傳統(tǒng)網(wǎng)絡(luò)安全解決方案
網(wǎng)絡(luò)安全對(duì)企業(yè)乃至國家經(jīng)濟(jì)建設(shè)有著極其重要的作用。近年來,隨著我國國民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快,計(jì)算機(jī)網(wǎng)絡(luò)在政治、軍事、金融、商業(yè)等部門的廣泛應(yīng)用,網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用不斷增強(qiáng),全社會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴越來越大。網(wǎng)絡(luò)系統(tǒng)如果遭到破壞,不僅會(huì)引起社會(huì)混亂,還將帶來經(jīng)濟(jì)損失。
傳統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)總體架構(gòu)如下:
從園區(qū)內(nèi)網(wǎng)安全、邊界防御、園區(qū)出口傳輸安全等多緯度、多層次進(jìn)行安全設(shè)計(jì)和安全防御,對(duì)企業(yè)內(nèi)部進(jìn)行安全區(qū)域劃分、隔離和權(quán)限控制,對(duì)企業(yè)外部用戶訪問進(jìn)行安全控制、數(shù)據(jù)加密,防止惡意攻擊。園區(qū)網(wǎng)全方位的安全設(shè)計(jì)方案保證內(nèi)部、外部用戶訪問園區(qū)網(wǎng)資源的安全性。
園區(qū)內(nèi)網(wǎng)安全設(shè)計(jì)
防IP/MAC地址盜用和ARP中間人攻擊
DHCP Snooping技術(shù)是DHCP安全特性,通過建立和維護(hù)DHCP Snooping綁定表過濾不可信任的DHCP信息,這些信息是指來自不信任區(qū)域的DHCP信息。DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息,DHCP Snooping綁定表可以基于DHCP過程動(dòng)態(tài)生成,也可以通過靜態(tài)配置生成,此時(shí)需預(yù)先準(zhǔn)備用戶的IP 地址、MAC地址、用戶所屬VLAN ID、用戶所屬接口等信息。
園區(qū)交換機(jī)開啟DHCP-Snooping后,會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽,并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息。另外,DHCP-Snooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文,而不信任端口會(huì)將接收到的DHCP Offer報(bào)文丟棄。這樣,可以完成交換機(jī)對(duì)假冒DHCP Server的屏蔽作用,確保客戶端從合法的DHCP Server獲取IP地址。
防IP/MAC地址掃描攻擊
防IP掃描攻擊
地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的IP報(bào)文。當(dāng)攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時(shí),觸發(fā)ARP miss,使網(wǎng)絡(luò)設(shè)備給該網(wǎng)段下的每個(gè)地址發(fā)送ARP報(bào)文,地址不存在的話,還需要發(fā)送目的主機(jī)不可達(dá)報(bào)文。如果直連網(wǎng)段較大,攻擊流量足夠大時(shí),會(huì)消耗網(wǎng)絡(luò)設(shè)備較多的CPU和內(nèi)存資源,可引起網(wǎng)絡(luò)中斷。
園區(qū)交換機(jī)支持IP地址掃描攻擊的防護(hù)能力,收到目的IP是直連網(wǎng)段的報(bào)文時(shí),如果該目的地址的路由不存在,會(huì)發(fā)送一個(gè)ARP請(qǐng)求報(bào)文,并針對(duì)目的地址下一條丟棄表項(xiàng)(棄后續(xù)所有目的地址為該直連網(wǎng)段的ARP報(bào)文),以防止后續(xù)報(bào)文持續(xù)沖擊CPU。如果有ARP應(yīng)答,則立即刪除相應(yīng)的丟棄表項(xiàng),并添加正常的路由表項(xiàng);否則,經(jīng)過一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。這樣,既防止直連網(wǎng)段掃描攻擊對(duì)交換機(jī)造成影響,又保證正常業(yè)務(wù)流程的暢通。
在上述基礎(chǔ)上,交換機(jī)還支持基于接口設(shè)置ARP miss的速率。當(dāng)接口上觸發(fā)的ARP miss超過設(shè)置的閾值時(shí),接口上的ARP miss不再處理,直接丟棄。
如果用戶使用相同的源IP進(jìn)行地址掃描攻擊,交換機(jī)還可以基于源IP做ARP miss統(tǒng)計(jì)。如果ARP miss的速率超過設(shè)定的閾值,則下發(fā)ACL將帶有此源IP的報(bào)文進(jìn)行丟棄,過一段時(shí)間后再允許通過。
