳輸體系的(de)依賴。

IP路由協議的(de)優化。

IP包轉發的(de)優化。适合大型、高(gāo)速寬帶網絡和(hé)下一(yī)代因特網的(de)特征，提供高(gāo)速路由查找和(hé)包轉發機制。

帶寬優化。在合理(lǐ)的(de)QoS控制下，最大限度的(de)利用光纖的(de)帶寬。

穩定性優化。最大限度的(de)利用光傳輸在故障恢複方面快速切換的(de)能力，快速恢複網絡連接，避免路由表顫動引起的(de)整網震蕩，提供符合高(gāo)速寬帶網絡要求的(de)可(kě)靠性和(hé)穩定性。

從骨幹層網絡承載能力，可(kě)靠性，QoS，擴展性，網絡互聯，通信協議，網管，安全，多業務支持等方面論述某省移動互聯網工程的(de)技術要求。

骨幹層網絡承載能力

骨幹網采用的(de)高(gāo)端骨幹路由器設備可(kě)提供155M POS端口。進一(yī)步，支持密集波分複用(DWDM)技術以提供更高(gāo)的(de)帶寬。網絡核心與信息彙聚點的(de)連接速率為(wèi)155M連接速率，連接全部為(wèi)光纖連接。

骨幹網設備的(de)無阻塞交換容量具備足夠的(de)能力滿足高(gāo)速端口之間的(de)無丢包線速交換。骨幹網設備的(de)交換模塊或接口模塊應提供足夠的(de)緩存和(hé)擁塞控制機制，避免前向擁塞時的(de)丢包。

可(kě)靠性和(hé)自(zì)愈能力

包括鏈路冗餘、模塊冗餘、設備冗餘、路由冗餘等要求。對某省移動互聯網工程這樣的(de)運營級寬帶IP骨幹網絡來說，考慮網絡的(de)可(kě)靠性及自(zì)愈能力是必不可(kě)少的(de)。

鏈路冗餘。在骨幹設備之間具備可(kě)靠的(de)線路冗餘方式。建議采用負載均衡的(de)冗餘方式，即通常情況下兩條連接均提供數據傳輸，并互為(wèi)備份。充分體現采用光纖技術的(de)優越性，不會引起業務的(de)瞬間質量惡化，更不會引起業務的(de)中斷。

模塊冗餘。骨幹設備的(de)所有模塊和(hé)環境部件應具備1+1或1：N熱備份的(de)功能，切換時間小于3秒。所有模塊具備熱插拔的(de)功能。系統具備99.999%以上的(de)可(kě)用性。

設備冗餘。提供由兩台或兩台以上設備組成一(yī)個虛拟設備的(de)能力。當其中一(yī)個設備因故障停止工作時，另一(yī)台設備自(zì)動接替其工作，并且不引起其他節點的(de)路由表重新計算，從而提高(gāo)網絡的(de)穩定性。切換時間小于3秒，以保證大部分IP應用不會出現超時錯誤。

路由冗餘。網絡的(de)結構設計應提供足夠的(de)路由冗餘功能，在上述冗餘特性仍不能解決問題，數據流應能尋找其他路徑到達目的(de)地(dì)址。在一(yī)個足夠複雜的(de)網絡環境中，網絡連接發生變化時，路由表的(de)收斂時間應小于30秒。

擁塞控制與服務質量保障

擁塞控制和(hé)服務質量保障(QoS)是公衆服務網的(de)重要品質。由于接入方式、接入速率、應用方式、數據性質的(de)豐富多樣，網絡的(de)數據流量突發是不可(kě)避免的(de)，因此，網絡對擁塞的(de)控制和(hé)對不同性質數據流的(de)不同處理(lǐ)是十分重要的(de)。

