版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第6章网络安全设备网络设备是计算机网络系统构成的基础组件。本章对网络设备安全进行分析,并在此基础上深入介绍了安全路由器、安全交换机基本原理和功能需求。
6.1概述今天的企业越来越多地把关键业务应用、语音、视频等新型应用融合到IP网络上,一个安全、可靠的网络是企业业务成功的关键。但是随着网络应用的不断深入和广泛,网络自身安全的威胁和问题也愈发严重和复杂。从网络设备角度来看,以下是常见的安全威胁:·蠕虫/病毒/垃圾邮件在网上泛滥;·黑客恶意攻击,DDoS拒绝服务攻击;·管理人员对网络设备的简单配置和随意部署;·内部用户任意下载/拷贝;·内部人员无意或有意尝试闯入敏感区域。这些问题,都对网络自身的稳定运行带来了极大的安全隐患,问题一旦发作,会导致网络设备资源耗尽,网络带宽被塞满,网络系统无法正常工作,使得企业业务不能有效进行,应用系统被侵入或篡改,造成的损失非常巨大,后果极为严重。由于在网络设计的初期,缺少对网络安全的整体考虑,特别是没有从网络自身层面去规划安全的要素,导致"头痛医头,脚痛医脚",完全是"救火式"网络安全保护,结果自然是:·网络安全各个部分相互独立,各行其道;·网络设备没有安全保护,只是区域的边界安全;·安全防范效果不明显,原有安全问题依然存在;·对于新出现的攻击、病毒和蠕虫不能适应,被动地响应;·即使发现问题,也缺乏跟踪定位、有效隔离、快速消除的能力。因此,需要从网络自身基础架构的层面上,考虑安全、规划安全、部署安全和实施安全。安全已经不是网络中的一个选项,安全是网络中必不可少的重要组成部分,通过智能集成,分工协作,全局部署,做到真正融于网络内部,真正成为网络规划的核心,真正确保整体网络的稳定、可靠、高效运营。网络设备包括主机(服务器、工作站、PC)和网络设施(交换机、路由器等)。网络设备的安全始终是网络信息安全的一个重要方面,攻击者往往通过控制网络中设备来破坏系统和信息,或扩大已有的破坏。加强安全性的网络设备是对普通网络设备的升级和完善,除了具备一般的功能外,安全的网络设备还具备普通网络设备所不具有的安全策略功能。这种网络设备从网络安全和用户业务应用出发,能够实现特定的安全策略,限制非法访问,进行事后分析,有效保障用户网络业务的正常开展。实现安全性的一种作法就是在现有网络设备中嵌入各种安全模块。现在,越来越多的用户都表示希望网络设备中增加防火墙、VPN、数据加密、身份认证等功能。6.2网络设备安全防护网络自身安全保护要求网络设备自身具备多种安全保护的功能与能力,从控制平面、管理平面和数据平面三个方面实现立体化全面安全防范机制,使得作为网络基本组成部分的每个元素都能够实现自我保护,自我安全。6.2.1控制平面保护即使是最健全的软件设施和硬件架构,面对拒绝服务(DDoS)攻击也存在漏洞。为阻止这种以及类似的威胁网络核心的行为,要求网络设备增添可编程监管功能,它可以限制目的地为控制平面的流量速率或监管该流量,称之为控制平面监管功能(CPP)。即使是在DDoS攻击发生的时候,CPP也可以确保对控制层面的访问。对控制层面实施安全防护是保证网络设备基本功能的重要手段。1.系统阈值保留技术网络设备应该允许根据内存使用情况设置总体内存阈值,当达到阈值时系统将及时发布通知。通过预留CPU和内存,该特性使设备在可能是由于攻击所造成的高负载情况下,依然能够保持运行。2.安全高效的交换转发在大规模的动态网络中,需要能提供更好的交换的一致性和稳定性。在动态网中,因为路由的改变会导致快速交换高速缓存条目频繁地失效,这些变化可能的结果就是要通过路由表对数据进行过程交换,而不是通过路由高速缓存进行快速交换。
Cisco快速转发(CiscoExpressForwarding,CEF)是一种高级的第三层IP交换技术,可以优化像Internet这样带有大规模的、动态数据流的网络的性能和伸缩性,CEF是一种分散式交换机制,它随着接口卡数量和安装在路由器中带宽的变化而线性地变化。和常规的快速交换路由相比较,CEF可以使用较少的内存容量来实现数据链的转发,这样,就可以节省更多处理器的资源,使得处理器能够专用于第三层的服务。当启用分散式CEF模式时,CEF的每个线路卡上维护着一个与转发信息库(ForwardingInformationBase,FIB)和邻接表相同的拷贝,它能独自提供完全的交换能力。因为FIB查阅表中包含所有路由表中已知的路由,这样就不用维护路由高速缓存,也不用采用快速交换和过程交换相互转换这种转发方案。CEF能够比典型的高速缓存技术更稳定可靠地交换数据流。