防MAC地址掃描攻擊
以太網(wǎng)交換機(jī)的MAC地址轉(zhuǎn)發(fā)表作為二層報(bào)文轉(zhuǎn)發(fā)的核心,在受到攻擊的時(shí)候,直接導(dǎo)致交換機(jī)無法正常工作。發(fā)生MAC地址攻擊的時(shí)候,攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的源MAC地址不斷變化以太報(bào)文,園區(qū)交換機(jī)收到以太報(bào)文會(huì)基于報(bào)文的源MAC學(xué)習(xí)填充二層MAC轉(zhuǎn)發(fā)表項(xiàng),由于MAC地址轉(zhuǎn)發(fā)表的規(guī)格有限,會(huì)因?yàn)镸AC掃描攻擊而很快填充滿,無法再學(xué)習(xí)生成新的MAC轉(zhuǎn)發(fā)表,已學(xué)習(xí)的MAC表?xiàng)l目需通過老化方式刪除,這樣途徑園區(qū)交換機(jī)大量的單播報(bào)文會(huì)因?yàn)榘凑漳康腗AC找不到轉(zhuǎn)發(fā)表項(xiàng)而不得不進(jìn)行廣播發(fā)送,導(dǎo)致園區(qū)網(wǎng)絡(luò)中產(chǎn)生大量的二層廣播報(bào)文,消耗網(wǎng)絡(luò)帶寬、引發(fā)網(wǎng)絡(luò)業(yè)務(wù)中斷異常。
交換機(jī)二層MAC轉(zhuǎn)發(fā)表是全局共享資源,單板內(nèi)各端口/VLAN共享一份MAC轉(zhuǎn)發(fā)表,華三園區(qū)交換機(jī)支持基于端口/VLAN的MAC學(xué)習(xí)數(shù)目限制,同時(shí)支持MAC表學(xué)習(xí)速率限制,有效防御MAC地址掃描攻擊行為。MAC學(xué)習(xí)數(shù)目達(dá)到端口/VLAN上設(shè)置的閾值時(shí),會(huì)進(jìn)行丟棄/轉(zhuǎn)發(fā)/告警等動(dòng)作(動(dòng)作策略可定制、可疊加)。另外通過園區(qū)交換機(jī)的MAC地址與端口綁定來限制跨端口的MAC掃描攻擊。
廣播/組播報(bào)文抑制
攻擊者不停地向園區(qū)網(wǎng)發(fā)送大量惡意的廣播報(bào)文,惡意廣播報(bào)文占據(jù)了大量的帶寬,傳統(tǒng)的廣播風(fēng)暴抑制無法識(shí)別用戶VLAN,將導(dǎo)致正常的廣播流量一并被交換機(jī)丟棄。園區(qū)網(wǎng)交換機(jī)需要識(shí)別惡意廣播流量的VLAN ID,通過基于VLAN的廣播風(fēng)暴抑制丟棄惡意廣播報(bào)文而不影響正常廣播報(bào)文流量轉(zhuǎn)發(fā)。可基于端口或VLAN限制廣播報(bào)文流量百分比或速率閾值。
同時(shí)園區(qū)網(wǎng)交換機(jī)支持組播報(bào)文抑制,可基于端口限制組播報(bào)文流量百分比或速率閾值。
園區(qū)網(wǎng)邊界防御
企業(yè)園區(qū)網(wǎng)邊界防御分為兩個(gè)部分:園區(qū)出口邊界防御、園區(qū)內(nèi)部邊界防御。 園區(qū)出口連接Internet和企業(yè)WAN網(wǎng)的接入,企業(yè)外部網(wǎng)路尤其Internet網(wǎng)絡(luò),是各種攻擊行為、病毒傳播、安全事件引入的風(fēng)險(xiǎn)點(diǎn),通過在企業(yè)出口部署高性能防火墻設(shè)備、或者在核心交換機(jī)內(nèi)置防火墻模塊,可以很好的緩解風(fēng)險(xiǎn)的傳播,阻擋來自Internet/企業(yè)外部網(wǎng)絡(luò)攻擊行為的發(fā)生。企業(yè)園區(qū)出口位置部署的獨(dú)立防火墻設(shè)備(或核心交換機(jī)內(nèi)置的防火墻模塊),需要滿足高性能、高可靠、高安全的要求,是企業(yè)園區(qū)網(wǎng)的第一道安全屏障。
園區(qū)內(nèi)部邊界防御是將企業(yè)內(nèi)部劃分為多個(gè)區(qū)域,分為信任區(qū)域和非信任區(qū)域,分別實(shí)施不同的安全策略,包括部署區(qū)域間隔離、受限訪問、防止來自區(qū)域內(nèi)部的DOS攻擊等安卻措施。建議通過匯聚交換機(jī)上集成防火墻模塊(單板)來實(shí)現(xiàn)園區(qū)內(nèi)部的邊界防御功能。
園區(qū)網(wǎng)中防火墻功能無論是獨(dú)立設(shè)備部署還是集成在核心/匯聚交換機(jī)內(nèi)部,都必須支持靈活的業(yè)務(wù)流控制策略配置,能把特定的流量引到防火墻進(jìn)行處理,其他流量進(jìn)行旁路。
防火墻本身需要保證高可靠性,需要考慮防火墻的冗余設(shè)計(jì),支持Active/Active HA 設(shè)計(jì)方式,即交換機(jī)內(nèi)集成的多塊防火墻板卡支持負(fù)載分擔(dān)和主備模式,不同交換機(jī)內(nèi)的防火墻支持Active/Active模式,同時(shí)能夠處理流量。
園區(qū)網(wǎng)出口安全