業務分類。網絡設備應支持6~8種業務分類(CoS)。當用戶終端不提供業務分類信息時，網絡設備應根據用戶所在網段、應用類型、流量大小等自(zì)動對業務進行分類。

接入速率控制。接入本網絡的(de)業務應遵守其接入速率承諾。超過承諾速率的(de)數據将被丢棄或标以最低(dī)的(de)優先級。

隊列機制。具有先進的(de)隊列機制進行擁塞控制，對不同等級的(de)業務進行不同的(de)處理(lǐ)，包括時延的(de)不同和(hé)丢包率的(de)不同。

先期擁塞控制。當網絡出現真正的(de)擁塞時，瞬間大量的(de)丢包會引起大量TCP數據同時重發，加劇網絡擁塞的(de)程度并引起網絡的(de)不穩定。網絡設備應具備先進的(de)技術，在網路出現擁塞前就自(zì)動采取适當的(de)措施，進行先期擁塞控制，避免瞬間大量的(de)丢包現象。

資源預留。對非常重要的(de)特殊應用，應可(kě)以采用保留帶寬資源的(de)方式保證其QoS。

端口密度擴展。設備的(de)端口密度應能滿足網絡擴容時設備間互聯的(de)需要。

網絡的(de)擴展能力

網絡的(de)擴展能力包括設備交換容量的(de)擴展能力、端口密度的(de)擴展能力、骨幹帶寬的(de)擴展，以及網絡規模的(de)擴展能力。

交換容量擴展。交換容量應具備在現有基礎上繼續擴充多容量的(de)能力，以适應數據類業務急速膨脹的(de)現實。

骨幹帶寬擴展。骨幹帶寬應具備高(gāo)的(de)帶寬擴展能力，以适應數據類業務急速膨脹的(de)現實。

網絡規模擴展。網絡體系、路由協議的(de)規劃和(hé)設備的(de)CPU路由處理(lǐ)能力，應能滿足本網絡覆蓋某省移動整個地(dì)區的(de)需求。

與其他網絡的(de)互聯

保證與中國(guó)移動互聯網，INTERNET國(guó)內(nèi)國(guó)際出口的(de)無縫連接。

通信協議的(de)支持

以支持TCP/IP協議為(wèi)主，兼支持IPX、DECNET、APPLE－TALK等協議。提供服務營運級别的(de)網絡通信軟件和(hé)網際操作系統。

支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由協議。根據本網規模的(de)需求，必須支持OSPF路由協議。然而，由于OSPF協議非常耗費CPU和(hé)內(nèi)存，而本網絡未來十分龐大複雜，必須采取合理(lǐ)的(de)區域劃分和(hé)路由規劃(例如(rú)網址彙總等)來保證網絡的(de)穩定性。

支持BGP4等标準的(de)域間路由協議,保證與其他IP網絡的(de)可(kě)靠互聯。

支持MPLS标準，便于利用MPLS開展增值業務，如(rú)VPN、TE流量工程等。

網絡管理(lǐ)與安全體系

支持整個網絡系統各種網絡設備的(de)統一(yī)網絡管理(lǐ)。

支持故障管理(lǐ)、記帳管理(lǐ)、配置管理(lǐ)、性能管理(lǐ)和(hé)安全管理(lǐ)五功能。

支持系統級的(de)管理(lǐ)，包括系統分析、系統規劃等；支持基于策略的(de)管理(lǐ)，對策略的(de)修改能夠立即反應到所有相關設備中。

網絡設備支持多級管理(lǐ)權限，支持RADIUS、TACACS+等認證機制。

對網管、認證計費等網段保證足夠的(de)安全性。

IP增值業務的(de)支持

技術的(de)發展和(hé)大量用戶應用需求将誘發大量的(de)在IP網絡基礎上的(de)新業務。因此，運營商需要一(yī)個簡單、集成化的(de)業務平台以快速生成業務。MPLS技術正是這種便于電信運營商大規模地(dì)快速開展業務的(de)手段。

