建立安全的融合网络 - 网络工程 - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 网络工程 » 建立安全的融合网络 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

xiaoke0397
新新人类

帖子 79
精华 0
无忧币 1
积分 66
阅读权限 20

注册日期 2007-12-25

最后登录 2008-10-11

在线

[查看资料] [发短消息] [Blog]

发表于:2008-6-21 14:05　　标题：建立安全的融合网络
＜上一帖 | 下一帖＞

　　VoIP专用系统可以提供良好的语音质量，但是却不能抵御融合网络带来的安全风险，尤其是第一代VoIP 专用系统无法打开协议端口，不能生成真正意义的融合网络。基于“简单、快速”原则的传统网络，虽然满足电子邮件等非实时数据传输的需求，但是却应付不了不断出现的蠕虫病毒以及实时应用的引入。现有网络只有增加“快速、智能、有效”等特征，才能在面对蠕虫病毒时保持主动，支持更多的VoIP实时应用。从传统的网络向安全的融合网络过渡需要考虑访问控制能力、保护网络设备和网络应用、建立动态反应体系三方面因素。
　　访问控制
　　大多数网络无法弄清与其相连的具体设备是什么，也不清楚对这些设备应该采取哪些措施，这些网络通常不能判断网络设施是否正常运行。安全的融合网络具有出色的访问控制能力，能够对连接设备进行身份认证和安全检测、对其进行访问授权、确定接入设备被认证和授权后的通信策略。
　　对连接设备进行认证和检测：融合网络允许网络照相机、IP电话、多媒体设备访问网络。在许多情况下，这些设备无法使用传统的认证模型，融合网络要求建立一整套全新的认证技术。
　　对连接设备进行访问授权：访问授权是把经过认证的设备与其在企业网中的相应职责联系起来的过程。例如，网络可能知道某IP电话允许访问网络，不过网络还必须能够知道哪些部门或员工得到授权可以使用该IP电话。
　　确定接入设备被认证和授权后的通信策略：这一举措可以动态反映网络服务、访问授权以及对连接设备的访问，如果某一系统能够识别某IP电话，却不能动态地把服务质量与该设备联系起来，该系统仍然不是一个安全的融合网络。
　　保护设备和应用
　　安全的融合网络能够为网络设备和网络应用提供前瞻性的安全保护。如果VoIP定义了一种应用，那么融合网络必须能够制定保护性措施，通过禁止使用与 VoIP系统无关的协议方式，防止对VoIP设备和应用的开发利用，这一能力包括：为网络系统制定可以接受的使用策略，禁止不受欢迎的应用和协议访问该网络；动态应用服务定义，以保障VoIP系统不被滥用；保护VoIP设备不受侵犯。
　　建立动态反应体系
　　安全的融合网络需要建立一个动态的反应体系。一旦网络中出现安全事件，融合网络就能够识别这一威胁，定位安全事件的发源地，并实时地进行隔离、清除和控制，防止威胁扩散。动态反应机制能够检测复杂攻击，对被入侵的连接设备采取安全措施。
　　检测复杂攻击：入侵检测系统一旦检测到紧急情况，能够把该事件向网络管理系统通报，定位入侵者的位置，迅速找到问题源头，实时采取措施。
　　对被入侵的设备采取措施：实现这一点，需要调整安全策略，以隔离、禁止和阻止提供给该设备的服务。做到这一点，关键在于能否对安全事件做出考虑周到的响应，而不仅仅是关闭物理端口。