CPP技术白皮书.doc

Size: px

Start display at page:

Download "CPP技术白皮书.doc"

音终
5 years ago
Views:

2 前言摘要 CPU 保护策略 (CPU Protect Policy,CPP) 用于避免网络设备的 CPU 收到网络上不必要和具有恶意攻击目的的数据流, 提高网络设备自身安全性能, 还可以通过设置 QoS 过滤机制来保护网络设备的控制平台 (Control Plane, 简称 CP) 在遭受攻击和高负载的情况下仍能保持数据转发和协议状态的稳定本文阐述了目前控制平台策略的现状和发展趋势, 以及目前锐捷网络产品采用的 CPP 技术, 剖析了增加 cpu 保护策略的网络设备对于提高性能所起的作用关键词 CPP DoS CP 缩略语清单缩略语英文全名中文解释 CPP CPU Protect Policy CPU 保护策略 CP Control Plane 控制平面

3 目录 1 概述 :CPP 的提出网络交换机的设计特点协议的工作特点或缺陷技术介绍原理实现方案锐捷 S86 系列 CPP 技术特点配置灵活方便实时显示配置实例分布式 CPP CPP 技术性能测试结束语...18

4 1 概述 :CPP 的提出随着交换机应用的逐渐普及, 以及网络攻击的不断增多, 越来越需要为数据交换机提供一种保护机制, 对发往交换机 CPU 的数据流, 进行流分类和优先级分级处理, 以及 CPU 的带宽限速, 以确保在任何情况下 CPU 都不会出现负载过高的状况, 从而能为用户提供一个稳定的网络环境, 这种保护机制就是 CPU Protect Policy, 简称 CPP 目前由于协议或者某些应用的需要, 要求将报文 trap 到 CPU 进行处理, 但是当同时有大量报文送到 CPU( 这种情况往往是恶意的 ), 超过 CPU 负载时, 引起 CPU 利用率高, 这样就可能使一些正常需要执行的任务被长时间挂起, 造成交换机瘫痪并导致网络中断目前 CPU 保护问题主要包括以下几点 : 1.1 网络交换机的设计特点从交换机的体系结构来看, 交换机有两部分组成 :ASIC 芯片用于高速的转发数据包, 而 CPU 主要是来处理一些更为复杂的事务, 对网络管理方面任务和请求进行处理 ; 处理各种协议报文, 包括 L2 管理报文如 BPDU GVRP ARP;L3 管理报文如 RIP PIM OSPF VRRP IGMP ICMP; 数据报文, 包括未知单播 IP 数据包, 未知组播的数据报文,RPF 失败报文, 各种错误报文常见的 DoS 攻击实际上就是让主机没有资源去应付这些正常的请求, 把大量的资源都用在处理那些攻击性质的请求和事务上, 从而导致系统的不可用当前网络中经常受到各种类型病毒的攻击, 例如蠕虫病毒尼姆达杀手 Slammer 等蠕虫病毒而它们对交换机的冲击, 经常是利用了流转发技术的三层交换机的工作原理, 第一个数据包进来的时候, 三层交换机要像路由器那样通过查找路由表, 确定如何转发, 并形成一个用 ASIC 完成转发查找的硬件流转发表感染 Slammer 等蠕虫病毒的计算机会在很大的一段地址空间中, 逐个发送指向不同 IP 地址的数据包这种行为是恶意的这样的操作会导致交换机的硬件流转发表溢出, 导致 CPU 资源的大量浪费, 甚至使交换机的 CPU 资源完全耗尽类似的情况还有 ARP 请求, 一个交换机收到了 Slammer 病毒产生的很多数据包, 其目的网段就指向交换机连接的一个端口, 交换机并不知道这些目的 IP 地址并不存在, 会发很多 ARP 请求, 期待对方给予回应这些 ARP 请求也会占用 CPU 资源类似的情况还有很多, 比如发送大量的错误包, 对交换机的 Web 管理界面 Telnet 管理进行 DoS 攻击, 对交换机的网管系统进行 ICMP 的 DoS 攻击和 SNMP 的 DoS 攻击 1