隨著現(xiàn)代社會(huì)網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展,企業(yè)日益發(fā)展擴(kuò)大,辦事處、分支機(jī)構(gòu)以及商業(yè)合作伙伴逐步增多,如何將這些小型的辦公網(wǎng)絡(luò)和企業(yè)總部網(wǎng)絡(luò)進(jìn)行經(jīng)濟(jì)靈活而有效的互聯(lián),并且與整個(gè)企業(yè)網(wǎng)絡(luò)安全方案有機(jī)融合,提高企業(yè)信息化程度,優(yōu)化商業(yè)運(yùn)作效率,成為企業(yè)IT網(wǎng)絡(luò)設(shè)計(jì)亟待解決的問題;大量普及的SOHO網(wǎng)絡(luò)、小型辦公網(wǎng)絡(luò)、智能家居網(wǎng)絡(luò)也越來越注重接入的便捷性和網(wǎng)絡(luò)安全性。
企業(yè)園區(qū)網(wǎng)出口設(shè)備是企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點(diǎn),其安全保證能力非常重要,企業(yè)在信息化的過程中面臨核心技術(shù)、商業(yè)機(jī)密泄密等信息安全問題,VPN技術(shù)是企業(yè)傳輸數(shù)據(jù)非常理想的選擇,因?yàn)閂PN技術(shù)正式是為了解決在不安全的Internet上安全傳輸機(jī)密信息,保證信息的完整性、可用性以及保密性,包括IPSec VPN和SSL VPN。企業(yè)辦事處、分支機(jī)構(gòu)以及商業(yè)合作伙伴如果采用主機(jī)VPN客戶端接入企業(yè)總部網(wǎng)絡(luò),那么分之機(jī)構(gòu)網(wǎng)絡(luò)中的每個(gè)主機(jī)需要單獨(dú)撥號(hào)接入,VPN接入不可控造成內(nèi)部網(wǎng)絡(luò)安全隱患,同時(shí)也大量消耗企業(yè)總部VPN網(wǎng)關(guān)隧道資源;如果采用單獨(dú)的VPN網(wǎng)關(guān)與企業(yè)總部網(wǎng)關(guān)建立VPN隧道,又面臨投資過大的問題。需要有效解決企業(yè)分支機(jī)構(gòu)VPN接入靈活性、安全性和經(jīng)濟(jì)性之間的矛盾。
數(shù)據(jù)中心安全設(shè)計(jì)
數(shù)據(jù)中心的安全對(duì)企業(yè)來說,非常重要,企業(yè)在享受數(shù)據(jù)中心帶來生產(chǎn)力提高的同時(shí),其內(nèi)在的安全建設(shè)成為了業(yè)內(nèi)的熱點(diǎn)。讓數(shù)據(jù)中心遠(yuǎn)離安全威脅,促使其在管理、運(yùn)維上向安全靠攏,已經(jīng)成為建設(shè)的趨勢(shì)。
數(shù)據(jù)中心的網(wǎng)絡(luò)安全設(shè)計(jì)中,我們采用以兩臺(tái)交換機(jī)為中心的雙星型冗余結(jié)構(gòu)的網(wǎng)絡(luò),可以在網(wǎng)絡(luò)交換機(jī)上通過插卡的方式實(shí)現(xiàn)防火墻、負(fù)載均衡等功能,保障數(shù)據(jù)中心的安全。
防火墻的目的是要在內(nèi)部、外部兩個(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn),通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。具體地說,設(shè)置防火墻的目的是隔離數(shù)據(jù)中心和局域網(wǎng),保護(hù)數(shù)據(jù)中心不受攻擊,實(shí)現(xiàn)以下基本功能:
負(fù)載均衡的作用是可以為用戶訪問數(shù)據(jù)中心時(shí),能夠?qū)崿F(xiàn)應(yīng)用級(jí)的負(fù)載分擔(dān)。
無線安全設(shè)計(jì)
無線局域網(wǎng)(WLAN)具有安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約、易于擴(kuò)展等有線網(wǎng)絡(luò)無法比擬的優(yōu)點(diǎn)。但是由于無線局域網(wǎng)開放訪問的特點(diǎn),使得攻擊者能夠很容易的進(jìn)行竊聽,惡意修改并轉(zhuǎn)發(fā),因此安全性成為阻礙無線局域網(wǎng)發(fā)展的最重要因素。園區(qū)用戶大多容易接受新鮮事物,雖然一方面對(duì)無線網(wǎng)絡(luò)的需求不斷增長,但同時(shí)也讓許多潛在的用戶對(duì)不能夠得到可靠的安全保護(hù)而對(duì)最終是否使用無線局域網(wǎng)猶豫不決。
目前有很多種無線局域網(wǎng)的安全技術(shù),包括物理地址(MAC)過濾、服務(wù)集標(biāo)識(shí)符(SSID)匹配、有線對(duì)等保密(WEP)、端口訪問控制技術(shù)(IEEE802.1x)、WPA (Wi-Fi Protected Access)、IEEE 802.11i等。面對(duì)如此多的安全技術(shù),應(yīng)該選擇哪些技術(shù)來解決無線局域網(wǎng)的安全問題,才能滿足用戶對(duì)安全性的要求。
上一頁