下面說(shuō)一下Cisco Catalyst交換機(jī)上的一個(gè)獨(dú)特解決方案，以一種非常經(jīng)濟(jì)、有效和可擴(kuò)展的方式來(lái)防范蠕蟲(chóng)病毒的危害，這大大的節(jié)省了許多公司的損失。

讓很多服務(wù)運(yùn)營(yíng)商和企業(yè)網(wǎng)絡(luò)的管理員甚為頭疼的不僅是其不斷的發(fā)展變種

而且發(fā)作造成的損害也越來(lái)越嚴(yán)重。盡管蠕蟲(chóng)本身通常并不破壞任何的數(shù)據(jù)，但它所帶來(lái)的直接和間接的破壞使得網(wǎng)絡(luò)和系統(tǒng)擁塞。

受感染的端系統(tǒng)的計(jì)算資源會(huì)受到嚴(yán)重影響，而病毒的傳播則消耗大量的鏈路帶寬，更可怕的是網(wǎng)絡(luò)基礎(chǔ)設(shè)備受到影響而造成網(wǎng)絡(luò)的不穩(wěn)定甚至癱瘓。以SQL Slammer為例，發(fā)生感染傳播高峰時(shí)造成的平均包丟失率為20%。

網(wǎng)絡(luò)的不穩(wěn)定引起了銀行ATM自動(dòng)提款機(jī)不能工作，航空公司的售票系統(tǒng)癱瘓，僅僅兩天的時(shí)間，就有30萬(wàn)臺(tái)主機(jī)感染了SQL Slammer，造成的損失達(dá)數(shù)十億美元。今天的企業(yè)越來(lái)越多地把關(guān)鍵業(yè)務(wù)應(yīng)用、語(yǔ)音、視頻等新型應(yīng)用融合到IP網(wǎng)絡(luò)上，一個(gè)安全、可靠的網(wǎng)絡(luò)是企業(yè)業(yè)務(wù)成功的關(guān)鍵。

而企業(yè)網(wǎng)絡(luò)的內(nèi)部和外部的界限越來(lái)越模糊，用戶的移動(dòng)性越來(lái)越強(qiáng)，過(guò)去我們認(rèn)為是安全的內(nèi)部局域網(wǎng)已經(jīng)潛伏著威脅。我們很難保證病毒不會(huì)被帶入我們的企業(yè)網(wǎng)絡(luò)，而局域網(wǎng)的廣泛分布和高速連接。

也使其很可能成為蠕蟲(chóng)快速泛濫的溫床。如何應(yīng)對(duì)現(xiàn)在新的網(wǎng)絡(luò)安全環(huán)境呢?如何在我們的局域網(wǎng)上防范蠕蟲(chóng)，及時(shí)地發(fā)現(xiàn)、跟蹤和阻止其泛濫，是每個(gè)網(wǎng)絡(luò)管理人員所思考的問(wèn)題。

也許這是一個(gè)非常大的命題，事實(shí)上也確實(shí)需要一個(gè)系統(tǒng)的、協(xié)同的安全策略才能實(shí)現(xiàn)。從網(wǎng)絡(luò)到主機(jī)，從核心層到分布層、接入層，我們要采取全面的企業(yè)安全策略來(lái)保護(hù)整個(gè)網(wǎng)絡(luò)和其所連接的系統(tǒng)。#p#

另外即使當(dāng)蠕蟲(chóng)發(fā)生時(shí)我們要有措施將其影響盡量緩解

并保護(hù)我們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。本文將介紹Cisco Catalyst交換機(jī)上的一個(gè)獨(dú)特解決方案，以一種非常經(jīng)濟(jì)、有效和可擴(kuò)展的方式來(lái)防范蠕蟲(chóng)病毒的危害。