傳送時延

帶寬成本的(de)下降使得當今新型電信服務商在進行其網絡規劃時，會以系統容量作為(wèi)其主要考慮的(de)要素。但是，有一(yī)點需要提起注意的(de)是，IP技術本身是面向非連接的(de)技術，其最主要的(de)特點是，在突發狀态下易于出現擁塞，因此，即使在高(gāo)帶寬的(de)網絡中，也要充分考慮端到端的(de)網絡傳送時延對于那些對時延敏感的(de)業務的(de)影響，如(rú)根據ITU－T的(de)标準端到端的(de)VoIP應用要求時延小于150ms。對于應用型實際運營網絡，尤其當網絡負荷增大時，如(rú)何确保時延要求更為(wèi)至關重要，要确保這一(yī)點的(de)關鍵在于采用設備對于延遲的(de)控制能力，即其延遲能力在小負荷和(hé)大量超負荷時延遲是否都控制在敏感業務的(de)可(kě)忍受範圍內(nèi)。

RAS (Reliability, Availability, Serviceability)

RAS是運營級網絡必須考慮的(de)問題，如(rú)何提供具有99.999%的(de)業務可(kě)用性的(de)網絡是網絡規劃和(hé)設計的(de)主要考慮。在進行網絡可(kě)靠性設計時，關鍵點在于網絡中不能因出現單點故障而引起全網癱瘓，特别在對于象某省移動這些的(de)全省骨幹網而言更是如(rú)此。為(wèi)此，必須從單節點設備和(hé)端到端設備提供整體解決方案。Cisco7500系列路由器具有最大的(de)單節點可(kě)靠性，包括電源冗餘備份，控制闆備份，交換矩陣備份，風扇的(de)合理(lǐ)設計等功能；整體上，Cisco通過提供MPLSFRR和(hé)MPLS流量工程技術，可(kě)以保證通道(dào)級的(de)快速保護切換，從而最大程度的(de)保證了端到端的(de)業務可(kě)用性。

虛拟專用網(VPN)

虛拟專用網是目前獲得廣泛應用，也是目前運營商獲得利潤的(de)一(yī)種主要方式。除了原有的(de)基于隧道(dào)技術，如(rú)IPSec、L2TP等來構造VPN之外，Cisco還利用新型的(de)基于标準的(de)MPLSVPN來構造Intrane和(hé)Extranet，并可(kě)以通過MPLSVPN技術提供Carrier'sCarrier服務。這從網絡的(de)可(kě)擴展性，可(kě)操作性等方面開拓了一(yī)條新的(de)途徑；同時，極大地(dì)簡化了網絡運營程序，從而極大地(dì)降低(dī)了運營費用。另外，采用Cisco跨多個AS及多個域內(nèi)協議域的(de)技術可(kě)使某省移動可(kě)随着其網絡的(de)不斷增長(cháng)擴展其MPLSVPN業務的(de)實施，并可(kě)與其他運營商合作實現更廣闊的(de)業務能力。

服務質量保證

通常的(de)Internet排隊機制如(rú):CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技術不能完全滿足對時延敏感業務所要求的(de)端到端時延指标。為(wèi)此，選用MDRR/WRED技術，可(kě)以為(wèi)對時延敏感業務生成單獨的(de)優先級隊列，保證時延要求；同時還專門對基于Multicast的(de)應用提供了專門的(de)隊列支持，從而從真正意義上向網上實時多媒體應用邁進一(yī)步。

根據以上對電信行業的(de)典型應用的(de)分析，我們認為(wèi)，以上各條都是運營商最關心的(de)問題，我們在給他們做(zuò)網絡安全解決方案時必須要考慮到是否滿足以上要求，不影響電信網絡的(de)正常使用，可(kě)以看到電信網絡對網絡安全産品的(de)要求是非常高(gāo)的(de)。

網絡安全風險分析

瞄準網絡存在的(de)安全漏洞，黑客們所制造的(de)各類新型的(de)風險将會不斷産生