動(dòng)態(tài)控制面板保護(hù)
由于違反規(guī)定的行為（例如入侵者轉(zhuǎn)移或者分析網(wǎng)絡(luò)流量）所導(dǎo)致的未經(jīng)授權(quán)的或者惡意的路由更新可能會(huì)威脅網(wǎng)絡(luò)安全 。部署基于報(bào)文摘要算法5（MD5）的相鄰路由器身份驗(yàn)證是避免偽裝的一種常用方法，它實(shí)際上確保了路由器從某個(gè)可靠的來源獲得可靠的信息——但是這僅僅是第一步 。假如偽裝的BGP分組開始涌向路由器，接收路徑訪問控制列表（ACL）和模塊化QoS CLI（MQC）速率限制能夠準(zhǔn)確地控制這些分組的傳輸 。但是，ACL和MQC控制并不是自動(dòng)進(jìn)行的 。假如BGP對等主機(jī)關(guān)機(jī)或者重啟，第四層端口編號就會(huì)隨著每個(gè)進(jìn)程的重新建立而改變 。因此，網(wǎng)絡(luò)設(shè)計(jì)人員一直在尋找一種自動(dòng)、動(dòng)態(tài)的方式來準(zhǔn)許經(jīng)過設(shè)置的BGP對等進(jìn)程和丟棄未經(jīng)設(shè)置的進(jìn)程 。
為此，CRS-1為線卡分組處理提供了一個(gè)DCPP方法 。利用DCPP，經(jīng)過正確設(shè)置的BGP對等進(jìn)程會(huì)自動(dòng)獲得足夠的資源，而未經(jīng)設(shè)置的進(jìn)程則會(huì)被丟棄或者獲得最低限度的處理 。這種準(zhǔn)許－拒絕模式建立在靜態(tài)設(shè)置的IP地址和動(dòng)態(tài)的第四層端口號之間的關(guān)聯(lián)關(guān)系的基礎(chǔ)上 。在身份驗(yàn)證和建立最大限度的準(zhǔn)入控制之前，需要為初始連接設(shè)置不同的資源策略 ?？刂泼姘宸纸M必須經(jīng)過是一個(gè)多層次的事先篩選流程，直到得到一個(gè)內(nèi)部搜索表的授權(quán)之后，它們才會(huì)獲得足夠的資源 。這種自動(dòng)化的流程可以節(jié)約網(wǎng)絡(luò)治理員為了其他要害任務(wù)進(jìn)行手動(dòng)設(shè)置所需要的時(shí)間 。
自動(dòng)控制面板擁塞過濾器
在嚴(yán)重的DoS或者DDoS攻擊導(dǎo)致線卡超出CRS-1的插槽容量時(shí)，控制機(jī)制會(huì)以特定用途集成電路（ASIC）的速度執(zhí)行，將超出線卡容量的分組導(dǎo)入第三層模塊化服務(wù)卡（MSC）上的硅分組處理器，從而確?？刂泼姘宸纸M得到優(yōu)先處理 。在網(wǎng)絡(luò)治理員利用其他安全工具安裝緩解方案以解決問題時(shí)，這種功能可以保持拓?fù)涞耐暾?。
控制面板TTL完整性檢查（RFC 3682，GTSM）
大部分控制協(xié)議對等進(jìn)程都建立在相鄰或者直連的路由器之間 。在GTSM（過去被稱為BGP TTL安全破解[BTSH]）出現(xiàn)之前，從非定向?qū)Φ裙?jié)點(diǎn)發(fā)往路由器的BGP分組必須由路由器CPU進(jìn)行處理 。在生成大量這類分組時(shí)，它會(huì)導(dǎo)致一個(gè)嚴(yán)重的DDoS攻擊，從而耗盡CPU資源 。現(xiàn)在，治理員可以利用GTSM對BGP對等分組進(jìn)行TTL檢查，從而在MSC SPP中有效地阻止所有非定向BGP偽裝分組 。
這些技術(shù)還可用于很多其他的應(yīng)用，例如標(biāo)簽分發(fā)協(xié)議（LDP）和資源預(yù)留協(xié)議（RSVP） 。RSVP可以利用通用GTSM的功能 。由于CRS-1采用了完全可編程的MSC架構(gòu)，GTSM對于其他應(yīng)用協(xié)議的支持可以被方便地添加到MSC 。
BGP路由協(xié)議過濾和RPL
BGP是互聯(lián)網(wǎng)上最基礎(chǔ)的路由協(xié)議之一 。不幸的是，假如BGP在沒有采用適當(dāng)?shù)那熬Y過濾措施的情況下遭受攻擊，互聯(lián)網(wǎng)上將會(huì)出現(xiàn)大量的“垃圾”流量 。因此，前綴過濾多年以來一直是互聯(lián)網(wǎng)服務(wù)供給商（ISP）行業(yè)的最佳實(shí)踐之一 。（如需了解更多信息，請?jiān)L問http://www.ispbook.com）
但是，隨著路由策略的日益復(fù)雜和每臺對等路由器必須交互的對等主機(jī)的不斷增多，服務(wù)供給商在如何成功地部署前綴過濾方面面臨著艱巨的挑戰(zhàn) 。為此，思科推出了RPL，并將其集成到了Cisco IOS XR軟件中 。針對大規(guī)模路由配置而開發(fā)的RPL具有一些重要的功能，可以改進(jìn)傳統(tǒng)路由圖中的設(shè)置，以及ACL或者面向前綴列表的配置 。
第一項(xiàng)改進(jìn)是模塊化的策略組件 。這樣，通用的策略模塊可以獨(dú)立地定義和維護(hù) 。這些通用模塊可用于其他策略模塊，以構(gòu)成完整的策略，從而減少需要維護(hù)的配置信息 。另外，可以為這些通用策略模塊設(shè)置參數(shù) 。這使得網(wǎng)絡(luò)治理員可以將那些具有相同結(jié)構(gòu)，但是特定參數(shù)不同的策略作為獨(dú)立的策略模塊進(jìn)行維護(hù) 。例如，三個(gè)除了本地優(yōu)先值以外完全相同的策略可以表示為一個(gè)統(tǒng)一的策略，并使用不同的本地優(yōu)先值作為策略的參數(shù) 。

