论文部分内容阅读
在针对DNS的攻击事件频繁发生时,DDI产品集DNS、DHCP和IP管理功能于一体,减轻了企业IT运维人员的负担。因此,这个更加细分的产品线已经开始引起很多网络解决方案提供商的重视,DDI产品也将逐渐进入企业中,担当更大的职责。
随着云计算、BYOD和物联网的飞速发展,企业网络连接需求激增,网络业务更加多元化,企业对网络性能和安全要求也随之提高,这让不少企业开始重新审视现有的网络架构是否可以使企业网络安全、稳定、可靠地运行。
在企业网络架构中,DNS(域名系统)和DHCP(动态主机配置协议)通常被称为核心网络服务,其重要性不言而喻。DNS不能连接,就没法访问网站;若DHCP发生故障,网络都将无法接入,不能上网。由此可见,DNS与 DHCP都是非常关键的网络服务功能,而这两者的结合点就是IP。如何协调好,保护好这两者呢,如今有一些DDI(DNS DHC IPAM)解决方案产品恰好满足了IT运维人员的统一管理需求,为企业业务不停摆起到良好的支持作用。
DNS频遭攻击引起重视
DDI这一概念是Gartner在2009年提出来的,它是三个网络核心服务设备的总称,包括:DNS、DHCP和IP管理。DNS、DHCP共享一个数据库。IP管理功能作为嵌入式的组件或者是单独的组件,形成一款三合一的产品。
以往用户大多采用免费的DDI方案,比如:ISC互联网联盟、网络设备自带的DNS/DHCP、Windows服务器内置的DNS/DHCP,但这些免费方案普遍面临着部署维护难、可管理性差、可靠性欠缺、IP管理能力弱等问题。
赛迪顾问在2014年所发布的调查报告显示,仅有不到30%的被调查企业关注DDI管理和网络自动化,而对DDI管理的忽略导致网络故障和遭受攻击的可能性大大提高。该份调查同时表明,自2013年以来,以DNS为代表的一系列基础网络管理问题比以往出现的愈加频繁。这其中有超过半数的受访企业表示,在过去的一年中遇到过DDI相关的网络故障。
在互联网全球化进程日益加快的今天,数据和网络基础设施已经成为企业或组织的核心,员工、合作伙伴和客户之间的联系、重要的业务进程都越来越依赖于互联网的支撑,而提供IP地址和域名转换的DNS系统,是实现网络应用必不可少的前提,对确保企业互联网化运作可谓功不可没。
DNS作为网络基础设施的一个根本部分,关系到企业的生产力,但正是因为DNS应用的这种普及性和不可替代性,对它的攻击成为一种主要的攻击方式。虽然很多企业正在全力以赴地应对网络安全威胁,以期能检测和规避常见和专业的网络攻击,但遗憾的是,大多数企业并没有对DNS安全足够重视,使企业的数据、资产和信誉都处在风险之中。思科2016年度安全报告指出,近91.3%的“已知不良”恶意软件使用DNS作为主要手段,但68%的企业却忽略了这个问题,并没有对DNS解析器进行监测,思科非常形象地把这称作“DNS盲点”——DNS是互联网上最常见的协议,但它却成为了最容易被忽视的。
“当前,在云计算、物联网、移动互联的时代,IP地址正在爆发式增长,作为网络的‘中枢神经’,DNS/DHCP的可靠性越来越受到重视,IP地址管理也需要可视化与自动化,而不再是人工维护Excel表格。”锐捷网络与网关产品事业部产品经理尚家川谈到,商业级DDI解决方案正在被越来越多的用户所需要。
他表示,商业级DDI解决方案具有如下特点:一是软硬一体,即买即用,省去麻烦的安装工作,具有统一直观的图表管理界面,便于集中维护管理;二是可靠性强,通过双机热备机制实现宕机切换、服务不中断;三是设备自身防攻击,服务更安全可靠;四是提供可视化IP地址管理,提高运维效率。