5 1.2 协议的工作特点或缺陷最初的网络设计者在设计时更多地考虑如何保证网络的联通性, 而很少考虑网络的安全性同样, 很多专家开发了能够自动发现拓扑结构自动维系网络设备关系的协议, 如路由协议, 这些协议能够减少网管员的工作量, 提高网络的可用性, 但是很多协议存在潜在漏洞, 使网络面临被攻击的风险生成树攻击假如在网络中用一台 PC 机模拟生成树协议, 不断发布 BPDU 包, 就会导致一定范围内的生成树拓扑结构定期地发生变化虽然没有流量, 但是由于生成树不稳定, 仍会导致整个网络不断发生动荡, 使网络不可用, 使网络设备的 CPU 压力剧增路由协议攻击另一个类似的攻击就是使用路由协议发起的攻击, 这一点更容易实现, 虽然一些路由协议使用了加密和认证算法, 来传递路由的更新信息, 但是目前网络很少真正启用这些功能假如网络设计不合理, 路由器配置不妥当, 很容易让用户在一个原本应该是 STUB 的网段里, 向整个网络发送路由信息, 对整个网络的动态路由造成影响, 导致路由震荡, 有可能把一些通往重要方向的数据包指向错误的方向而且即使网络启用了路由加密和认证, 大量的攻击包虽然不影响网络的路由震荡, 但依然让 CPU 无法承受实际还有很多利用协议缺陷和交换机的设计点的攻击方式, 这里只是做一个简单介绍通过以上分析, 可以明确,CPP 模块对于交换机和稳定工作是必不可少的 2

6 2 技术介绍 2.1 原理从第一章的分析可以了解到, 目前的网络协议对于安全的考虑性不足, 以及交换机本身设计的特点, 对 CPP 功能的需求就显得越来越强 CPP 功能早期只是作为某些单一功能出现的, 如 ARP check,ip yguard, 这一种 CPP 主要是反攻击的随着市场应用的逐渐增多, 对于 CPU 保护提出了更高的要求, 第二种 cpp 应用需要对 trap 到 CPU 的管理报文进行分类处理, 第一类是作为维护基础协议的 BPDU GVRP 和 VRRP, 第二类是作为维护路由协议的 PIM, OSPF,IGMP,RIP 报文, 第三类是作为需要 CPU 处理的 IP 数据报文, 第四类是堆叠中的管理报文, 通过对这些报文的分级处理, 确定优先关系, 确保在 CPU 高负载的情况下仍能保证基本的网络拓扑稳定 CPP 的第三种应用是对各种报文的带宽限制, 这种方式主要根据具体的网络应用环境确定各类报文的带宽限制, 以及 CPU 可以处理的最高总带宽限制 CPP 作为一个功能模块, 无论是硬件实现或者软件实现, 都基本上按照以下四个阶段进行 : Claifying Queuing Scheduling 和 Shaping 图 2-1 根据 ACL 将输入流归类分流 Claifying: 对每个需要送到 CPU 的报文进行分类, 分类是根据报文的 L2 L3 以及 L4 信息 Queueing: 该动作负责将各种不同类型的报文, 根据不同的优先级送到指定的映射队列, 在不同队列的报文具有不同的传输优先级 3

7 Scheduling: 当多个队列有报文需要传输时,Scheduling 负责从中选择一个队列并传输这个队列的报文调度算法有 SP,SP+WRR,WRR,DRR,SP+DRR, 以下分别介绍以上各种调度算法的原理绝对优先级 (SP): 高优先级队列具有最高的传输数据包的优先级低优先级的队列要等到优先级高的队列传完才开始传输在 trict priority 调度中, 加权设置总是为零 weighted round-robin ( 加权轮转 ) 调度 (WRR) : WRR 调度要求您定义一个数值用于规定当前队列与其他优先级队列的相对重要性 (weight) WRR 调度防止低优先级的队列在高优先级队列传输时被完全忽略 WRR 调度对各个队列实行轮流发送机制报文的权重与队列的重要性相对应举例说明, 如果队列 1 的 weight 为 1, 队列 2 的 weight 为 2, 那么队列 1 在队列 2 每次发送完 2 个报文后发送 1 个报文通过调度功能, 即使高优先级的队列为非空, 低优先级的队列也能获得机会发送报文, 这样带宽资源可以得到充分的利用 Deficit Round Robin (DRR):WRR 存在的一个很大的缺点是它是以报文个数做为权重的, 这样对于报文平均长度明确的网络更加合适, 但是网络中往往报文的长度是不可预知的, 必然使 WRR 的应用受到局限, 基于此, 提出了以字节数为权重的进行加权轮转调度的算法 Deficit Round Robin (DRR), 当为某个队列分配的权重低于零时, 这时该队列的权重值变为赤字, 同时影响到下一次调度该队列的赋予的权重, 即该队列的新的权重会减去前一次而产生的赤字, 这样就可以避免由于报文长度不等长而产生的非预期的调度 SP+WRR,SP+DRR, 是指在队列调度中选择 SP 与 WRR 或者 SP 和 DRR 算法共同参与运算的方法, 既保证最高优先级的队列能得到优先调度, 又避免了其他低优先级队列由于长时间未被调度而饿死的问题具体来说, 就是高优先级的队列在所有报文被调度完成后, 才根据选择的 WRR 或者 DRR 算法对其他队列进行调度图 2-2 Queueing 与 Scheduling 过程 Shaping: 控制每个传输队列的最大和最小带宽, 超过最大速率的报文将被丢弃 4