CEF的先进交换技术具备抵抗类似蠕虫网络病毒攻击的能力。3.路由协议安全认证作为网络的基础设备--路由器,其基本功能是实现直接将报文发送到正确目的地和维持路由器用来决定正确路径的路由选择表。路由协议安全的重要性也是不言而喻的。路由协议的安全认证主要包括过滤路由广播和安全认证。通过过滤路由广播,路由协议能禁止路由信息广播到相邻设备,保护网络地址信息的某一部分。安全认证则是指一些路由协议(如OSPF、BGP4等)在进行路由表更新前先要对相邻的路由设备进行安全认证,保证邻居身份的正确性,阻止来自其他子网"非法"设备的"非法"连接和"非法"信息交换,确保自身路由设备之间路由信息正确传递,路由表计算正确,避免网络路由信息泄露,实现整个网络架构稳定可靠运行。6.2.2管理平面保护对网络设备的安全有效管理是确保网络设备功能的必须环节。1.基于角色权限的管理访问不同级别的设备访问者需要有不同的权限,超级管理员和普通管理员是完全不一样的。基于角色的CLI接入的应用包括网络管理员为安全人员提供对于某种功能的接入能力,即一组运行指令和配置功能,提供了对网络设备的可选或部分接入限制,可以定义可接受的指令和可视的配置信息。2.Console和Telnet的安全控制管理网络设备需要具备对于Console、Telnet管理访问验证、授权和记账(AAA)网络安全服务,提供在路由器或接入服务器上设置接入控制的主要架构。AAA允许管理员利用应用于特定服务或接口的方式列表,在每行(每位用户)或每项服务(如IP、IPX或VPDN)的基础上,动态配置所需要的验证和授权类型。3.安全管理协议SNMPv3SNMP发展主要有3个主版本,分别为SNMPv1、SNMPv2和SNMPv3。由于安全性特性,建议尽量采用SNMPv3。简单网络管理协议版本3(SNMPv3)是一种用于网络管理的可互操作的标准协议。SNMPv3能够在网络上将分组验证和分组加密结合在一起,提供安全设备访问。SNMPv3中提供的安全特性包括:·消息完整性-保证信息在传输过程中未被篡改;·验证-确定消息来源是否可靠;·加密-对信息内容加密,防止未授权用户阅读。4.安全Shell管理保护SecureShell版本2(SSHv2)提供了强有力的新型验证和加密功能,增加了很多通过加密连接传输各种流量的方法,包括文件复制和电子邮件协议。另外,安全性也通过新增的验证功能得到了增强,包括数字证书和越来越多的双重身份验证方式。5.USB安全令牌和Flash存储随着USB应用的流行,新型的网络设备配置USB端口,与可选USB令牌共用,进行安全配置分发和VPN证书平台外存储。通过将USB令牌用于安全证书,网络管理员可以分别订购路由器和令牌,以确保安全的管理。6.Netflow流量统计分析Netflow技术(详见11.3节)利用分析IP数据包的属性,可以快速区分网络中传送的各种不同类型业务的Flow。对区分出的每个数据流Netflow可以进行单独地跟踪和准确计量,记录其传送方向和目的地等流向特性,统计其起始和结束时间、服务类型、包含的数据包数量和字节数量等流量信息。利用Netflow技术,运营商管理员主要可以实现对网络异常通信的检测,重点防范DDoS攻击和大范围的蠕虫病毒发作,在网络设备上启动Netflow
并把Netflow采集到的网络通信流量和流向数据发送给运营商安全管理中心部署的相应Netflow分析和安全管理系统。管理系统通过分析日常Netflow采集到的统计数据,可以事先掌握网络的流量分布状况以及全网通信的正常基线,并以此为依据为日后可能出现的通信异常进行评估。根据分析出的异常通信的具体属性,以及与网络通信正常基线的比对,管理员可以快速定性出现的通信异常是否为网络安全攻击、确定安全攻击的类型和评估本次攻击的危险程度及可能造成的影响范围。对会造成大范围网络影响甚至业务瘫痪的恶性安全攻击需要进行实时告警。管理员可以利用管理系统对Netflow采集到的原始攻击数据包的具体特性进行察看,查找最先出现攻击的数据源,以及随时间的发展是否还有其他新的安全攻击数据源的出现。在确认了所有主要安全攻击的来源后,管理员可根据本次所受攻击的特点采用相应技术手段实施事故应急处理,如为出现攻击的网络端口配置入向或出向的访问控制列表,对特定类型通信流量进行限速等。通过这些技术措施可以对网络安全攻击流量进行阻断,防止其对大范围网络的运行造成影响。6.2.3数据平面保护保护经过网络设备的数据是网络设备的最终目标,对网络设备相关数据的保护,称之为数据平面的保护。1.MAC泛滥攻击防范交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常所说的CAM表。CAM表的大小是固定的,不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM表,交换机CAM表被填满。黑客发送大量带有随机源MAC地址的数据包,这些新MAC地址被交换机CAM学习,很快塞满MAC地址表,这时新目的MAC地址足的数据包就会广播到交换机所有端口,交换机就像共享HUB一样工作,黑客可以用sniffer工具监听所有端口的流量。此类攻击不仅造成安全性的破坏,同时大量的广播包降低了交换机的性能。限制单个端口所连接MAC地址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击,macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包,可以在不到10秒的时间内填满交换机的CAM表。采用交换机的端口安全(PortSecurity)和动态端口安全功能可阻止MAC泛滥攻击。