安全成ＩＰ网络发展要务_一个IP下几个淘宝店安全

　　随着以TCP/IP技术为核心的数据通信网络向智能化与多元化迈进，安全将成为一个无法回避的问题。 　　随着IP网络功能逐步健全和强大，人们开始关注与业务相关的应用，比如网络用户权限的控制、关键数据加密、语音视频系统的接入、存储系统的接入、上层应用的识别与控制等。同时，为了使复杂的网络更加简单和易于维护，网络管理者还希望通过一种直观的视图方式监理整个网络系统的流量与用户状况。
　　不过，这些功能和应用还仅仅是为各种业务服务的，网络本身并没有任何业务能力，但随着IT技术进一步趋于融合，真正的业务将很可能直接集成到网络之上进行操作，特别是那些与网络强相关的业务，比如将病毒防御、网页浏览、邮件传真等业务直接融入网络设备中，这样不仅能提高业务效率，更能避免因网络瓶颈而给最终业务带来的中断与延迟。可以想象，现实业务形形色色，不可能针对某类业务专门定制特种硬件，人们期望着有一个像PC一样灵活通用的硬件“嫁接”在网络设备上，只通过二次开发甚至安装现成软件，便可实现各种业务的“入网”运行。这种面向业务的开放架构（即在专用网络系统内部集成通用软硬件的方式）是目前网络技术发展的最前沿。
　　这种网络的特征可以大致分为如下关键要素：带宽、可靠、安全、管理、集成、开放。其中，安全尤为值得关注。下面将网络依照经典的方式分层，逐层描述这六大要素。
　　
　　IP骨干层：趋于归一化
　　
　　IP骨干层通常采用网状或环状结构，从规模上讲一般要跨越很广的地域。由于骨干网络是整个网络体系的中流砥柱，所以对带宽和可靠性要求非常高。因为地域的原因，骨干网络设备通常使用的都是大带宽的广域网接口，比如10G POS、10G RPR、10GE WAN等制式。可靠性方面要求整网中任何一点故障都要在50ms内恢复,这样才能保证网络中正常的数据、语音、视频应用不会出现中断或延时。
　　骨干网络近年来发展的趋势是归一化，简单地说，就是让核心网络尽量简单，减少故障点，实现大数据的高速通信。可以用“整合机房”来理解上面的意思，原本网络中心机房里设备繁多，路由器、交换机、防火墙、IDS、IPS、安全网关、流量统计器、负载均衡器等设备七国八制，不同厂家的不同产品堆放在同一机房中，任何一个小部件的失灵都可能造成全网瘫痪。为了解决这种问题，业内出现了一体化设备，就是在同一台设备上，将各类硬件集成于一体作统一管理，现在很多核心设备都具备集成路由、交换、防火墙、流量分析等业务的能力。为了实现更多上层精细业务的集成，业内已经有厂家在研制应用于核心设备中的通用硬件模块。
　　
　　IP汇聚层：普通防火墙远远不够
　　
　　IP汇聚层是连接核心与接入的重要部位，随着核心层的带宽增加，接入层的业务量激增，网络最怕在汇聚层产生瓶颈。传统的网络一般使用很强的设备备份机制来强化汇聚层的可靠能力，但是无法做到链路和协议的保护。根据近年来的发展趋势看，环网结构又重新获得众人的青睐，由于环网是整环备份，环上任何一点故障都能由其他设备和线路顶替，比网内备份的冗余能力更强。
　　顾名思义，汇聚层设备需要具备强大的汇聚能力。汇聚方式依照传输线路方式而不同，通常的SDH传输以信道化的POS或E1、E3接口实现接入，而新近流行的MSTP传输则使用以太接口实现，汇聚设备不仅要具备各种类型链路上收能力，还要求单个系统支持高密度分支接入能力。汇聚层设备还需要具有强大的安全能力，因为所有下游的接入设备都有可能与其建立一条或多条安全隧道，隧道方式还可能依照应用而各有不同，除了IPSec、GRE、L2TP等传统的IP隧道，还要有健全的MPLS VPN能力。汇聚设备也正在走扁平化的道路，需要汇聚设备能够提供大容量路由能力，高密度接入能力和高性能的加密能力，还可以将传统的汇聚路由器、汇聚交换机、安全网关、防火墙、语音网关合为一体使用。
　　由于汇聚设备既要保护核心层不被攻击，又要确保接入层全网安全，普通的防火墙二、三层保护是远远不够的，四到七层的应用保护是当今流行的主题，甚至还要具备与专业防病毒厂商联合实现的防病毒功能。运用开放架构就可以很完美地达成这些功能，安装不同的软件实现特定的功能，甚至可以刷新程序，防毒墙摇身一变为广域优化器，想象一下这种随需而变的应用，必将改变传统网络设备死板固化的缺陷，带来一场全新的革命。
　　
　　IP接入层：从局端入手的安全防御
　　
　　接入层网络一般是树形局域网结构。接入网络是距离现实业务最近的关节，通常要求功能灵活而丰富。随着语音、视频应用的IP化，除了具备传统的数据传输能力，这个位置的设备还需要支持语音终端甚至视频终端的接入能力。接入网络一般是局域网，网内通常是某个机构或团体的大量终端。众所周知，网络攻击与病毒最先发生在内网终端之上，再通过交换或路由设备感染整个局域网甚至广域网络系统，这就要求对于内网用户加强管理力度，对恶意用户或者危险用户，先进行彻底的“清查”，再强加各种灵活的策略，控制其活动的范围和带宽，这种从根端入手的安全防御体系能将网络危机隐患降到最低。
　　接入层的出口路由设备一般负责整个局域网内用户和Internet的通信，随着当前互联网上各类应用的增多，也出现了类似BT、eDonkey等“流氓软件”，还有蠕虫、病毒、攻击、木马、网络钓鱼等非法应用，为了保护整个内网的安全，出口设备需要具有一双能透视到应用业务的“慧眼”，一般认为这双“慧眼”运用通用开放平台实现是最为理想的。