8 2.2 实现方案从交换芯片的实现角度分析 CPP 的硬件实现,ASIC 芯片将 CMIC(CPU 管理接口控制器 ) 作为一个普通的物理转发口看待, 即满足物理转发口的所有特性, 具体到四个阶段分别描述如下 : Claifying: 根据入口逻辑决定报文 trap 到 CMIC 的内部优先级, 这里可能改变该优先级的因素包括报文携带的 pri, 端口的缺省优先级, 改变报文优先级的若干表项等 Queueing: 可以设置 CMIC 口的入队方式, 即报文内部优先级与 CMIC 队列的映射关系 Scheduling:CMIC 接口对于不同队列中报文采用调度算法, 支持 SP,SP+WRR,WRR, DRR,SP+DRR Shaping:ASIC 芯片支持对于 CMIC 口的流量整形, 可以设置整个 CMIC 流量的最小带宽和最大带宽, 以及每一个 COS 队列的最小带宽和最大带宽, 队列的缓存空间, 以及带宽的颗粒等以上四个阶段可以作为 CPP 基于芯片的设计部分, 只是由于不同的芯片类型决定了这几个阶段中哪些部分可以实现, 哪些部分无法实现也可以用软件方式实现 CPP, 软件实现主要有两个方面, 一个是减少报文在 CPU 的处理时间, 这样可以尽量提高 cpu 的报文处理性能和降低 CPU 的工作负荷 ; 另一个是确定不同类型报文在 CPU 的处理优先级, 但是也要综合考虑软件处理这些逻辑的开销, 具体也是按照以上四个阶段进行分析 5

9 3 锐捷 S86 系列 CPP 技术特点 3.1 配置灵活方便 CPP 的用户界面 CLI 命令设计简单方便, 这样使用户无需对相关专业知识有很深认识的情况下, 也能完成配置, 此外用户也可以灵活配置各种协议报文的优先级和限制速率, 前者可以保证需要的报文能优先得到处理, 后者可以降低 CPU 的负载, 有效地防止网络中对交换机的攻击, 保护交换机的安全和网络的运行稳定设置每种类型报文的速率限制,pp 可以在间随意设置 cpu-protec type {arp bpdu dhcp ipv6mc igmp rip opf vrrp pim ttl1 unknown-ipmc dvmrp pp_vaule pp 设置每种类型报文映射的队列,pri 可以在 0-7 之间设置,7 所对应的优先级最高,0 所对应的优先级最低 cpu-protec type { arp bpdu dhcp ipv6mc igmp rip opf vrrp pim -ttl1 unknown-ipmc} pri pri_vaule 3.2 实时显示实时显示当前 CPU 处理各类报文统计值, 包括交换机收到的各类报文的累加值和速率, 以及被丢弃的报文数, 通过这些数据, 可以使用户及时了解网络中当前的或者一段时间内的各类报文的流量情况, 并可以以此为依据, 实施 CPP 设置而且对于 S86 设备, 除了支持基于报文类型的流量统计外, 还支持基于管理板和所有线卡的流量的分别显示, 使报文数据能细化到每一块线卡 S8610(config)#how cpu-protect lot 2 Type Pp Total Drop arp bpdu dhcp gvrp ipv6-mc dvmrp