例如交换机连接单台工作站的端口,可以限制所学MAC地址数为1;连接IP电话和工作站的端口可限制所学MAC地址数为3;IP电话、工作站和IP电话内的交换机。通过端口安全功能,网络管理员也可以静态设置每个端口所允许连接的合法MAC地址,实现设备级的安全授权。动态端口安全则设置端口允许合法MAC地址的数目,并以一定时间内所学习到的地址作为合法MAC地址。通过配置端口安全端口安全机制可以控制:端口上最大可以通过的MAC地址数量、端口上学习或通过哪些MAC地址和对于超过规定数量的MAC处理进行违背处理,这样可以有效防护MAC泛滥攻击。2.DHCP窥探保护(1)采用DHCP管理的常见问题采用DHCPServer可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数,简化了用户网络设置,提高了管理效率。但在DHCP管理使用上也存在着一些令网管人员比较头疼的问题,常见的有:•DHCPServer的冒充;•DHCPServer的DoS攻击;·有些用户随便指定地址,造成网络地址冲突;·由于DHCP的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台DHCP服务器将会给网络造成混乱;·由于不小心配置了DHCP服务器引起的网络混乱也非常常见。黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求,直到DHCP服务器对应网段的所有地址被占用,此类攻击既可以造成DoS的破坏,也可和DHCP服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。DHCP服务器欺诈可能是故意的,也可能是无意启动DHCP服务器功能,恶意用户发放错误的IP地址、DNS服务器信息或默认网关信息,以此来实现流量的截取。(2)DHCPSnooping技术DHCPSnooping技术是DHCP安全特性,通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。通过截取一个虚拟局域网内的DHCP信息,交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色,“DHCP监听"功能基于动态地址分配建立了一个DHCP绑定表,并将该表存储在交换机里。在没有DHCP的环境中,如数据中心,绑定条目可能被静态定义,每个DHCP绑定条目包含客户端地址(一个静态地址或者一个从DHCP服务器上获取的地址)、客户端MAC地址、端口、VLANID、租借时间、绑定类型(静态的或者动态的)。如下所示:何DHCP响应,因此欺诈DHCP响应包被交换机阻断,合法的DHCP服务器端口或连端口应被设置为信任端口。首先定义交换机上的信任端口和不信任端口,对于不信任端口的DHCP报文进行截获和嗅探,DROP掉来自这些端口的非正常DHCP响应报文,如图6-1所示。3.ARP欺骗防护ARP欺骗攻击原理在本书2.2.1节有详细介绍。ARP欺骗可以通过动态ARP检查(DAI,DynamicARPInspection)来防止,它可以帮助保证接入交换机只传递"合法"ARP请求和应答信息。DHCPSnooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联。动态ARP检测(DAI,DynamicARPInspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的ARP所有者。Catalyst交换机通过检查端口记录的DHCP绑定信息和ARP应答的IP地址决定是否为真正的ARP所有者,不合法的ARP包将被删除。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭,如果ARP包从一个可信任的接口接受到,就不需要作任何检查,如果ARP包在一个不可信任的接口上接收到,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,DHCPSnooping对于DAI来说也成为必不可少的,DAI是动态使用的,相连的3客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器,个别机器可以采用静态添加DHCP绑定表或ARPaccess-list实现。另外,通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率超过预先设定的阈值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。4.虚假IP地址欺骗保护除了ARP欺骗外,黑客经常使用的另一种手法是IP地址欺骗,其目的一般为伪造身份或者获取针对lP/MAC的特权。此方法也被广泛用作DoS攻击,目前较多的攻击是:PingOfDeath、Synflood、ICMPUnreachableStorm。如黑客冒用A地址对B地址发出大量的ping包,所有ping应答都会返回到B地址,通过这种方式来实施拒绝服务(DoS)攻击,这样可以掩盖攻击系统的真实身份。