首先我們要了解蠕蟲(chóng)的異常行為，并有手段來(lái)盡早發(fā)現(xiàn)其異常行為。發(fā)現(xiàn)可疑行為后要能很快定位其來(lái)源，即跟蹤到其源IP地址、MAC地址、登錄用戶名、所連接的接入層交換機(jī)和端口號(hào)等等。要搜集到證據(jù)并作出判斷，如果確是蠕蟲(chóng)病毒，就要及時(shí)做出響應(yīng)的動(dòng)作，例如關(guān)閉端口，對(duì)被感染機(jī)器進(jìn)行處理。

但是我們知道，接入層Cisco Catalyst交換機(jī)遍布于每個(gè)配線間，為企業(yè)的桌面系統(tǒng)提供邊緣接入，由于成本和管理的原因，我們不可能在每個(gè)接入層交換機(jī)旁都放置一臺(tái)IDS設(shè)備。如果是在分布層或核心層部署IDS。

對(duì)于匯聚了成百上千個(gè)百兆/千兆以太網(wǎng)流量的分布層或核心層來(lái)說(shuō)，工作在第7層的軟件實(shí)現(xiàn)的IDS無(wú)法處理海量的數(shù)據(jù)，所以不加選擇地對(duì)所有流量都進(jìn)行監(jiān)控是不實(shí)際的。怎么能找到一種有的放矢、行之有效而又經(jīng)濟(jì)擴(kuò)展的解決方案呢?利用Catalyst接入層交換機(jī)所集成的安全特性和Netflow，就可以做到!

發(fā)現(xiàn)可疑流量。 我們利用Cisco Netflow所采集和輸出的網(wǎng)絡(luò)流量的統(tǒng)計(jì)信息，可以發(fā)現(xiàn)單個(gè)主機(jī)發(fā)出超出正常數(shù)量的連接請(qǐng)求，這種不正常的大數(shù)量的流往往是蠕蟲(chóng)爆發(fā)或網(wǎng)絡(luò)濫用的跡象。

因?yàn)槿湎x(chóng)的特性就是在發(fā)作時(shí)會(huì)掃描大量隨機(jī)IP地址來(lái)尋找可能的目標(biāo)，會(huì)產(chǎn)生大量的TCP或ICMP流。流記錄里其實(shí)沒(méi)有數(shù)據(jù)包的載荷(payload)信息。這是Netflow和傳統(tǒng)IDS的一個(gè)重要區(qū)別，一個(gè)流記錄里不包含高層信息，這樣的好處則是可以高速地以硬件方式處理，適合于繁忙的高速局域網(wǎng)環(huán)境。#p#

通常

部署在核心層和分布層的Catalyst 4500和接入層Cisco Catalyst交換機(jī)都支持基于硬件的Netflow。所以Netflow不能對(duì)數(shù)據(jù)包做出深層分析，但是已經(jīng)有足夠的信息來(lái)發(fā)現(xiàn)可疑流量，而且不受“0日”的局限。

如果分析和利用得當(dāng)，Netflow記錄非常適用于早期的蠕蟲(chóng)或其他網(wǎng)絡(luò)濫用行為的檢測(cè)。了解流量模式的基線非常重要。例如，一個(gè)用戶同時(shí)有50-100個(gè)活動(dòng)的連接是正常的，但是如果一個(gè)用戶發(fā)起大量的(例如1000個(gè))活動(dòng)的流就是非正常的了。

追蹤可疑的源頭。識(shí)別出可疑流量后，同樣重要的是追蹤到源頭(包括物理位置和用戶ID)。在今天的移動(dòng)的環(huán)境中，用戶可以在整個(gè)園區(qū)網(wǎng)中隨意漫游，僅僅知道源IP地址是很難快速定位用戶的。而且我們還要防止IP地址假冒，否則檢測(cè)出的源IP地址無(wú)助于我們追查可疑源頭。另外我們不僅要定位到連接的端口，還要定位登錄的用戶名。

【編輯推薦】

1. 煙草網(wǎng)站如何實(shí)現(xiàn)防攻擊、防病毒、防篡改
2. “手機(jī)護(hù)士”木馬變種感染10萬(wàn)用戶
3. 新型病毒向下載淫穢游戲的用戶勒索贖金