10 igmp opf pim rip vrrp unknow-ipmc ttl (config)#how cpu-protect type arp Slot Type Pp Total Drop MainBoard arp Slot-2 arp 图 3-1 cpp 的显示界面 3.3 配置实例 1. 通过察看 CPP 的实时显示, 可以明确当前交换机是否受到某种报文的攻击, 如图 4, 显然,ARP 报文的流量存在异常, 这时可以通过配置 CPP 的流量限制达到保护交换机 CPU 的目的 cpu-protec type arp pp 当某个端口上的输入流量达到限速或者进入了 HOL 状态时, 或者该端口上存在多种需要由交换机 CPU 处理报文时, 就需要界定这些报文的优先级关系, 这些优先级关系可以根据的网络环境设置实施 cpu-protec type vrrp pri 7 cpu-protec type bpdu pri 6 cpu-protec type opf pri 分布式 CPP S86 的管理板与线卡的架构使 S86 的 CPP 具有了分布式的特点, 它的优点是在硬件实现的 CPP 的基础上, 由各个线卡进行一级过滤, 而管理板进行二级过滤, 通过这种二级过滤的机制, 使管理板大大降低了被攻击的可能性, 使管理板的各种协议能平稳地运行, 最大程度的保护了管理板的 CPU 资源, 保证了网络的安全和稳定 S86 的分布式 CPP 方案在 S86 产品的所有类型线卡上都可以支持, 而且该方案也保证了以后 S86 以后新增的线卡也能提供同样的支持, 这一点是其他产品所不具备的 7

11 分布式的二级过滤的设计符合 S86 的管理板和多块线卡的架构, 这样每一块线卡上的 CPP 保证了每一块线卡能够对送 CPU 的报文实施分类限速, 但是由于多块线卡的缘故, 这样管理板收到的每一类报文仍有可能大于限速时, 这时管理板的 CPP 又再一次保证了管理板的 CP 避免收到大量保文的攻击 8

12 4 CPP 技术性能测试以 RG-S8600 在集美大学的应用拓扑为例, 分析 CPP 在稳定网络拓扑的作用集美大学的拓扑框架如下, 核心设备为 CISCO 的 S6509, 同下联的汇聚设备 S8606 运行 OSPF 协议 ; S8606 通过万兆线路同 S6509 相连接 ;S8606 和 S6509 相连接的端口为 TRUNK 口, 该端口是所有的 VLAN 成员口 ( 每个端口配置 100 个 vlan);s8606 下联二层设备, 同二层设备的连接端口也是采用 TRUNK 口, 并且没有进行 VLAN 配置万兆 RG-S8606 RG-S8606 RG-S8606 RG-S8606 RG-S8606 RG-S8606 SMB SMB SMB SMB SMB SMB 图 4-1 这里主要测试 CPP 抗攻击的能力测试数据流用 SMB 产生, 选取得观察点为图中最右边的 RG-S8606, 每台 RG-S8606 的配置为 : M8606- CM I M SFP/12GT M XENPAK 攻击类型 : ARP 报文攻击 9

13 BPDU 报文攻击 GVRP 报文攻击 TTL=1 的 IP 报文攻击打开 OSPF 协议下的攻击测试打开 RIP 协议下的攻击测试报文 PIM 报文攻击数据记录内容及分析结果 1. 预防 ARP 攻击报文 Arp 部分攻击测试源 IP 个数发送速率 CPU 利用率峰值 Ping 延时 Opf 是否震荡 PIM 是否震荡 CPP 无限制 ( 卡内 ) 1 个 148packet/ 1488packet / 33-35% <100m No No 43-45% <113m No No 14881pack 65-66% <131m No Ye et/ 20 个包丢 4 个 pac 85% <482m Ye Ye ket/ 时通时不通 10 个 148packet/ 1488packet / 48-53% <100m No No 68-69% <113m, 丢四个 No Ye 14881pack 78% <131m Ye Ye et/ 20 个包丢 4 个 pac 85% <482m Ye Ye ket/ 时通时不通 CPP 限制 Arp 速率为 500PPS( 卡内 ) 1 个 148packet/ 1488packet / 10-13% <89m No No 22-25% <100m No No 10