富有侵略性的TCPSYN洪泛攻击来源于一个欺骗性的IP地址,它是利用TCP三次握手会话对服务器进行颠覆的又一种攻击方式。一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。另外病毒和木马的攻击也会使用欺骗的源IP地址。互联网上的蠕虫病毒也往往利用欺骗技术来掩盖它们真实的源头主机。源地址保护(IPSourceGuard)技术可以根据DHCP侦听记录的IP绑定表动态产生PVACL,强制来自此端口流量的源地址符合DHCP绑定表的记录,这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了,这个技术将只允许对拥有合法源地址的数据包进行转发,合法源地址是与IP地址绑定表保持一致的,它也是来源于DHCPSnooping绑定表。因此,DHCPSnooping功能对于这个功能的动态实现也是必不可少的,对于那些没有用到DHCP的网络环境来说,该绑定表也可以静态配置。IPSourceGuard不但可以配置成对IP地址的过滤,也可以配置成对MAC地址的过滤,这样,就只有IP地址和MAC地址都于DHCPSnooping绑定表匹配的通信包才能够被允许传输。此时,必须将IP源地址保护IPSourceGuard与端口安全PortSecurity共同使用,并且需要DHCP服务器支持Option82时,才可以抵御IP地址+MAC地址的欺骗。5.单播逆向路径转发检查URPFCheck
单播逆向路径转发,UnicastReversePathForwarding(单播RPF)主要应用在路由器和高端交换机中,目的是网络设备可以检查数据包的源地址,在FIB表中查找该源地址是否与数据包的来源接口相匹配,如果没有匹配表项将丢弃该数据包,其目的是预防IP欺诈,特别是对于伪造IP源地址的拒绝服务(DoS)攻击非常有效。6.阻挡不明交换设备的接入BPDU/RootGuard
在实际网络环境中,经常有些用户有意或无意地将未经允许的交换设备串接至用户端口,新增交换机的BPDU(BridgeProtocolDataUnit)信息可能会导致整个网络第二层网络逻辑拓扑结构变化,引起网络架构震荡;更为严重的是,黑客可能假冒第二层STP(Spanning-treeProtocol)信息包冲击甚至改变整个网络二层结构,夺取网络STP中Root的位置,使得网络无法正常工作。因此对于STPBPDU信息和STPRoot的保护,是避免不明交换设备任意接入的根本保障。BPDUGuard技术在交换机端口上启用后,一旦收到其他交换机的BPDU信息,此端口立刻Shutdown(防止接口连入交换机),必须由网络管理员手工恢复。ROOTGuard技术,则是在和指定端口(DP)端口上实现,该端口不会改变,只会是DP,这样可以防止新加入的交换机成为root,该端口就变成永久的DP,若新加入的交换机想成为root,则它的端口将不能工作,直到这个新交换机做根端口(RP)为止。这两个简单的二层STP保护功能,完全防范了不明交换设备的"非法"接入,保证了整个网络交换架构的稳定可靠,是网络自身安全的重要保护手段。7.PVLAN专用VLAN技术专用VLAN能够限制VLAN中的哪些端口可以与处于同一VLAN中的其他端口通信。一般情况下,部署专用VLAN的目的是使某个网段上的主机只能与其默认网关通信,而不能与网络上的其他主机通信。例如,如果Web服务器遭到了Code-Red红色代码的破坏,即使其他Web服务器也在这个网段中,也不会被感染。这种访问控制的实施方式是将主机分配给隔离端口或小组端口,有效地减小受感染主机可能造成的危害。隔离端口只能与异类端口(一般为路由器)通信。小组端口既可以与异类端口通信,也可以与同组中的其他端口通信。8.AccessControlLists访问控制访问控制列表(ACL)采用的是包过滤技术,能够在交换设备上读取第二/三/四层包头中的信息(如源地址、目的地址、源端口、目的端口等),根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。网络中的节点类型主要分为资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。网络设备需要具有丰富的ACL访问控制能力,诸如RouterACL、VLANACL、Time-basedACL、Port-basedACL等,其中有很多是针对园区交换网络专门设计应用的,同时很多ACL都是通过硬件机制(如专用芯片)实现处理转发的,进一步确保在高速交换网络中的传输性能,真正做到了安全、高效、可靠。9.网络准入控制NAC病毒和蠕虫继续大行其道,导致系统中断、工作效率降低以及不断的修复工作。新型攻击的自传播本质使其威胁范围和破坏程度空前严重。现有的防病毒解决方案只依赖于识别攻击签名,已经无法检测和牵制"初始"病毒及其发动的拒绝服务攻击(DoS)。NAC网络准入控制可防止新病毒入侵网络,解决环境的复杂性问题,同时提供超越"点安全技术"(pointsecurity)的优势。"点安全技术"只关注主机,而不是考虑网络的全局可用性和企业的整体弹性,即系统的持续可用性。
