今天的网络需要动态的管理!!

以前, ACL是一个很好的网络流量的限制工具。但是, ACL基本上是静态的。后来, 出现了以时间为触发条件的ACL, 算是一点进步吧。

而 今天, 网络蠕虫大肆传播, 网络有效带宽被worm/virus 所侵占, Router/Switch 没有一个很好的办法来限制这些流量, 因为worm 流量不是一直在网络上传播, 所以你不能靠静态的ACL来限制traffic, or interfaces or L2 ports。而且, 很多 virus traffic 靠ACL 是不行的。例如 要防止 tear drop攻击, 这个ACL应该怎么写呢?

所以, 现在大部分客户都采用 IDS/IPS来实现 traffic 的深度检测和控制。但是IPS/IDS又不能和R/S 结合起来使用。

现 在有客户使用 Router 的netflow 技术, 或 IPS/IDS/网管/AAA/URL过滤/AV网关技术等和Switch 联动, 来实现动态的traffic 控制!! 有些客户提供 PC机上的特殊 Agent, 通过MC(网管中心)来控制这些Agent来实现控制PC 的目的, 已达到控制中毒PC对网络的影响的目的。

看来, 这是一种趋势, 即网络的动态监控技术。