朱　杰

网络设备操作系统较量（二）

提起网络安全，我们会想到的是防火墙、病毒和黑客的攻击，然而路由器、交换机作为网络中最重要的组成部分，它们的安全性能是提高网络自身免疫能力的一个重要标尺。对于黑客来说，通常会利用交换路由设备软件系统的漏洞发起攻击，误导信息流量，使网络陷于瘫痪。因此，是否具有完善的安全机制，成为了衡量网络设备操作系统优劣的重要标准。

网络自身的安全需求

随着信息化建设的发展，下一代互联网服务的需求迫在眉睫，传统路由器及其操作系统已不能驾轻就熟地去解决网络所面临的所有问题。原先的网络大多是针对某一种服务或者一组类型的服务而设计，因而灵活性非常低，也无法提供客户所需要的高集成化服务。而目前以分组交换为基础的IP网络已是大势所趋。

随着QoS、安全性、可靠性和可管理性等一系列关键技术问题的解决，整个网络都在朝着以交换路由设备为核心的IP网络发展。但是传统的IP路由器并不关心也不知道IP数据包的业务类型，一般只是按先进先出的原则转发数据包，语音、视频、信息浏览等各种业务类型的数据都被不加区分地对待。IP网络自身的不成熟性，让用户IT部门持续面临着保护网络安全的压力。因此企业需要在网络各个层面上提供专业的、高性能的网络安全服务，以应对当今迅速变化的内外部威胁。而作为网络核心的交换路由设备，其内嵌的操作系统自然责无旁贷。

安全服务大量整合

任何网络的总体安全水平总是由最弱一点决定的，因此设备级安全性能是每个网络节点的首要考虑因素。思科公

司的IOS软件一直是其路由设备创新的核心。为了帮助企业网络管理人员消除不断出现的新威胁。思科在其 IOS软件中加入了网络准入控制（NAC）、公共密钥基础设施（PKI）增强、内部入侵防范以及嵌入式防火墙等应用模块，能够有效抵御企业网络环境中的多种安全威胁。NAC模块能够自动检查试图与内部网连接的客户设备是否安装了最新的防毒软件，只有检查通过，才授予接入权限。这种防护构成了网络系统的第一道防线，将防止部分网络设备向网络传播已经从网络其余部分清除出去的病毒。而大量集成的PKI新特性，可以有效简化公用、专用密钥加密的供应和管理，保护敏感通信。

Juniper公司推出的JUNOS软件也同样整合了大量的安全服务功能，能够协助企业管理复杂且差异化的网络设备，并保护其应用、数据和网络基础架构的安全。JUNOS软件能够为网络管理员在整合和巩固路由及安全装置过程中提供更多的选择和控制，从而帮助他们尽快适应不断变化的业务需求，同时还可以降低成本。系统可以对网络控制方的处理资源进行严格的保护。设备运行时，控制端口不会像传统设备中那样锁定或变慢，始终处于可控制的状态。系统可以随时添加过滤器以阻塞分布式DOS攻击，而不会让路由器停止服务。此外，用户通过使用JUNOS系统的新一代CLI功能，可以快捷而轻松地在脱机编辑器中输入改动信息，然后通过一次快速升级提交给路由器。

系统另外一个重要的安全措施是让路由设备支持更多的过滤器条件数目。JUNOS软件可以让一个路由设备接口多个过滤器，在提供细粒度流量控制的同时而不影响系统性能。企业IT人员可以定义控制以阻塞、限速或监控特殊的

数据流和应用，在问题尚未凸现之前就将其扼杀在开始阶段，并且无需进行性能权衡。

让设备管理更简单

可靠性和可管理性也是操作系统安全能力的重要体现。为了确保操作系统具备高度的可靠性，Force10 在其 FTOS中集成了与Unix类似的NetBSD内核，以提供固有的进程模块与故障隔离。此外，FTOS基于单源代码与版本序列之上，不仅可以显著简化软件维护与升级，同时严格的质量保证程序还可以向客户优先确保代码的稳定性。操作系统的设计和质量保证策略与流程相结合，优化能够为企业提供完善的应用可用性。

Force10 在FTOS中还构建了多种网络控制功能，以减少人为错误的发生。如果由于发生配置错误而无法接入系统，FTOS可以恢复到已知的最后一个可用配置。此外，FTOS还允许IT管理人员在状态检查失败时采取编程措施，因此自动纠错功能还有助于实现系统中断次数的最少化和正常运行时间最大化。

除了支持可提高系统透明度和防止人为错误的自动功能外，FTOS 还采用了行业标准命令行接口（CLI）。FTOS允许企业利用其IT组织的现有工具与知识尽可能地降低管理成本并优化部署，而非采用专有命令语法。

此外，在线诊断与监控工具的集成让FTOS可以支持更多的网络控制组件功能，它们无需关闭系统或中断应用流量即可完成故障排除。FTOS可监控所有进程，以确保操作不超出正常资源的占用极限，同时还能为超限环境和其他故障条件提供全系统监控。FTOS的模块化设计便于将错误追踪至特定进程并支持任何补救指令；而增强的可维修命令使IT管理人员能够快速收集调试所需信息以分析和解决故障问题。