允许各机构实施主机补丁策略,将不符合安全策略要求及可疑的系统放置到隔离环境中,限制或禁止其访问网络。NAC允许符合安全要求的可信端点设备(trustedend
pointdevices)访问网络(如PC、服务器及PDA等),同时限制不符合安全策略要求的设备访问网络。访问决策可根据端点的防病毒状态及操作系统的补丁级别做出。NAC详细介绍参见本书5.4.1节。10.安全的IP数据、语音和视频V3PNV3PN提供的VPN基础设施能够在支持QoS、高度安全的IPSec网络上实现数据、语音和视频的融合,使利用IP传输网络的客户能够获得与WAN链路同等的语音和视频应用传输安全性和有效性。要通过IPSecVPN提供高质量语音和视频传输,不仅需要对流量加密,还需要采用各种多服务和IPSecVPN技术。V3PN技术包括以多服务为中心的QoS、对各种流量类型的支持、对多服务网络拓扑的支持以及增强型网络故障恢复功能。11.动态多点VPN(DMVPN)DMVPN为可以扩展的按需全网状VPN,不但能缩短延迟,保留带宽,还能简化VPN部署。DMVPN可以动态配置通用路由封装GRE通道、IPSec加密、下一跳解析协议(NHRP)、最短路径首先打开(OSPF)和增强内部网关路由协议(EIGRP)。这种VPN隧道的动态配置与服务质量(QoS)和IP组播等技术相结合,能够优化语音和视频等对延迟敏感的应用。另外,DMVPN还能减轻管理负担,因为添加新分支或设置分支间的连接时,不需要对中心进行任何重新配置。12.基于网络的应用识别NBAR基于网络的应用识别(NBAR)是一种新的分类引擎,可以识别被请求的应用的类型。识别对象包括多种应用,例如基于Web的应用和客户端/服务器应用。在识别出应用的类型之后,该技术可以与QoS功能协作,确保网络使用针对某种特定应用的特殊功能。NBAR和QoS确保了企业可以根据自己的目标,最有效地利用自己的可用网络带宽。这包括多种功能,例如能够保障为关键的应用提供一定数量的带宽,限制为较不重要的应用提供带宽,丢弃所选中的数据分组以避免网络拥塞,以及为分组加上标签,以确保网络可以提供端到端的QoS。13.陷阱路由器设置一个陷阱路由器有助于在没有使用网络入侵检测系统NIDS的情况下,找出系统中被蠕虫感染的系统。这种方法将使用没有被互联网地址指派机构分配的、可能被SQLSlammer用于发动攻击的地址。陷阱路由器将只在本地登记这些网络,任何到达这些网络的尝试随后会被路由到路由器。14.相关网络安全特性的集成防火墙功能逐渐成为网络设备的基本功能之一,比如在路由器上,能够保护网络的WAN入口。虽然网络中心是设置防火墙和检查恶意流量的常用位置,但并不是部署网络安全功能的唯一位置,分支机构也是网络设备中部署防火墙功能和检查恶意流量的重要位置。一般网络设备主要安全特性包括:·状态化防火墙,包括DoS保护;·提高对应用、流量和用户的感知,以便识别、检查和控制应用;·对语音、视频及其他应用执行高级协议检查;·对每个用户、接口或子接口实施安全策略;·提供紧密集成的认证服务,对每个用户执行验证和授权;•IPS入侵防护功能。
6.3安全路由器安全路由器就是在传统路由器技术的基础上,增加自身的基于软件或硬件的安全能力,使路由器从只管传送数据到数据和安全兼顾的转变。新一代路由系统提供虚拟和分隔化安全保护,采用分布式、模块化的软件微内核架构,可以通过跨越管理、控制和数据面板的内嵌检测、访问控制和流程隔离技术,支持高度安全、持续的系统运营。这里的控制面板、管理面板和数据面板分别对应上节中控制平面、管理平面和数据平面说法。6.3.1模块分隔系统下例是一个典型的新一代路由平台示例,采用的是模块化、分布式的微内核操作的分隔系统(如图6-2所示)。此模块化架构在逻辑上和物理上都具有分布式的特性(如图6-2所示),因而可以在创建一个高度可用的、安全的路由平台和网络方面提供巨大的优势。分散的软件组件(子系统)被部署为独立的软件流程,运行在它们自己的受保护的内存地址空间中。这可以在发生安全事件时实现真正的故障隔离和分区,防止一个子系统中发生的故障对其他的子系统造成不利影响。与FreeBSD、Unix这样的单内核架构不同,网络堆栈(例如TCP)作为一个单独的进程,在微内核之外运行。因此,即使TCP堆栈受到安全威胁,系统仍然可以正常运行。在需要恢复服务时,相关流程会自动重启,不需要人为干预。此外,模块化软件架构和服务中软件升级(ISSU)支持让用户可以在不关闭整个系统的情况下,迅速地安装一个补丁。这种分布式系统保持深入的故障隔离和实现安全检测,它在三个面板之间对流程进行了逻辑分配。每个面板都采用了自己的访问控制机制,以实现网络的安全运行。这三个面板分别是:控制面板、数据面板和管理面板。6.3.2控制面板保护所有路由控制信息都在控制面板进行交换,这使得控制面板及其组件成为下一个攻击目标。为了支持可扩展性和性能,控制面板采用分布式、冗余的路由处理器-对称式多处理器(SMP)CPU。在正常情况下,设备所传输的流量由它的线卡以线速进行处理。但是,在发生意外情况时,分组数据被转发到路由器本身。这些由路由协议、互联网控制消息协议(lCMP)和网络管理分组构成的"转移分组"将从线卡分组处理器发送到线卡CPU或者路由处理器CPU。