Коммутаторы и межсетевые экраны

	Скачать реферат: Коммутаторы и межсетевые экраны

Содержание реферата

1. Модульный коммутатор 3-го уровня CoreBuilder 3500
   1.1. Сфера применения
2. Архитектура core Builder 3500
   2.1. Автоматическая классификация данных
   2.2. Механизмы управления трафиком
   2.3. Управление и мониторинг трафика
3. Интерфейсы CoreBuilder 3500
   3.1. Ethernet
   3.2. Gigabit Ethernet
   3.3. FDDI
   3.4. ATMg
   3.5. Тестирование производительности.
4. Корпоративные межсетевые экраны.
   4.1. Безопасность или производительность.
   4.2. Высокая готовность.
   4.3. МЭ класса SOHO и desktop

1. Модульный коммутатор 3-го уровня CoreBuilder 3500

Маршрутизирующий коммутатор CoreBuilder 3500 предназначен для применения в качестве магистрального устройства локальной сети, позволяя управлять сетевым трафиком без потери производительности. Реализованный на основе специализированных интегральных схем (ASIC) третьего поколения, данный коммутатор обеспечивает обработку трафика на втором и третьем уровне с максимально возможной скоростью. Поддержка виртуальных локальных сетей (VLAN), протоколов обработки многоадресного трафика, классов обслуживания (CoS) и качества обслуживания (QoS), RMON и RAP (Roving Analysis Port) позволяет использовать CoreBuilder 3500 для создания гибкой, функциональной и надежной сетевой инфраструктуры.

1.1. Сфера применения

Традиционно существует два подхода к построению крупных корпоративных сетей. Они отличаются способом формирования ядра сети. В первом случае основным устройством сети является коммутатор 2 уровня, обеспечивающий широкую полосу пропускания за относительно низкую цену. Второй подход подразумевает использование в центре сети маршрутизатора – устройства, работающего с информацией 3 уровня модели OSI. Во втором случае сетевая инфраструктура обладает гораздо более высокой управляемостью, однако за это приходится платить значительно более высокую, чем в первом случае, цену. Кроме этого, традиционные маршрутизаторы гораздо менее производительны, чем коммутаторы, и имеют более высокую задержку при передаче пакетов. В изменившихся условиях, которые характеризуются постоянно увеличивающейся нагрузкой и перераспределением сетевого трафика, магистрали корпоративных сетей следующего поколения уже не могут быть построены с использованием обычных коммутаторов или маршрутизаторов. На следующем шаге эволюции локальных сетей для построения магистралей необходимо будет применять новые устройства, сочетающие в себе производительность коммутации 2 уровня и функциональность традиционных маршрутизаторов – коммутаторы 3 уровня или маршрутизирующие коммутаторы. Такие коммутаторы сегодня предлагают несколько производителей, обычно ограничиваясь, однако, поддержкой сетевых технологий Ethernet, Fast Ethernet и Gigabit Ethernet и маршрутизацией только трафика IP.

Коммутатор 3 уровня CoreBuilder 3500 компании 3Com выгодно отличается от большинства аналогичного оборудования других производителей. Во-первых, кроме протокола IP поддерживается маршрутизация протоколов IPX и AppleTalk, а во-вторых, кроме поддержки технологий Ethernet, Fast Ethernet и Gigabit Ethernet, реализована поддержка для FDDI и ATM. Это является очень важным для современных гетерогенных сетей. Производительность CoreBuilder 3500 составляет 4 миллиона пакетов в секунду, что позволяет ему обрабатывать максимально возможный (“wire speed”) трафик, поступающий одновременно со всех его интерфейсов.

2. Архитектура core Builder 3500

CoreBuilder 3500 имеет 4 слота для установки интерфейсных модулей. Для обеспечения необходимого уровня отказоустойчивости могут использоваться резервные блоки электропитания. Блоки питания и интерфейсные модули обладают возможностью «горячей замены».