易于部署便于维护
DDI现有的方案大概分三类。第一类来自ISC互联网联盟,该联盟提供一些开源DNS、DHCP软件。第二类就是Windows操作系统内置的DNS、DHCP。还有一个就是网络设备里面带的。这三类解决方案或多或少存在以下四个问题:
第一是部署维护比较困难,开源软件需要先装到服务器上,然后经过一些复杂的配制跟调试才能把某一种功能运行起来。
第二,可管理性比较差,以往的网络解决方案里基本上没有图形化的管理界面,全是通过命令行才完成各种操作。
第三,可靠性欠缺,没有像双机热备等备份机制。因此,当服务器宕机时,整个网络不通了。
第四,基本没有IP地址管理功能。
以上是长久以来部分网络方案的一些问题。近几年,开始有厂商关注DDI解决方案。
那么一款好的DDI产品应该具备哪些特点呢?目前,通常的说法是具有以下几点:
首先,需要实现可视化管理。整合IP管理、DHCP、DNS这三个核心服务,替换原有手工管理IP的模式,替换原有开源ISC BIND或免费Windows DNS服务。通过图形化配置界面,实现集中可视的IP地址自动化分配管理、规划和回收,实现安全加固的智能DNS域名解析服务。同时提供核心网络服务的HA(高可用)冗余机制,防止单点故障引起的业务停摆。
其次,实现精细化控制。在网络与用户设备的交界处进行控制,通过DHCP WEB PORTAL和DHCP指纹识别,实现IP、MAC地址的精细化管控,可防止私接路由交换设备,防止IP地址冲突、手工私改IP、控制非法IP接入等现象,实现无线智能终端设备的自动识别和访问控制。
再次,实现对DNS域名状态的实时监控审计。可以实现IP、MAC的全程审计、变更、跟踪、定位,体现实名IP地址分配的可追溯性,同时也可以联动市场上主流的上网行为设备,实现IP从实名准入、动态分配、审计,到行为管理的一个完整闭环处理。可支持管理IPv4与IPv6,实现IPv4到IPv6地址体系的平滑迁移,支持各种未来即将使用的功能,例如DHCPv6、DNSSEC、DNS64、EDNS等功能。
最后,设备本身集成了防攻击的功能。这保障了设备稳定运行,使业务持续不停摆。如果没采用专业的防攻击设备,采用自己搭建的服务器很可能会存在很多漏洞,万一遭遇DDoS攻击,服务很容易被中断。
轻松运维
以上这些就是一款过硬的DDI解决方案产品应该具备的特点。但是光有这些似乎还不够,锐捷网络提出的“极致智能DNS,极简IP的运维管理”正是锐捷RG-DDI的真实写照。
锐捷RG-DDI可以与出口设备联动,实现最优的负载均衡效果。它还可以与SAM(锐捷的认证计费平台)联动,可以收集到用户的属性信息,自动将访问请求解析到相对应的电信运营商服务器上。
而极简的IP运维管理包括DHCP准入控制和可与RIIL联动的可视化管理。DHCP准入控制主要是实现上网终端接入管理。RG-DDI是如何解决这个问题的呢?首先RG-DDI通过前文所述的DHCP指纹识别技术,自动识别终端类型,实现阻断非法设备接入的功能,禁止非法设备接入到该网络,防止信息泄露。
此外,锐捷RG-DDI提供了自动化的接入控制方案。以前IT运维人员通过人工完成的操作,RG-DDI会自动搜集合法联网设备的Mac并且将其绑定,自动分配IP地址。据尚家川透露:“两千个终端的绑定工作,RG-DDI四个小时就可以完成。而且由于所有数据都在RG-DDI一个设备上,后期的维护也会更方便。”
最后一点就是能够提供可视化的IP地址管理。IT运维人员可以可视化地监控IP地址状态。一旦出现IP地址冲突,仅需点击一下按键,轻松解决冲突IP问题,而不必IT运维人员跑到该IP冲突终端所在位置去逐一排查故障。RG-DDI自带可视化管理界面。后期锐捷网络会跟RIIL联动,为用户呈现更好的可视化效果。