为了防止控制面板在一个开放的环境中遭受DoS攻击,线卡和分组处理器中分配了多种层次化的安全特性:·动态控制面板保护(DCPP)·自动控制面板拥塞过滤器·控制面板生存时间(TTL)完整性检查(RFC3682,GTSM)·边界网关协议(BGP)路由协议过滤和路由策略语言(RPL)1.动态控制面板保护由于违反规定的行为(例如入侵者转移或者分析网络流量)所导致的未经授权的或者恶意的路由更新可能会威胁网络安全。基于报文摘要算法5(MD5)的相邻路由器身份验证是避免伪装的一种常用方法,确保了路由器从某个可靠的来源获得可靠的信息。如果伪装的BGP分组开始涌向路由器,接收路径访问控制列表(ACL)和模块化QoSCLI(MQC)速率限制能够准确地控制这些分组的传输。但是,ACL和MQC控制并不是自动进行的。如果BGP对等主机关机或者重启,第四层端口编号就会随着每个进程的重新建立而改变。如何寻找一种自动、动态的方式来准许经过设置的BGP对等进程和丢弃未经设置的进程呢?可以采用DCPP技术方法,经过正确设置的BGP对等进程会自动获得足够的资源,而未经设置的进程则会被丢弃或者获得最低限度的处理。这种准许拒绝模式建立在静态设置的IP地址和动态的第四层端口号之间的关联关系的基础上。在身份验证和建立最大限度的准入控制之前,需要为初始连接设置不同的资源策略。控制面板分组必须经过一个多层次的事先筛选流程,直到得到一个内部搜索表的授权之后,它们才会获得足够的资源。2.自动控制面板拥塞过滤器在严重的DoS或者DDoS攻击导致线卡超出容量时,控制机制会需要以特定用途集成电路(ASIC)的速度执行,将超出线卡容量的分组导入第三层模块化服务卡(MSC)上的硅分组处理器,从而确保控制面板分组得到优先处理。在网络管理员利用其他安全工具安装缓解方案以解决问题时,这种功能可以保持拓扑的完整性。3.控制面板TTL完整性检查(RFC3682,GTSM)大部分控制协议对等进程都建立在相邻或者直连的路由器之间。在GTSM(过去被称为BGPTTL安全破解[BTSH])出现之前,从非定向对等节点发往路由器的BGP分组必须由路由器CPU进行处理。在生成大量这类分组时,它会导致一个严重的DDoS攻击,从而耗尽CPU资源。现在,管理员可以利用GTSM对BGP对等分组进行TTL检查,从而在MSCSPP中有效地阻止所有非定向BGP伪装分组。这些技术还可用于很多其他的应用,例如标签分发协议(LDP)和资源预留协议(RSVP)。RSVP可以利用通用GTSM的功能。6.3.3数据面板保护数据面板可以接收、处理和传输网络组件之间的网络数据,控制进出路由器的大量网络流量。为了防止数据面板流量遭受已知的攻击,路由系统的转发引擎中需要一些缺省的完整性检查。(1)ACLACL(包括IPv4和IPv6)是很多路由器数据面板应用例如分组分类、速率限制、统计和审核的一个重要组成部分。(2)uRPF
uRPF(严格和松散模式)可以通过丢弃缺乏可验证的IP源地址的IP分组,解决因为在网络中引入错误的或者伪装的IP源地址所导致的问题。当某个接口启用uRPF
严格模式时,路由器会检查接收到的所有分组,验证源地址和接口是否出现在路由表中,以及与收到分组的接口是否匹配。uRPF松散模式是在ISP行业广泛使用的触发式黑洞过滤技术的基础。在松散模式下,uRPF可以根据源IP地址有效地丢弃DoS和DDoS攻击分组,并在很短的时间内将该方案发送到数百台路由器。(3)NetFlow
记账是网络管理在流量工程、网络监控和计费领域的一个不可或缺的组成部分。NetFlow最初是一个记账应用,在查看单个分组报头的内部信息、按照不同的流量等级汇总分组,以及搜集每个流量等级的统计数据和详细路由信息方面提供一种有效的机制。它可以精确地发现流量的细微行为,从而为流量工程和安全分析提供支持。(4)静态NetFlow和分组监听与动态的NetFlow不同,静态NetFlow对待分组流的方式与ACL处理数据的方式很类似,但是它具有一些扩展字段,例如源或者目的地自治系统号和多协议标签交换(MPLS)标签。利用静态NetFlow,管理员可以定义一个带有扩展ACL的数据流过滤器,以跟踪某个特定数据流的分组或者字节计数器。大量的NetFlow数据能够与某个扩展ACL关联,从而让操作人员可以过滤其他数据,直接找到他们所感兴趣的数据流,从而为防御DoS和DDoS攻击创造了又一个有效的工具。6.3.4管理面板保护管理面板是所有与路由平台的系统管理有关的流量的逻辑路径。在一个分布式、模块化的环境中,管理面板可以提供新的复杂度等级,因而提高了对于确保安全访问的要求。这种安全访问最好通过下列手段实现:(1)拒绝缺省访问一个已知的、常见的系统漏洞是在缺省情况下启用某些协议。这些开放的端口导致了一些让人侵者有可乘之机的安全漏洞。新型路由平台采用了专门的设计,即在缺省配置下关闭所有这些服务,直到由操作人员手动启用这些服务。(2)身份验证、授权、记账(AAA)和加密协议所有对路由器的访问和路由器对外的访问都应当被加密和控制。利用ACL,还可以使用其他的控制功能,将访问权限只限制于特定的源主机。每个用户都可以被明确归于某个AAA区域,以反映用户的访问权限。