Каждый модуль CoreBuilder 3500 содержит уникальный набор специализированных микросхем (ASIC) FIRE. Сокращение FIRE (Flexible Intelligent Routing Engine) можно перевести как «гибкий интеллектуальный механизм маршрутизации». Архитектура FIRE, обеспечивающая возможность перепрограммирования, сильно отличается от архитектуры других ASIC, которые не обладают гибкостью, и работают только так как это было заложено при их производстве. ASIC FIRE содержит в себе RISC-процессор, микрокод которого может быть обновлен. Таким образом, со временем в ASIC может быть добавлена поддержка новых характеристик и изменено его поведение. Например, появление нового стандарта для протокола IP - IP версии 6 потребует только обновления микрокода, но не замены оборудования. Это обеспечивает защиту инвестиций в сетевую инфраструктуру. Устройства, в которых реализована архитектура FIRE, будут служить долгое время, всегда соответствуя самым новым сетевым стандартам. При этом за реализацию такой защиты не приходится расплачиваться производительностью.

При использовании FIRE вводится распределенная конвейерная обработка пакетов, что обеспечивает значительное увеличение производительности. В этом случае существует множество механизмов обработки пакетов, которые быстро передают их через систему. По мере прохождения пакета по конвейеру с ним выполняется следующие действия:

проверка целостности фрейма

сбор статистики, включая RMON и RMON 2

определение принадлежности к виртуальным сетям

разделение коммутируемых пакетов от маршрутизируемых пакетов

классификация потоков данных

применение определенной политики

применение фильтров

модификация заголовка пакета при маршрутизации

применение приоритетов

передача пакета

Внутри одного конвейера происходит обработка сразу нескольких пакетов. Такое распараллеливание позволяет обеспечить максимально возможную (“wire speed”) производительность на всех портах. При этом отпадает необходимость использования очередей входящих пакетов, что также увеличивает производительность.

Еще одной уникальной особенность FIRE является его работа с памятью. Производительность сетевого коммутирующего оборудования в значительной степени определяется архитектурой используемой подсистемы памяти. Архитектура FIRE связывает часть памяти непосредственно с каждым распределенным механизмом обработки пакетов. По мере добавления интерфейсных модулей со своими собственными механизмами передачи пакетов и памятью, общая память системы, как и ее производительность увеличивается. Архитектура FIRE делает память доступной для всех механизмов обработки пакетов, включая те, которые располагаются на других модулях. Эта физически распределенная, но совместно используемая всеми модулями система памяти обеспечивает значительное увеличение производительности устройства.

Кроме этого оптимизирована работа с буферами памяти. Обычные буферы фиксированного размера в архитектуре FIRE заменяются эластичными буферами. При этом выделяемая для буферизации пакета память соответствует его размеру. Пакет большего размера получает больше буферной памяти, а меньшего - меньше. FIRE создает буферы динамически по мере необходимости. Такое использование памяти позволяет FIRE обрабатывать трафик в сети без потери пакетов.

2.1. Автоматическая классификация данных

В локальной сети всегда один вид трафика важнее другого. Например, процесс архивирования приводит к чрезвычайно высокой нагрузке на сеть в течение длительного промежутка времени. Для того чтобы это не мешало работе основных сетевых приложений, обычно эту процедуру проводят ночью. Однако в последнее время многие организации переходят на режим работы 24 часа в сутки, семь дней в неделю. Проблема в этом случае может быть решена с помощью установки администратором приоритетов, которые обеспечат непрерывную работу основных приложений. Базируясь на приоритетах, установленных администратором, функция автоматической классификации потока инструктирует механизмы обработки пакетов о том, что в процессе работы следует классифицировать потоки данных и присоединяет каждому потоку приоритет очереди обслуживания. Это процесс не зависит от сетевой среды и имеет место как в Ethernet, так и в FDDI и АТМ. Помимо некоторых стандартных видов трафика (FTP, Telnet, TCP, IPX, AppleTalk и др.), FIRE позволяет администратору самому определить нужный тип трафика. Используя технику обслуживания очередей с учетом их приоритета (веса), FIRE обрабатывает пакеты из очередей с высоким приоритетом чаще, чем пакеты из очередей с низким приоритетом. Это обеспечивает необходимый уровень обслуживания для высокоприоритетного трафика и в тоже время не позволяет совсем обойти вниманием обычный трафик.