随着云计算、BYOD和物联网的飞速发展,企业网络连接需求激增,网络业务更加多元化,企业对网络性能和安全要求也随之提高,这让不少企业开始重新审视现有的网络架构是否可以使企业网络安全、稳定、可靠地运行。
在企业网络架构中,DNS(域名系统)和DHCP(动态主机配置协议)通常被称为核心网络服务,其重要性不言而喻。DNS不能连接,就没法访问网站;若DHCP发生故障,网络都将无法接入,不能上网。由此可见,DNS与 DHCP都是非常关键的网络服务功能,而这两者的结合点就是IP。如何协调好,保护好这两者呢,如今有一些DDI(DNS DHC IPAM)解决方案产品恰好满足了IT运维人员的统一管理需求,为企业业务不停摆起到良好的支持作用。
DNS频遭攻击引起重视
DDI这一概念是Gartner在2009年提出来的,它是三个网络核心服务设备的总称,包括:DNS、DHCP和IP管理。DNS、DHCP共享一个数据库。IP管理功能作为嵌入式的组件或者是单独的组件,形成一款三合一的产品。
以往用户大多采用免费的DDI方案,比如:ISC互联网联盟、网络设备自带的DNS/DHCP、Windows服务器内置的DNS/DHCP,但这些免费方案普遍面临着部署维护难、可管理性差、可靠性欠缺、IP管理能力弱等问题。
赛迪顾问在2014年所发布的调查报告显示,仅有不到30%的被调查企业关注DDI管理和网络自动化,而对DDI管理的忽略导致网络故障和遭受攻击的可能性大大提高。该份调查同时表明,自2013年以来,以DNS为代表的一系列基础网络管理问题比以往出现的愈加频繁。这其中有超过半数的受访企业表示,在过去的一年中遇到过DDI相关的网络故障。
在互联网全球化进程日益加快的今天,数据和网络基础设施已经成为企业或组织的核心,员工、合作伙伴和客户之间的联系、重要的业务进程都越来越依赖于互联网的支撑,而提供IP地址和域名转换的DNS系统,是实现网络应用必不可少的前提,对确保企业互联网化运作可谓功不可没。
DNS作为网络基础设施的一个根本部分,关系到企业的生产力,但正是因为DNS应用的这种普及性和不可替代性,对它的攻击成为一种主要的攻击方式。虽然很多企业正在全力以赴地应对网络安全威胁,以期能检测和规避常见和专业的网络攻击,但遗憾的是,大多数企业并没有对DNS安全足够重视,使企业的数据、资产和信誉都处在风险之中。思科2016年度安全报告指出,近91.3%的“已知不良”恶意软件使用DNS作为主要手段,但68%的企业却忽略了这个问题,并没有对DNS解析器进行监测,思科非常形象地把这称作“DNS盲点”——DNS是互联网上最常见的协议,但它却成为了最容易被忽视的。
“当前,在云计算、物联网、移动互联的时代,IP地址正在爆发式增长,作为网络的‘中枢神经’,DNS/DHCP的可靠性越来越受到重视,IP地址管理也需要可视化与自动化,而不再是人工维护Excel表格。”锐捷网络与网关产品事业部产品经理尚家川谈到,商业级DDI解决方案正在被越来越多的用户所需要。
他表示,商业级DDI解决方案具有如下特点:一是软硬一体,即买即用,省去麻烦的安装工作,具有统一直观的图表管理界面,便于集中维护管理;二是可靠性强,通过双机热备机制实现宕机切换、服务不中断;三是设备自身防攻击,服务更安全可靠;四是提供可视化IP地址管理,提高运维效率。
易于部署便于维护