(3)隔离管理端口核心路由器和交换机通常都带有专用的管理以太网端口,它们可能会导致对设备的不安全访问。隔离数据和控制面板流量可以防止它们不会"干扰"。(4)基于角色的权限模式因为未经授权的或者缺乏经验的网络操作人员可能会对系统的可用性造成威胁,服务供应商需要用灵活的方法,根据用户所设定的标准分配操作人员的权限。6.4安全交换机安全交换机就是在传统交换机技术基础上,增加基于软件或硬件的安全能力,使交换机增强安全保护能力。特别是在企业网络中,基于交换平台的攻击手段越来越多,安全交换机可以提供网络安全的第一层防御。交换基础设施是企业总体安全战略的关键组成部分,交换设备本身遭受的威胁和可能从与网络连接的终端发动的攻击,会影响处于网络业务部门控制之下的交换机、路由器和终端,所以安全问题在网络的每个层面都应当引起足够的重视,交换设备能够具有内置的安全功能,以保护交换机本身和与它们连接的用户。思科交换机硬件和软件中内嵌的安全机制提供了针对大多数攻击的工具和保护,从而让用户可以防范攻击。思科安全交换机可以提供信任关系和身份识别保护、威胁防御保护、安全连接保护等几方面的安全保护。6.4.1信任关系和身份识别保护信任关系和身份识别保护功能能确保在交换网络中保持信任关系和身份识别。信任关系和身份识别包括两个基本的组成部分:基于身份识别的网络服务(IBNS)和网络准入控制(NAC)。由于NAC部分内容在第5.4.1节全面介绍,以下只介绍IBNS。基于身份识别的网络服务确保在授予网络的物理访问权限之前,核实和验证用户或者设备的身份证明的真伪,可用于确保只向访问者提供对正确的网络资源的访问权限。大部分企业都要求员工先登录网络,再访问服务器、电子邮件和其他资源;基于身份的网络服务(IBNS)采用了相同的原则。可以将IBNS比做一个拥有护照和航空公司积分卡的旅客。护照可以证明该旅客的身份(通常是安全运营部门的关注重点),而积分卡表明了他应当获得的待遇(通常是网络运营部门的关注重点)。这种能力具有一些明显的优点。首先,因为交换网络是第一道防线,IBNS通过首先允许或者拒绝用户进入网络,提供了第一道防御措施。另外一项优点是它能够根据预定的策略为用户提供相应的服务—无论他们身在何处。最后,在某些网络架构中,用户的身份可以直接对应到某个特定的、独立的工作组或者VPN。IBNS包括以下几个重要的组成部分:1.IEEE802.1x这是一个MAC层协议,能够与一台RADIUS服务器——例如CiscoSecureACS通信,将终端映射到用户名和密码。802.1x标准工作在终端和RADIUS服务器之间。因为这是一种终端协议,一个支持身份识别的网络只有在操作系统支持802.1x的情况下才能正常发挥作用。幸运的是,大部分操作系统——包括WindowsXP/2000/NT,以及MacOS都支持这项功能(这个列表并不详尽,另外还有其他系统也支持该功能)。交换机充当事务处理的智能中间人,在身份验证流程顺利完成的情况下启用端口。实际使用的身份验证机制被称为可扩展身份认证协议(EAP)。EAP包含在802.1x帧中,通过交换基础设施穿越网络,发送到身份验证服务器。2.动态VLAN分配在IBNS上可以实施的第一批策略之一是设置用户所属的VLAN的名称。假设在营销部门工作的工作人员是一个经过身份验证的用户,在身份验证完成之后,CiscoSecureACS就会将用户所属的VLAN名称(即“VLAN营销”)发给交换机。交换机随后会将该名称映射到某个预定的VLAN编号。这可以帮助网络管理人员跟踪和记录用户在网络中的行为,但这并不意味着某个特定的用户在整个网络中始终只使用一个VLAN编号(这种方式会给VLAN的管理带来极大的负担,而且会大幅度增加生成树域的复杂程度)。只有经过设置的VLAN名称会被提供。3.分区IBNS最值得注意的特点之一是它能够根据用户的身份将其划分到不同的工作组或者VLAN。例如,假设一个公司的客户在进入公司办公楼之后,希望将他们的笔记本电脑接入网络,从远程收取他们的电子邮件。该公司肯定不希望这些客户接触到内部网络的保密信息,因此它可以创建一个来宾VLAN以确保企业网络可以避免未经授权的访问,同时客户仍然能够通过互联网访问他们的资源。6.4.2威胁防御威胁防御的目的是防止网络遭受攻击,确保网络可以在发生入侵或者攻击之后恢复正常。交换基础设施负责威胁防御系统的主要部分,因为交换机可能会成为攻击目标,也可能在不知情的情况下协助攻击在网络中的扩散--因为它连接了多个用户和服务器。安全交换机可以为保护自身及其所连接的用户提供重要的功能,以下分成几个方面分别介绍。1.保护交换机配置并控制分组首先,交换机本身可能会成为攻击目标。这些攻击可能以多种形式出现,例如黑客试图进入交换机更改配置,蠕虫填满MAC转发表或者第三层流向表,或者试图篡改控制信息,例如路由更新或者生成树网桥协议数据单元(BPDU)。安全交换机的硬件和软件中内置了可以加强网络自防御能力的安全机制。(1)保护远程接入的安全网络管理人员通常必须要从远程设置设备。这样做的一个明显的好处是:可以在同一个地点集中设置多台交换机。攻击者可能会窃听从网络管理人员的配置基站发往交换机设备的流量,以获取密码或者达到其他恶意目的。