2.2. Механизмы управления трафиком

При использовании технологии FIRE можно управлять доступом к сети с помощью системы контроля доступа. С помощью этого свойства FIRE обеспечивается как безопасность, так и резервирование полосы пропускания. Используя возможность классификации трафика, администратор может ограничить любой определенный поток. Например, ограничить доступа к серверам или исключить нежелательное распространение какого-либо протокола. Это прорыв в области сетевых технологий - “брэндмауер“, работающий с производительностью “wire speed“. Для тех, кому нужно более глубоко анализировать пакет, FIRE обеспечивает возможность использования фильтров, которые позволяют контролировать до 64 байт во фрейме. Контроль доступа также включает возможность резервирования полосы пропускания. Для этого FIRE поддерживает сигнальный протокол RSVP (Resource Reservation Protocol). Сейчас разрабатываются и другие сигнальные протоколы, но с учетом возможности программирования FIRE, продукты 3Com, использующие этот ASIC легко могут быть адаптированы к новым технологиям.

Для контроля потоков и наличия заторов в сети FIRE использует механизм регулирования трафика (Traffic Governor). Для мониторинга потоков система динамического регулирования отслеживает два типа трафика: тот, для которого администратор явно зарезервировал полосу пропускания, и тот, который ограничен динамически, например, с помощью протокола RSVP или какого-либо другого механизма резервирования полосы пропускания. Механизм динамического регулирования трафика гарантирует, что зарезервированная полоса будет доступна и не будет превышена. Управление заторами в сети является второй задачей механизма регулирования трафика. Для предотвращения заторов в сети FIRE использует механизм, известный как RED (Random Early Detection). С помощью этого механизма FIRE динамически контролирует размер выходных очередей, для того чтобы определить, не наблюдается ли тенденция к перегрузке порта.

В дополнение к основанному на использовании ASIC, многоуровневому механизму обработки пакетов, некоторые ситуации требуют участия программной обработки пакетов. Лучшим примером такой ситуации является обработка очень сложных, установленных администратором фильтров. Для этого в CoreBuilder 3500 имеется дополнительный RISC-процессор обработки пакетов. Процессор обработки пакетов имеет производительность около 500 000 пакетов в секунду.

2.3. Управление и мониторинг трафика

Кроме процессора обработки пакетов CoreBuilder 3500 содержит еще один процессор. Отдельный процессор приложений, также как и процессор обработки пакетов, является высокопроизводительным RISC-процессором. Этот процессор контролирует все операции, не связанные напрямую с обработкой пакетов (протоколы Spanning Tree, RIP, OSPF, NLSP, SNMP и др.). Основное преимущество использования дополнительного процессора обработки пакетов и процессора приложений очевидно: управление и обсчет сетевой инфраструктуры не влияет на скорость обработки пакетов коммутатором, что обеспечивает высокую производительность и минимальную задержку передачи пакета.

Поддержка Remote Monitoring (RMON) MIB сегодня является важным компонентом, необходимым для обеспечения должного уровня сетевого управления. RMON MIB, определенный в RFC 1757, обеспечивает сбор статистики физического и канального уровней. RMON2 MIB, определенный в RFC 2021, позволяет расширить границы сбора статистики до уровня приложений. Несмотря на то, что поддержка RMON является весьма полезным свойством, большинство производителей реализуют в своих устройствах этот стандарт лишь частично (обычно ограничиваясь четырьмя группами). Специфика решения по поддержке RMON в архитектуре FIRE состоит в том, что механизм сбора статистики отделен от самой базы данных. Преимущество такого подхода заключается как в возможности создания высокопроизводительного, основанного на использовании ASIC механизма сбора статистики, так и в возможности дальнейшего расширения поддержки RMON. Коммутатор CoreBuilder 3500 поддерживает все девять групп RMON и пять групп RMON 2:

  Protocol Directory

  Protocol Distribution

  Address Mapping

  Network Layer Host

  Network Layer Matrix

Кроме этого, для обеспечения возможности использования внешнего анализатора реализована возможность отражения трафика любого порта на любой порт - RAP (Roving Analysis Port).

Управление коммутатором CoreBuilder 3500 может осуществляться с помощью традиционного интерфейса командной строки, Web-интерфейса или с использованием программного обеспечения Transcend Enterprise Manager.

