新闻稿

新闻中心

2009

Navigation
网络设备操作系统较量(二)

提起网络安全,我们会想到的是防火墙、病毒和黑客的攻击,然而路由器、交换机作为网络中最重要的组成部分,它们的安全性能是提高网络自身免疫能力的一个重要标尺。对于黑客来说,通常会利用交换路由设备软件系统的漏洞发起攻击,误导信息流量,使网络陷于瘫痪。因此,是否具有完善的安全机制,成为了衡量网络设备操作系统优劣的重要标准。

网络自身的安全需求

随着信息化建设的发展,下一代互联网服务的需求迫在眉睫,传统路由器及其操作系统已不能驾轻就熟地去解决网络所面临的所有问题。原先的网络大多是针 对某一种服务或者一组类型的服务而设计,因而灵活性非常低,也无法提供客户所需要的高集成化服务。而目前以分组交换为基础的IP网络已是大势所趋。

随着QoS、安全性、可靠性和可管理性等一系列关键技术问题的解决,整个网络都在朝着以交换路由设备为核心的IP网络发展。但是传统的IP路由器并不关心也不知道IP数据包的业务类型,一般只是按先进先出的原则转发数据包,语音、视频、信息浏览等各种业务类型的数据都被不加区分地对待。IP网络自身的不成熟性,让用户IT部门持续面临着保护网络安全的压力。因而企业需要在网络各个层面上提供专业的、高性能的网络安全服务,以应对当今迅速变化的内外部威胁。而作为网络核心的交换路由设备,其内嵌的操作系统自然责无旁贷。

安全服务大量整合

任何网络的总体安全水平总是由最弱一点决定的,因此设备级安全性能是每个网络节点的首要考虑因素。思科公司的IOS软件一直是其路由设备创新的核 心。为了帮助企业网络管理人员消除不断出现的新威胁。思科在其IOS软件中加入了网络准入控制(NAC)、公共密匙基础设施(PKI)增强、内部入侵范以 及嵌入式防火墙等应用模块,能够有效抵御企业网络环境中的多种安全威胁。NAC模块能够自动检查试图与内部网连接的客户设备是否安装了最新的防毒软件,只 有检查通过,才授予接入权限。这种防护构成了网络系统的第一道防线,将防止部分网络设备向网络传播已经从网络其余部分清除出去的病毒。而大量集成的PKI 新特性,可以有效简化公用、专用密匙加密的供应和管理,保护敏感通信。

Juniper公司推出的JUNOS软件也同样整合了大量的安全服务功能,能够协助企业管理复杂且差异化的网络设备,并保护其应用、数据和网络基础架构的安全。JUNOS软件能够为网络管理员在整合和巩固路由及安全装置过程中提供更多的选择和控制,从而帮助他们尽快适应不断变化的业务需求,同时还可以降低成本。系统可以对网络控制方的处理资源进行严格的保护。设备运行时,控制端口不会像传统设备中那样锁定或变慢,始终处于可控制的状态。系统可以随时添加过滤器以阻塞分布式DOS攻击,而不会让路由器停止服务。此外,用户通过使用JUNOS系统的新一代CLI功能,可以快捷而轻松地在脱机编辑器中输入改动信息,然后通过一次快速升级提交给路由器。

系统另外一个重要的安全措施是让路由设备支持更多的过滤器条件数目。JUNOS软件可以让一个路由设备接口多个过滤器,在提供细粒度流量控制的同时而不影响系统性能。企业IT人员可以定义控制以阻塞、限速或监控特殊的数据流和应用,在问题尚未凸现之前就将其扼杀在开始阶段,并且无需进行性能权衡。

让设备管理更简单

可靠性和可管理性也是操作系统安全能力的重要体现。为了确保操作系统具备高度的可靠性,FORCE10在其FTOS中集成了与Unix类似的NetBSD内核,以提供固有的进程模块与故障隔离。此外,FTOS给予单源代码与版本序列之上,不仅可以显著简化软件维护和升级,同时严格的质量保证程序还可以向客户优先确保代码的稳定性。操作系统的设计和质量保证策略与流程相结合,优化能够为企业提供完善的应用可用性。

Force10在FTOS中还构建了多种网络控制功能,以减少人为错误的发生,如果由于发生配置错误而无法介入系统,FTOS可以恢复到已知的最后一个可用配置。此外,FTOS还允许IT管理人员在状态检查失效时采取编程措施,因此自动纠错功能还有助于实现系统中断次数的最少化和正常运行时间最大化。

除了支持可提高系统透明度和防止人为错误的自动功能外,FTOS还采用了行业标准命令接口(CLI)。FTOS允许企业利用其IT组织的现有工具与知识尽可能地降低管理成本并优化部署,而非采用专有命令语法。

此外,在线诊断的监控工具的集成让FTOS可以支持更多的网络控制组件功能,他们无需关闭系统或中断应用流量即可完成故障排除。FTOS可监控所有进程,以确保操作不超出正常资源的占用极限,同时还能为超限环境和其他故障条件提供系统监控。FTOS的模块化设计便于将错误追踪至特定进程并支持任何补救指令:而增强的可维护命令使IT管理人员能够快速手机调试所需信息以分析和解决故障问题。

  Juniper JUNOS Sisco IOS Force10 FTOS
系统特色 ·处理资源严格控制
·过滤器随时添加
·内部入侵防范
·网络准入控制
·公共密钥基础设施增强
·嵌入式防火墙
·多种网络控制功能
·在线诊断与监控工具
·NetBSD内核集成
核心观点 在高性能网络基础架构中进行单一来源地操作系统,帮助网络管理员迅速部署新的网络功能,不损害网络性能、稳定性和安全性,使用户有信心加快创新。 ios采用分布式、模块化的软件微内核架构,可以通过跨越管理、访问控制和流程隔离技术,实现高度安全、持续的系统运营。 采用模块化设计,可以隔离和保护单个进程,如交换、路由以及管理功能等,确保设备具有更高的可预测性。