The Cloudflare Blog
·
ASPA:提升互联网路由安全性
💡
原文英文,约2000词,阅读约需8分钟。
📝
内容提要
互联网流量依赖边界网关协议(BGP)进行路由,但配置错误或恶意行为可能导致路由泄漏。为解决此问题,行业引入了ASPA(自治系统提供者授权)标准,以验证流量路径并防止泄漏。Cloudflare Radar推出ASPA部署监测功能,帮助社区跟踪ASPA的采用趋势,从而提升互联网安全性。
🎯
关键要点
- 互联网流量依赖边界网关协议(BGP)进行路由,但配置错误或恶意行为可能导致路由泄漏。
- 行业引入ASPA(自治系统提供者授权)标准,以验证流量路径并防止泄漏。
- Cloudflare Radar推出ASPA部署监测功能,帮助社区跟踪ASPA的采用趋势。
- RPKI(资源公钥基础设施)用于确保网络流量的目的地安全,ROA(路由来源授权)作为可验证的数字身份证明。
- ASPA记录验证网络流量的路径,确保流量通过授权的网络链路。
- ASPA通过检查路由传播的“关系链”来验证AS路径的有效性。
- ASPA可以有效防止伪造来源劫持,但在某些情况下仍然无能为力。
- 创建ASPA对象的过程简单,只需提供AS号码和授权的上游网络的AS号码。
- Cloudflare Radar的新ASPA部署监测功能允许用户查看ASPA采用的增长趋势。
- ASPA的实施需要对RPKI和BGP进行必要的调整,以确保路径验证的有效性。
➡️