3. Интерфейсы CoreBuilder 3500

3.1. Ethernet

Для коммутатора CoreBuilder 3500 предусмотрены три типа модулей Ethernet: 6-портовый модуль 10/100BASE-TX, поддерживающий автоматическое согласование скорости и полудуплексный или дуплексный режим, а также 6-портовый модуль 100BASE-FX для многомодового оптоволоконного кабеля (MMF) и 6-портовый модуль 100BASE-FX для одномодового оптоволоконного кабеля (SMF).

3.2. Gigabit Ethernet

Однопортовый модуль Gigabit Ethernet поддерживает интерфейс GBIC (Gigabit Interface Converter), допускающий использование различных типов среды передачи: 100BASE-SX (MMF 62.5 и 50 микрон), 1000BASE-LX (MMF 62.5 и 50 микрон), 1000BASE-LX SMF и будущий трансивер 1000BASE-TX.

3.3. FDDI

6-портовые модули FDDI поддерживают подключение SAS или DAS и функциональность портов A, B, S и M. Существуют модули для многомодового или одномодового оптоволоконного кабеля.

3.4. ATMg

В будущем намечается также поддержка интерфейсных модулей ATM. Коммутатор CoreBuilder 3500 является превосходным инструментом для подключения к магистральной сети ATM или Gigabit Ethernet.

3.5. Тестирование производительности.

В сентябре 1997 года в лаборатории Tolly Group было проведено тестирование производительности CoreBuilder 3500. Отчет Tolly Group №7301 можно получить на WEB-узле www.tolly.com. Данные тесты показали, что коммутатор CoreBuilder 3500 обеспечивает максимально возможную производительность как для коммутации 2 уровня, так и для маршрутизации протоколов IP и IPX в конфигурации 24 полнодуплексных порта Fast Ethernet.

4. Корпоративные межсетевые экраны

 Неотъемлемым элементом защиты сети крупной организации от вторжения злоумышленников является корпоративный межсетевой экран. Предлагаем вашему вниманию вопросы, которые следует рассмотреть, прежде чем решать вопрос о его приобретении.

Многие десятки компаний занимаются продажей межсетевых экранов (МЭ) для любых сред: от МЭ класса desktop (для настольных систем) и МЭ класса SOHO (для малого/домашнего офиса) до межсетевых экранов, предназначенных для поставщиков телекоммуникационных услуг (carrier class), -- выбор подчас просто огромный. Поэтому принятие правильного решения о покупке МЭ немыслимо без глубокого понимания потребностей в обеспечении сетевой безопасности.

Прежде чем делать такую покупку, следует сначала позаботиться о выработке эффективной политики безопасности в вашей организации. Эта-то политика и поможет вам в выборе подходящего для вашей корпоративной среды типа МЭ. Затем необходимо выявить все элементы уязвимости, присущие конкретным вариантам доступа к вашей сети. Если, например, вы поддерживаете общедоступный Web-сайт, чей динамический контент извлекается из корпоративной БД то вы, таким образом, создаете "лазейку" из общедоступной сети через ваш МЭ прямо к корпоративной БД. Большинство МЭ не смогут вас защитить от атак, осуществляемых на прикладном уровне, следовательно, нужно обезопасить каждое звено в цепи "Web-сервер -- корпоративная БД", а МЭ следует рассматривать как единую точку доступа. И, наконец, внушите всем сотрудникам вашей организации элементарные правила обеспечения безопасности: никаких несанкционированных модемов на столах, никаких приложений удаленного управления и т.п.

4.1. Безопасность или производительность

На рынке корпоративных МЭ представлены два базовых механизма межсетевого экранирования: фильтрации пакетов с проверкой состояния протокола (Stateful Packet-Filter -- SPF) и использование для фильтрации трафика приложений модулей-посредников (application proxy). SPF-устройства, такие как FireWall-1 NG компании Check Point Software Technologies, PIX компании Cisco и продукты компании NetScreen, проверяют пакеты вплоть до 4-го уровня (Layer 4), а в некоторых случаях идут даже несколько дальше, например, некоторые из них могут обрабатывать трафик FTP. Межсетевые экраны типа SPF имеют, как правило, более высокую производительность, так как выполняют минимальную обработку потока данных.