14 源 IP 个数发送速率 CPU 利用率峰值 Ping 延时 Opf 是否震荡 PIM 是否震荡 10 个 14881pack et/ pac ket/ 148packet/ 1488packet / 14881pack et/ pac ket/ 22-25% <121m No No 22-25% <133m No No 10-14% <89m No No 23-25% <100m No No 22-25% <121m No No 22-25% <133m No No K 结论 : 从以上数据来看, 当采用 CPP 保护机制后, 可以有效防 2. 预防 L2 协议报文攻击 BPDU 攻击测试发送速率 CPU 利用 Ping 延时 STP 是否 Opf 是否震 PIM 是否震荡率峰值震荡荡 CPP 无限制 ( 卡内 ) MSTP 打开 148packet/ 32-36% <100m 丢 3% No Ye No 1488packet/ 14881packe t/ pack et/ 43-48% <216m 丢 15% 65-69% <380m 丢 30% 85-88% <580m 丢 50% No Ye Ye Ye Ye Ye Ye Ye Ye MSTP 关闭 148packet/ 48-53% <82m 未开启 No No 1488packet/ 68-69% <134m 未开启 No No 14881packe 78% <213m 未开启 Ye Ye 11

15 发送速率 CPU 利用 Ping 延时 STP 是否 Opf 是否震 PIM 是否震荡率峰值震荡荡 t/ 丢 20% pack et/ 88-90% <245m 丢 30% 未开启 Ye Ye CPP 限制 BPDU 速率为 100PPS( 卡内 ) MSTP 打开 148packet/ 10-13% <80m 未开启 No No 1488packet/ 10-13% <93m 未开启 No No 14881packe t/ pack et/ 10-13% <111m 未开启 No No 10-13% <123m 未开启 No No MSTP 关闭 148packet/ 10-14% <89m 未开启 No No 1488packet/ 10-14% <100m 未开启 No No 14881packe t/ pack et/ 10-14% <111m 未开启 No No 10-14% <123m 未开启 No No Gvrp 攻击测试发送速率 CPU 利用率峰 Ping 延时 Opf 是否震荡 PIM 是否震荡值 CPP 无限制 GVRP 打开 ( 视实际情况而 148packet/ 30-32% <100m No No 1488packet/ 39-41% <113m No No 14881packet/ 55-59% <189m No No 定 ) / 78-82% <324m 丢 30% Ye Ye GVRP 关闭 148packet/ 30-35% <100m No No 1488packet/ 38-41% <113m No No 12

16 发送速率 CPU 利用率峰 Ping 延时 Opf 是否震荡 PIM 是否震荡值 14881packet/ 49-51% <231m No No / 78-82% <369m CPP 限制 Gvrp 协议报文速率为 500PPS 丢 35% Ye Ye GVRP 打开 148packet/ 10-13% <81m No No 1488packet/ 23-25% <93m No No 14881packet/ 23-25% <111m No No / 23-25% <123m No No GVRP 关闭 148packet/ 10-14% <86m No No 1488packet/ 23-25% <100m No No 14881packet/ 23-25% <108m No No / 23-25% <110m No No K 结论 : 从以上数据来看, 当采用 CPP 保护机制后, 可以有效防止交换机资源被抢占, 基本协议状态不会产生振荡和跃变 3. 预防 L3 协议报文的攻击 PIM-DM 部分攻击测试发送速率 CPU 利用率峰值 Ping 延时 Opf 是否震荡 PIM 是否震荡 CPP 无限制 PIM 协议 148packet/ 38-42% <200m, Ye No 打开丢 30% ( 视实际情况而定 ) 1488packet/ 46-51% <280m, 丢 45% 14881packet/ 78-89% <380m, Ye Ye Ye Ye 丢 50% 90% <580m, Ye Ye / 丢 70% PIM 协议 148packet/ 38-42% <200m, Ye 未开启丢 30% 13

17 发送速率 CPU 利用率峰值 Ping 延时 Opf 是否震荡 PIM 是否震荡 1488packet/ 46-51% <289m, 丢 45% Ye 未开启 14881packet/ 78-89% <385m, Ye 未开启丢 48% 90% <590m, Ye 未开启 / 丢 70% CPP 限制 PIM 协议报文速率为 100PPS PIM 协议打开 148packet/ 10-14% <71m No No 1488packet/ 10-14% <83m No No 14881packet/ / 10-14% <101m No No 10-14% <113m No No PIM 协议 148packet/ 10-14% <76m No No 1488packet/ 10-14% <90m No No 14881packet/ / 10-14% <108m No No 10-14% <110m No No Opf 部分攻击测试发送速率 CPU 利用率峰值 Ping 延时 Opf 是否震荡 PIM 是否震荡 CPP 无限制 Opf 协议打开 ( 视实际情况而定 ) 148packet/ 36-41% <100m No No 1488packet/ 45-50% <280m, 丢 Ye No 25% 14881packet/ 58-69% <388m, 丢 50% Ye Ye 80% <680m, Ye Ye / 丢 70% 14

