路由安全策略的强化措施探讨

所属栏目:计算机信息安全论文 论文作者:/
标题

    重要行业领域广泛使用的冗余结构模式网络,在路由安全性方面存在可能造成网络中断的安全隐患。利用定时检测对端网络目的节点是否可达的网络检测机制,可发现网络故障,加速路由收敛。据此,本文提出了通过调整路由协议参数、建立故障快速检测机制、优化网络服务质量等加强路由安全策略的建议。
 
  日益普及的网络应用对网络的稳定性要求愈来愈高,金融行业领域骨干网络的组网模式都以备份冗余结构设计为基础,即网络系统由多台核心网络设备组成一个“热备份组”,如果处于活动状态的设备发生了故障,网络系统将选择一个备份设备来替代活动设备,并自动实现路由切换和数据包转发,网络内的主机仍然保持网络活动的连续性而不受影响。
 
  一、存在的路由安全问题分析
 
  热备份冗余结构网络通常采用动态路由协议或浮动静态路由协议实现多条备份路由之间的动态切换,而核心网络两端的路由设备通常采用以太网接口相互联接,且中间经过了传输设备,如运营商的光端机或协议转换器,或是某些二层网络设备等。在没有特殊配置的情况下,广域网两端的网络路由设备之间并不能检测到彼此的端口状态变化信息,当通信链路、网络传输设备发生突发故障时,本端设备仍然认为对端设备网络通信可达,从而导致发送到对端设备的数据全部被丢弃,造成网络中断,引发网络安全性风险。  
  如图 1 所示,骨干网络通过租用运营商广域网通信线路实现 4 台边界路由器的网络互联,当运营商的广域网线路或传输设备发生故障时,对可能造成如下两种网络中断风险隐患,具体分析如下。
 
  第一种情况,当 4 台路由器运行在 OSPF 动态路由协议下,遇到运营商广域网线路中断时,由于链路中间传输设备的影响,使得所连接的路由器接口仍然为 up状态。OSPF 路由协议采用慢 hello 机制,hello time 和dead time 默认为 10 秒和 40 秒,因此当线路出现故障时,在最坏的情形下 OSPF 需要 40 秒才能完成路由收敛,会产生网络短暂中断,对视频流量及实时交互报文等时延敏感型业务会造成重大影响。
 
  第二种情况,当边界路由器 R1、R3 之间运行OSPF 动态路由协议或是 VRRP(或 HSRP 等)备份冗余路由协议,R2、R4 路由器采用浮动静态路由协议的情况下,若遇到运营商传输设备发生故障,例如路由器R1 的 G1/0/1 接口连接的传输设备部分损坏导致该接口变化为 down 状态,此后路由器 R1 会删除到 R2 的路由,而通过 OSPF 动态路由协议或 VRRP 等备份冗余路由协议更新路由表后将下一跳指向 R3,这样从路由器 R1 发出的数据包需经过路由器 R3、R4 的传输,最终到达路由器 R2.然而在数据包回程路由方向,路由器 R2 的G1/0/1 接口仍为 up 状态,此时路由器 R2 的路由表中到R1 的静态路由仍然保持不变,因此去往路由器 R1 的数据包仍旧从路由器 R2 的 G1/0/1 接口发出,但该条链路已经处于中断状态,故此时网络传输会被中断。
 
  二、解决路由问题的机制及原理
 
  网络中冗余备份链路的设计思想,要求网络设备在网络发生故障时,能够快速准确地检测出故障,并将流量路由至备份链路,以加快网络收敛速度。由此看来,寻找一种有效的网络故障检测方法是充分发挥冗余结构网络功能的关键。目前,已提出的通过硬件检测机制来实现快速故障检测的方法存在一定的局限性,如该方法可适用 POS 链路,但不可用于以太网链路;利用网络应用层面本身来实现故障检测,不仅增加了网络传输与网络应用之间的耦合度,其故障检测耗费的时间也相对较长,不能满足实时性强的网络应用要求。
 
  最简单的网络检测方法是基于传统的 Ping 功能,使用 ICMP 控制报文协议,定期向对端远程通信目的节点发送一定格式的数据包,并等待远程通信节点的反馈,测试数据包在本端和目的端之间的往返时间,如果在规定时间内收到来自对端目的节点正确的反馈信息,那么该连接就是正常的,否则判断该连接已经中断。在此基础上,对网络的响应时间、网络时延抖动、丢包率等网络信息进行统计分析,达到实时检测网络运行状态的目的。
 
  三、加强路由安全策略的建议
 
  基于网络检测的基本原理,从网络运维的实践出发,充分考虑各种网络通信环境、网络设备特性、路由协议特点、网络应用的实际要求等因素,建议从以下几个方面加强路由安全策略。
 
  1. 调整动态路由协议参数,缩短路由收敛时间
 
  运行 OSPF 动态路由协议的路由设备默认以 10 秒间隔发送 hello 包,发现邻居后 hello 包在邻居之间扮演着 keep alive 的角色。为解决协议在网络状态发生变化时完成路由收敛相对较慢,产生网络短暂中断的问题,可根据网络活动的需要改变协议的 hello 包发送时间hello-interval 参数及死亡时间 dead-interval 参数配置,如设置 hello 包间隔时间在 1 ~ 3 秒,这对大多数网络应用是可接受的。
 
  2. 建立网络故障快速检测机制
 
  利 用 双 向 转 发 检 测(Bidirectional ForwardingDetection ,BFD)协议,提供一个通用标准化的与介质无关和协议无关的快速故障检测机制,上层协议建立会话后周期性地快速发送 BFD 报文,如果在检测时间内没有收到BFD报文则认为该双向转发路径发生了故障。
 
  建议将 BFD 协议与 OSPF 动态路由协议(或是 VRRP等协议)进行联动使用,选定对端网络中某个地址作为网络检测目标,通过设定最小发送间隔 min-transmit-interval、最小接收间隔 min-receive-interval 等参数,定时进行目标地址的网络检测,检测到链路故障后告知OSPF 进程邻居不可达,再由 OSPF 进程中断 OSPF 邻居关系。此种方法的网络检测时间能有效控制在 1 秒以内,因而加快网络收敛速度,大幅减少网络应用的中断时间,提高网络的可靠性。
 
  3. 加强网络性能监控,优化网络质量
 
在不同的网络负载环境下监视和报告网络行为,通过获取网络带宽、传输速率、网络丢包率、网络时延、时延抖动等相关监测数据,分析网络性能、网络提供的服务及服务质量。利用网络质量分析(NQA)协议,向监控对端目的网络发送 HTTP、FTP、TCP、SNMP 等不同类型的测试报文,及时了解网络的性能状况,并针对不同网络性能指标的检测结果进行相应处理。此策略是对 Ping 功能的扩展和增强,在故障发生时可大幅提升冗余结构网络的故障检测效率,达到毫秒级别的路由收敛速度。建议将 NQA 协议与路由跟踪 TRACK 联动,一方面能有效解决路由设备经传输设备互联时不能使用浮动静态路由、策略路由、VRRP 等备份冗余路由协议技术来实现网络冗余的问题,另一方面也提供了一种检测各种网络性能参数、分析网络质量的手段,据此监测不同类型网络活动的性能状况,有效保障网络安全运行.
'); })();