DDI现有的方案大概分三类。第一类来自ISC互联网联盟,该联盟提供一些开源DNS、DHCP软件。第二类就是Windows操作系统内置的DNS、DHCP。还有一个就是网络设备里面带的。这三类解决方案或多或少存在以下四个问题:
第一是部署维护比较困难,开源软件需要先装到服务器上,然后经过一些复杂的配制跟调试才能把某一种功能运行起来。
第二,可管理性比较差,以往的网络解决方案里基本上没有图形化的管理界面,全是通过命令行才完成各种操作。
第三,可靠性欠缺,没有像双机热备等备份机制。因此,当服务器宕机时,整个网络不通了。
第四,基本没有IP地址管理功能。
以上是长久以来部分网络方案的一些问题。近几年,开始有厂商关注DDI解决方案。
那么一款好的DDI产品应该具备哪些特点呢?目前,通常的说法是具有以下几点:
首先,需要实现可视化管理。整合IP管理、DHCP、DNS这三个核心服务,替换原有手工管理IP的模式,替换原有开源ISC BIND或免费Windows DNS服务。通过图形化配置界面,实现集中可视的IP地址自动化分配管理、规划和回收,实现安全加固的智能DNS域名解析服务。同时提供核心网络服务的HA(高可用)冗余机制,防止单点故障引起的业务停摆。
其次,实现精细化控制。在网络与用户设备的交界处进行控制,通过DHCP WEB PORTAL和DHCP指纹识别,实现IP、MAC地址的精细化管控,可防止私接路由交换设备,防止IP地址冲突、手工私改IP、控制非法IP接入等现象,实现无线智能终端设备的自动识别和访问控制。
再次,实现对DNS域名状态的实时监控审计。可以实现IP、MAC的全程审计、变更、跟踪、定位,体现实名IP地址分配的可追溯性,同时也可以联动市场上主流的上网行为设备,实现IP从实名准入、动态分配、审计,到行为管理的一个完整闭环处理。可支持管理IPv4与IPv6,实现IPv4到IPv6地址体系的平滑迁移,支持各种未来即将使用的功能,例如DHCPv6、DNSSEC、DNS64、EDNS等功能。
最后,设备本身集成了防攻击的功能。这保障了设备稳定运行,使业务持续不停摆。如果没采用专业的防攻击设备,采用自己搭建的服务器很可能会存在很多漏洞,万一遭遇DDoS攻击,服务很容易被中断。
轻松运维
以上这些就是一款过硬的DDI解决方案产品应该具备的特点。但是光有这些似乎还不够,锐捷网络提出的“极致智能DNS,极简IP的运维管理”正是锐捷RG-DDI的真实写照。
锐捷RG-DDI可以与出口设备联动,实现最优的负载均衡效果。它还可以与SAM(锐捷的认证计费平台)联动,可以收集到用户的属性信息,自动将访问请求解析到相对应的电信运营商服务器上。
而极简的IP运维管理包括DHCP准入控制和可与RIIL联动的可视化管理。DHCP准入控制主要是实现上网终端接入管理。RG-DDI是如何解决这个问题的呢?首先RG-DDI通过前文所述的DHCP指纹识别技术,自动识别终端类型,实现阻断非法设备接入的功能,禁止非法设备接入到该网络,防止信息泄露。
此外,锐捷RG-DDI提供了自动化的接入控制方案。以前IT运维人员通过人工完成的操作,RG-DDI会自动搜集合法联网设备的Mac并且将其绑定,自动分配IP地址。据尚家川透露:“两千个终端的绑定工作,RG-DDI四个小时就可以完成。而且由于所有数据都在RG-DDI一个设备上,后期的维护也会更方便。”
最后一点就是能够提供可视化的IP地址管理。IT运维人员可以可视化地监控IP地址状态。一旦出现IP地址冲突,仅需点击一下按键,轻松解决冲突IP问题,而不必IT运维人员跑到该IP冲突终端所在位置去逐一排查故障。RG-DDI自带可视化管理界面。后期锐捷网络会跟RIIL联动,为用户呈现更好的可视化效果。