第二页
视频点播(Video on Demand)服务器也容易受到传输控制协议(TCP)的攻击以及在应用层面的攻击。为保护VoD服务器不受正面攻击及对随机视频应用的背面攻击,就需要有签名或模式吻合的运作能力。因此,结合了入侵探测和保护功能的网络防火墙,能够识别攻击签名,这对于保护VoD服务器将非常有效。
但是为每个视频服务器配备一个专用的安全设备不是一个经济的解决方案。在一个有很多视频服务办公室的大型供应商网络中,管理和更新众多的防火墙并监测攻击,这在操作上是一种挑战。实际上,拆下没有IDP功能的高容量防火墙通常比他们要保护的服务器成本更高。最终,为了实现更具成本优势的安全保护,安全设备的数量必须要减少。
对这个问题的一个解决方案就是利用不对称的交通路由,这样防火墙/IDP网关就不会超负荷,实际所需要的设备就会减少。这个不对称方法使下游的视频交通不会对防火墙/IDP网关造成压力,并且只关注本来就是低带宽的上游控制交通。
服务供应商能够决定网络保护政策,并在联合防火墙/IDP功能中设置滤波器以探测和阻止不希望出现的行为。例如,服务供应商能够选择从一个指定的来源发送到服务基础架构的请求数量。对一个指定的IP用户,网络防火墙能够支持每秒的请求数量并设置一个极限,在一段固定的时间内(在这里是,每秒)超过了这一极限的请求就要被放弃。这样,如果一个服务器正在收到过量的请求,供应商能够通过网络防火墙设备保持对其大多数用户的服务质量,同时对犯规用户的服务只造成片刻的影响。对于违反网络政策的不合理请求,其过量的级别或持续的水平,能够被提升为一种警告,且服务请求被暂时地拒绝。这一方法自动地阻止了DoS攻击,并使网络运营商能够留意到一个攻击实际发生的条件和源头。
设备供应商已经建立起了可接受的交通模式签名以及恶意攻击签名。这样视频服务基础架构通过寻找已知攻击的签名匹配就能够避免受到正面的应用攻击。当然,这种方法只是众多方法中的一种,因为它只有在签名文件得到频繁更新的情况下,才能发挥有强大的作用。
家庭网络的漏洞
随着家庭网络的使用和普及,像英特网服务,文件传输,线上游戏和VoIP呼叫一样,IPTV服务将会由同样的家庭网络来传输。对服务供应商不利的一面是,家庭网络中有了额外的用户活动,终端用户将对其服务传输质量有自己的看法,而服务供应商很难管理这些主观价值的判断。更糟糕的是,DIY家庭网络设计不仅可能带来有问题的连接,而且可能出现安全漏洞。在PC上的一个安全漏洞为对网络带宽进行的消耗性攻击打开了一个缺口,它可能降低供应商的服务质量并导致用户的不满,增加支持成本以及有可能的注销服务。
因为服务供应商为终端用户提供了更多的先进服务,因而考虑“最后一码”的接入安全需求是很重要的。必须要隔离对一种服务的攻击且不影响到家庭网络上的其它服务。因为要在家中运行,IPTV有最高的服务性能要求,所以它对由于安全攻击而造成的网络性能降级非常敏感。供应商很少能控制到缆线机顶盒和家庭网关以外的家庭网络,这对于IPTV服务供应商来说是一个挑战。一些技术,如网络节点认证技术,802.1x及其它技术,由于能够在一个设备连接到网络之前就执行一个特定的安全政策,这样他们在IPTV服务领域可能是非常有用的。
作为一种新的服务,从安全角度和一个综合的角度来看,IPTV是非常容易受到攻击的。为保证他们新的IPTV服务的成功,供应商们在一开始就需要在他们的网络中建立一个全面的,以网络为中心的安全策略。这一安全策略需要既全面,又高效可靠,并且应该考虑到在服务供应商和家庭网络中所有可能出现的安全破绽。
网友评论