18 Opf 协议发送速率 CPU 利用率峰值 Ping 延时 Opf 是否震荡 PIM 是否震荡 148packet/ 38-42% <150m, No No 1488packet/ 46-51% <289m, 丢 45% Ye Ye 14881packet/ 78-89% <385m, 丢 48% Ye Ye 90% <590m, Ye Ye / 丢 60% CPP 限制 Opf Hello 报文速率为 100PPS Opf 协议打开 148packet/ 11-13% <75m No No 1488packet/ 11-13% <82m No No 14881packet/ 11-13% <96m No No / 11-13% <105m No No Opf 协议 148packet/ 11-13% <76m No No 1488packet/ 11-13% <86m No No 14881packet/ 11-13% <98m No No / 11-13% <103m No No RIP 部分攻击测试发送速率 CPU 利用率峰值 Ping 延时 RIP 是否震荡 PIM 是否震荡 CPP 无限制 RIP 协议打开 148packet/ 38-42% <100m No No 1488packet/ 46-51% <180m, 丢 Ye Ye 25% 14881packet/ 78-89% <288m, 丢 50% Ye Ye 90% <380m, Ye Ye / 丢 70% 15

19 RIP 协议发送速率 CPU 利用率峰值 Ping 延时 RIP 是否震荡 PIM 是否震荡 148packet/ 38-42% <100m, 未开启 No 1488packet/ 46-51% <289m 未开启 No 14881packet/ 78-89% <285m, 丢 43% 未开启 Ye 89% <360m, 未开启 Ye / 丢 56% CPP 无限制 RIP 协议报文速率为 500PPS RIP 协议打开 148packet/ 18-22% <71m No No 1488packet/ 26-28% <80m No No 14881packet/ 26-28% <90m No No / 26-28% <103m No No RIP 协议 148packet/ 18-22% <72m 未开启 No 1488packet/ 26-28% <81m 未开启 No 14881packet/ 26-28% <93m 未开启 No / 26-28% <101m 未开启 No K 结论 : 从以上数据来看, 当采用 CPP 保护机制后, 可以有效防止交换机资源被抢占, 基本协议状态不会产生振荡和跃变 TTL=1 部分攻击测试发送速率 CPU 利用率峰值 Ping 延时 Opf 是否震荡 PIM 是否震荡 CPP 无限制 TTL=1 单播报文 148packet/ 36-41% <80m No No 1488packet/ 47-51% <180m No No 14881packet/ 58-65% <245m, 丢 20% No Ye 78% <310m, Ye Ye / 丢 50% 16

20 TTL=1 组播报文发送速率 CPU 利用率峰值 Ping 延时 Opf 是否震荡 PIM 是否震荡 148packet/ 38-42% <82m No No 1488packet/ 46-51% <130m No No 14881packet/ 78-89% <285m, 丢 23% No Ye 90% <390m, Ye Ye / 丢 70% CPP 限制 TTL=1 报文速率为 500PPS TTL=1 单播报文 148packet/ 19-23% <73m No No 1488packet/ 26-28% <82m No No 14881packet/ 26-28% <96m No No / 26-28% <106m No No TTL=1 组播报文 148packet/ 19-23% <76m No No 1488packet/ 26-28% <86m No No 14881packet/ 26-28% <98m No No / 26-28% <103m No No K 结论 : 从以上数据来看, 当采用 CPP 保护机制后, 可以有效防止交换机资源被抢占, 基本协议状态不会产生振荡和跃变 17

21 5 结束语 CPP 功能对于提高交换机抗攻击的能力, 保持网络拓扑和路由协议的稳定性, 保证交换机的处理能力得到完全的发挥, 提供一个有效的工具通过 CPP 保护策略, 使网络设备的安全能力得到了更大的提升 18