Межсетевые экраны типа application proxy, такие как Gauntlet компании Network Associates Technology, Sidewinder компании Secure Computing и Enterprise Firewall компании Symantec (известный прежде под именем Raptor -- продукт компании Axent), проверяют каждый пакет данных целиком вплоть до прикладного уровня, что обеспечивает более полный контроль трафика, пропускаемого на внутренние серверы. Например, модуль-посредник HTTP может быть сконфигурирован таким образом, чтобы разрешать команды get, но запрещать команды post, а также ограничивать длину URL-ссылок, преграждая таким образом путь атакам типа "переполнение буфера", или вводить ограничения на типы MIME, например, удалять исполняемые вложения и прочий опасный контент. МЭ на базе модулей-посредников обычно работают медленнее, чем МЭ на базе SPF, так как выполняют больший объем обработки данных.

Каждый раз, когда в наших обзорах SPF-экраны получали более высокие оценки, чем МЭ на базе модулей-посредников, мы получали горы писем от возмущенных читателей. Суть их обычно сводится к одному и тому же: если вам действительно нужно обеспечить безопасность, то единственный ваш выбор -- это application proxy. По нашему, это и так, и не так. Модули-посредники, разумеется, обеспечивают более высокую степень безопасности, но делают это за счет производительности. Во время нашего тестирования МЭ на базе application proxy работали в среднем на 50% медленнее, чем SPF-устройства. Если ваш МЭ подсоединен к территориально-распределенной сети, например, линией T3 или более медленной, и вам не нужно поддерживать десятки тысяч одновременных сеансов, то МЭ application proxy действительно лучший для вас выбор. Вам следует знать нынешний уровень вашего трафика и его прогнозируемое значение, чтобы сообщить эту информацию вашему поставщику, тогда он сможет вам помочь в выборе подходящего оборудования. Вы, разумеется, всегда сможете сбалансировать нагрузку на МЭ при помощи внешних распределителей нагрузки (load-balancers).

Если же вы поддерживаете популярный Web-сайт и возникновение "пробок" для вас недопустимо, то выбирайте SPF-устройство. Такие МЭ лучше масштабируются и поддерживают большее число соединений, но они пропускают любой трафик, отвечающий установленным для протоколов правилам, так что атакам типа "переполнение буфера" и уровня приложений путь будет открыт. Если вам нужна производительность, обеспечиваемая решениями SPF, то позаботьтесь о том, чтобы ваши Web-серверы и серверы БД были хорошо защищены и снабжены самыми последними "заплатами".

Проблема производительности встанет еще острее, если вам потребуется выполнять процессы, сильно загружающие ЦПУ, например, при развертывании виртуальных частных сетей (VPN). Шифрование может "поставить на колени" самый мощный процессор, тем самым сведя на нет производительность МЭ. Практически все МЭ, имеющиеся на рынке, поддерживает VPN, и подчас их использование для организации виртуальных частных сетей оправдано. Однако если вы будете поддерживать большое число сетей или обширный список пользователей, то для обслуживания VPN-процессов следует применять оборудование, специально спроектированное для максимизации производительности операций шифрования (криптоакселераторы).

МЭ, использующие ЦПУ общего назначения, -- такие как FireWall-1 компании Check Point и PIX компании Cisco, не отвечают требованиям поддержки приложений среднего уровня пропускной способности (midlevel-bandwidth applications) даже при использовании криптоакселераторов. Некоторые МЭ, например, продукты компании NetScreen, выполняют большую часть обработки на аппаратном уровне и VPN-процессы им, таким образом, не мешают, но за это приходится платить некоторым снижением гибкости системы.

4.2. Высокая готовность

МЭ с высоким коэффициентом готовности обеспечивают прохождение трафика прочти без задержек даже при отказе оборудования. Существует два механизма преодоления отказов. В механизме stateless failover при отказе основного МЭ все сеансы связи сбрасываются. И когда за дело берется резервный МЭ, соединения для всех сеансов приходится устанавливать заново. В механизме stateful failover оба МЭ обмениваются информацией о состоянии сеансов по выделенной линии, и если какой-то МЭ выйдет из строя, то другой, что называется, "подхватит эстафету" и продолжит работу, не разрывая сеансов. При этом резервный МЭ принимает на себя все идентификационные характеристики основного МЭ, включая адреса IP и MAC (Media Access Control), и продолжает обработку трафика. После того, как резервный МЭ взял на себя функции основного, он, как правило, продолжает работать в этом качестве до следующего отказа.