推薦閱讀

• 

  支付寶花唄怎么關(guān)閉？花唄關(guān)閉方法
• 

  京東企業(yè) 京東企業(yè)版
• 

  招財(cái)好聽女生名字有哪些
• 

  比亞迪秦發(fā)動(dòng)機(jī)艙怎么打開
• 

  夢見吃雞蛋皮 夢見吃雞蛋皮是什么意思
• 

  win71分鐘自動(dòng)重啟解決方法
• 

  宮保肉丁的做法家常菜 如何做宮保肉丁
• 

  直腿硬拉練到哪個(gè)部位比較好 直腿硬拉練到哪個(gè)部位
• 

  女生相親不能問男生哪些問題 相親聊天的技巧
• 

  2019年哪天暑伏,19年數(shù)伏多少天
• 

  不能吃棗子嗎 哪些人不能吃棗 吃棗子的五大禁忌
• 

  兒童英語課堂教學(xué)經(jīng)驗(yàn) 小學(xué)英語課堂教學(xué)經(jīng)驗(yàn)
• 

  2018張掖房價(jià),為什么張掖的房價(jià)在甘肅最低
• 

  lgl24 10a root,Docker篇
• 

  牛肉怎么打成肉膠啊
• 

  傭金20%服務(wù)費(fèi)7%怎么算 多多進(jìn)寶傭金怎么算

• Cisco 1800、2800 和3800 集成多業(yè)務(wù)路由器的安全特性
• Cisco 675 路由器Web管理拒絕服務(wù)漏洞
• Netopia 650-T ISDN路由器用戶名和口令泄露漏洞
• Cisco千兆交換路由器ACL被繞過以及拒絕服務(wù)攻擊
• 路由器VS防火墻 ROUTER典型防火墻設(shè)置
• 路由器“黑洞”威脅互聯(lián)網(wǎng)絡(luò)安全
• 配置NetScreen208＋C3550VLAN間路由
• 防毒別忘了路由器
• 北電網(wǎng)絡(luò)安全路由技術(shù)
• Cisco路由器安全配置