支撐聯(lián)網(wǎng)基礎設施與保護用戶和服務的安全常是互補的任務。將路由和安全基礎設施與具有策略意識的把持機制聯(lián)合在一起，可幫助服務供給商設置利潤豐富的服務，同時保護網(wǎng)絡安全。關于實現(xiàn)上述目標的戰(zhàn)略和建議，請參見Juniper 網(wǎng)絡公司面向供給商網(wǎng)絡安全的“超人法則”。

對于金融服務、電子商務、交通運輸和能源等行業(yè)的公司來說，保證網(wǎng)絡全天候的正常運行變得越來越重要。大多數(shù)企業(yè)都與服務供給商簽訂了服務程度協(xié)議，讓服務供給商為虧損買單。隨著基于botnet的散布式拒絕服務（DDoS）攻擊等安全要挾手段日益高超、次數(shù)日益頻繁，迫使服務供給商必須預防、監(jiān)督并最終牽制這些攻擊對客戶及自己的基礎設施的影響。

說到保護網(wǎng)絡基礎設施安全，服務供給商如果能夠借鑒“超人法則”中供給的戰(zhàn)術，定將受益匪淺。具體說：

◆盡量暗藏自己

◆如果不能暗藏自己，則力求別人無法接觸自己

◆如果不能禁止別人接觸自己，則盡量保持別人無法參透自己

◆始終警惕表象上的好人和壞人

如想實行這些戰(zhàn)術，服務供給商的基礎設施設備必須能夠以線速過濾數(shù)萬個實體傳輸?shù)臄?shù)據(jù)包，并能夠在攻擊期間通過機動的鏈接和分配技巧動態(tài)增加和傳播這些過濾器。供給商還需要路由器的把持面板和數(shù)據(jù)面板同時供給流量整形功效，包含對流量進行限速以及將流量放置到優(yōu)先級隊列中。最后，操作人員需要安全套件來實現(xiàn)網(wǎng)絡策略層的主動化流程，以幫助動態(tài)牽制要挾。專業(yè)化的服務廠商和路由軟件都能為服務供給商供給具備這些功效的工具。

盡量暗藏自己

在服務供給商的網(wǎng)絡中，路由器和網(wǎng)絡是操作人員供給安全保護所需的基礎IP基礎設施。除極少數(shù)系統(tǒng)因法律原因無法向路由器發(fā)送流量外，幾乎所有系統(tǒng)都將流量發(fā)送到路由器中。網(wǎng)絡安全經(jīng)理可通過數(shù)據(jù)包過濾器只容許合法用戶向路由器的把持面板發(fā)送流量，從而將路由器暗藏起來。

大多數(shù)的過濾工作都是在入口和出口處完成的，但是，為了盡量靠近源頭阻斷攻擊，服務供給商有時必須在所有核心路由器、匯聚路由器和客戶端設備的入口處端到端地實行過濾器。這些路由器必須能夠支撐數(shù)據(jù)包過濾器，同時以線速處理流量，以便為服務供給商開展工作供給足夠的數(shù)據(jù)包轉發(fā)機動性。

網(wǎng)絡經(jīng)理必須在這些過濾器上穿孔，以便容許有效流量進入路由器。網(wǎng)絡管理站、直接聯(lián)網(wǎng)的主機、同一個子網(wǎng)上的服務器、內部路由器以及用作外部邊界網(wǎng)關協(xié)議 （EBGP） 對等體的外部路由器，都是需要接入網(wǎng)絡路由器的合法設備。

如果不能暗藏自己，則力求別人無法接觸自己

當然，基礎設施也存在大批的合法用戶。例如，多協(xié)議標簽交換（MPLS） 客戶邊沿（CE）路由器必須與供給商邊沿（PE）路由器交談。同樣，您必須將直接聯(lián)網(wǎng)的設備之間傳輸?shù)木W(wǎng)間把持報文協(xié)議（ICMP）流量傳輸?shù)骄W(wǎng)絡中任何路由器的把持面板中。如果無法通過過濾器實行拒絕接入策略，網(wǎng)絡經(jīng)理可應用流量整形和限速等機制來牽制攻擊的影響力，以防攻擊利用有效的路由器間通信技巧。

入站ICMP流量增加速度異常是DoS攻擊來臨的第一個信號。為了牽制攻擊的影響力，操作人員必須對ICMP流量實行限速，迫使路由器丟棄超限流量。這種做法可大幅度減少穿過網(wǎng)絡的惡意ICMP流量。限速意味著限制存在要挾的合法用戶應用網(wǎng)絡或完整禁止來自存在安全要挾的網(wǎng)絡的用戶訪問某些網(wǎng)站，直到攻擊結束。然而，限速最重要的目標是保護網(wǎng)絡的其他部分。

限速并不是網(wǎng)絡經(jīng)理用于保護網(wǎng)絡不被接觸的唯一工具。狀態(tài)過濾器可阻斷通過IP地址欺騙或端口地址攔阻發(fā)動的TCP SYN泛濫攻擊和TCP zombies 攻擊，并保護BGP會話（和網(wǎng)絡）不受被沾染主機的影響，從而使網(wǎng)絡免遭惡意流量的攻擊。此外，通過單播逆向路徑轉發(fā)（uRPF）等技巧對源地址進行驗證也是遏制欺騙攻擊的有效手段。

如果不能禁止別人接觸自己，則盡量保持別人無法參透自己