Использование механизма stateful failover, как правило, предпочтительнее, и такие МЭ не дороже устройств с механизмом stateless failover. Недостаток stateful failover в том, что за решение межсетевого экранирования вам приходится платить вдвое, т.к. реально вы используете только 50% всей его процессорной мощности. Однако преодоление отказов занимает у таких МЭ всего несколько миллисекунд, и течение трафика при этом практически не прерывается.

Отказоустойчивость может достигаться разными способами, в зависимости от типа сетевого устройства. Маршрутизаторы используют протоколы маршрутизации, такие как RIP и OSPF, для перенаправления трафика, по возможности, в обход места сбоя, но вы вряд ли найдете МЭ, который бы позволял внешнему устройству "диктовать" ему маршрутную информацию.

Вы также можете использовать внешние распределители нагрузки для создания конфигураций МЭ с приемлемой отказоустойчивостью. Такая конфигурация обычно включает два распределителя нагрузки и два МЭ. При отказе одного из МЭ, распределитель нагрузки переадресует трафик на оставшийся МЭ. В этом варианте МЭ обычно не обмениваются сеансовой информацией, но при этом оба они до момента сбоя находятся в рабочем состоянии.

Разумеется, отказ устройства МЭ -- это только одна из возможных причин сбоя. Отказ сервера управления будет иметь не менее катастрофические последствия для работы сети. Если у вашего управляющего сервера откажет жесткий диск или сгорит вентилятор ЦПУ, то вы не сможете управлять МЭ или получить журнальные файлы, пока не устраните сбой. Если у вас небольшая сеть с минимальным трафиком, то вы, вероятно, с таким крушением совладаете. Но если вы работаете в крупной организации и управляете множеством МЭ, то потеря управляющей станции может стать серьезной проблемой.

Компании Check Point, Lucent Technologies и некоторые другие поставщики предлагают управляющие станции с преодолением сбоев. При изменении правил межсетевого экранирования, такая управляющая станция пересылает информацию об изменениях на МЭ и на вспомогательные управляющие станции.

4.3. МЭ класса SOHO и desktop

Инсталляция и сопровождение удаленных МЭ или МЭ для настольных систем имеет жизненно важное значение для корпоративной сетевой безопасности. Многие поставщики предлагают МЭ класса SOHO (для малого/домашнего офиса), поддерживающие до 10 узлов. МЭ класса SOHO часто дешевле (около 500 долл.), чем их более мощные "собратья", но при этом обладают большинством, если не всеми, функциональными возможностями последних, при этом управлять и проводить мониторинг таких МЭ можно при помощи центральной управляющей станции.

МЭ класса SOHO также обеспечивают лучшую защиту, чем маршрутизаторы NAT/NAPT, так как позволяют контролировать трафик удаленной сети. Например, если у вас работают приложение интрасети, электронная почта и приложение поддержки совместных работ, то вы можете и должны сконфигурировать на удаленном МЭ самые жесткие, насколько это возможно, правила доступа, чтобы свести к минимуму вероятность вторжения из удаленной сети. Дешевые маршрутизаторы NAT/NAPT таких возможностей не обеспечивают.

Все МЭ для настольных систем предоставляют удаленную поддержку, а продукт SecureClient компании Check Point даже предоставляет конфигурируемые наборы правил политики безопасности. Например, в одном случае в вашей корпоративной среде может быть развернута виртуальная частная сеть, в другом -- вашим конечным пользователям может быть разрешено "бродить" по Web.

Подобного уровня функциональности и безопасности можно достичь, используя МЭ класса desktop третьей фирмы (например, CyberArmor компании InfoExpress или Sygate Personal Firewall Pro компании Sygate, которые поддерживают централизованное управление) и VPN-клиенты от поставщика центрального МЭ, но между этими приложениями могут возникать конфликты. Если ваш поставщик центрального МЭ не подтвердит, что данный МЭ класса desktop третьей фирмы им поддерживается, то вам лучше придерживаться линии продуктов от одного поставщика