确保安全的主要手段之一是通过对流量加密来保护隐私。这是利用SecureShell(SSH)协议实现的。SSH为在不安全的网络中进行安全的远程连接提供了一种有效的方法。数据将通过某个经过加密的隧道发送,以保证数据的正确传输和完整性。隧道两端都会对用户进行身份验证,确保安全的数据传输和复制。这可以有效地避免中间人攻击,确保关键的管理信息不会受到威胁。(2)更改交换机配置更改交换机配置是针对基础设施的攻击的基本类型之一。通过窃取密码,恶意用户可以进入交换机更改配置。这种更改可能很简单(例如从100~1000Mbit/s),也可能极具破坏性,例如更改控制信息(如路由表)。安全交换机可以提供加密的密码和多层客户权限,以确保设备本身不会遭受未经授权的访问。这有助于确保访问权限的层次化—即使在IT部门内部,从而避免让所有的人都有权更改交换机的所有配置。通过结合RADIUS和TACACS(终端访问控制器访问控制系统)+身份验证,这可以确保信任关系和身份识别。这通常是交换机保护的第一个层次。(3)伪装控制信息另外一种常见的攻击方式是伪装控制信息。控制信息—例如路由升级或生成树BPDU对于网络的正常运行具有重要的作用。这些协议可以避免环路,确定让网络可以正确运行的操作方式。一台交换机在收到这些分组之后会采取相应的措施。可能的结果是交换机误以为某个网络位于某个接口之上,或者认为存在另外一个生成树根网桥,从而导致灾难性的后果,严重地影响网络的正常运行。2.针对交换机处理器和转发表的攻击由蠕虫或者病毒发动的DoS攻击通常是针对网络基础设施的。由于它们会阻止主、交换机学习地址和流程控制信息,所以会极大地降低网络的稳定性。这些攻击是目前企业和商业网络中最常见的攻击类型之一,可能会产生严重的影响。因为每种攻击对交换机的影响方式都有所不同,人们也为防范和制止这些攻击开发了不同的工具。这些攻击通常都会用伪造流量拥塞网络,阻碍交换机需要处理的合法流量,例如路由更新、未知MAC地址或者生成树BPDU。3.保护终端设备除了保护自身以外,安全交换机还必须保护它所连接的用户和服务器。与那些会导致网络中断的攻击不同,很多针对用户和服务器的攻击是悄悄进行的。这些通常被称为"中间人"的攻击采用的都是一些可以从互联网上下载的通用工具。这些工具使用的多种机制让恶意用户可以监视其他员工、经理或者高层管理人员,这可能会导致保密信息失窃或者隐私遭到侵犯。如表6-2所示,CiscoCatalyst系列交换机提供的多种功能可以制止这些攻击,保护数据和用户的完整性。6.4.3安全连接安全连接系统通常需要使用VPN。基于公共互联网的VPN需要在客户和企业之间建立一个隐私的、保密和受保护的连接。但是,VPN的概念多年来已经在园区交换的多个方面得到了广泛的应用。安全连接建立在分区的基础之上。分区实际上是指根据多项标准,将网络划分为多个子工作组:网络寻址,用户和配线间的位置,物理工作组—用户的映射关系,连接到网络的用户或者设备的身份识别。安全连接系统的主要组成部分有:虚拟LAN—第二层的流量划分、虚拟防火墙—在VLAN边界执行策略和安全传输—利用多协议标签交换(MPLS)在公共骨干网上划分工作组流量。1.虚拟局域网和专用VLAN从1994年面世以来,VLAN一直是第二层交换的组成部分。它的基本概念相当简单:一个通用的交换基础设施被划分为不同的广播域,每个拥有它自己的LAN。利用思科交换机间连接(lSL)和后来出现的标准IEEE802.1q,这些单独的VLAN可以穿越整个交换基础设施。第三层交换的推出和集中的数据服务器、资源消除了让这些工作组跨越整个企业的需求。但是,很多企业正在重新评
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025届江西省赣州市博雅文高三第四次模拟考试英语试卷含解析
- 2025届上海市金山区高三下第一次测试英语试题含解析
- 江苏省南通市示范中学2025届高考语文倒计时模拟卷含解析
- 2025届皖西省示范高中联盟高三最后一卷语文试卷含解析
- 2025届滨州市重点中学高三3月份模拟考试语文试题含解析
- 2025届吉林省蛟河市高三3月份第一次模拟考试语文试卷含解析
- 《保险公司早会流程》课件
- 《解热镇痛药和非甾》课件
- 北京市东城区示范校2025届高三第二次联考数学试卷含解析
- 2025届贵州省盘县四中高考语文四模试卷含解析
- 2024-2025学年高二上学期期末复习【第五章 一元函数的导数及其应用】十一大题型归纳(拔尖篇)(含答案)
- 【MOOC】法理学-西南政法大学 中国大学慕课MOOC答案
- 2024年民用爆炸物品运输合同
- 辽宁省普通高中2024-2025学年高一上学期12月联合考试语文试题(含答案)
- 【MOOC】信号与系统-北京邮电大学 中国大学慕课MOOC答案
- 2024年商用密码应用安全性评估从业人员考核试题库-上(单选题)
- 幼儿园机器人课件ppt
- 俄语视听说基础教程1
- 如何做好期末复习冲刺期末考试主题班会教育课件ppt模板
- (2021年整理)eviews多元线性回归案例分析
- 团员发展过程纪实簿(2016版本)(可编辑打印标准A4)
评论
0/150
提交评论