计算机城域网安全技术

C

城域网安全

©2001,CiscoSystems,Inc.Allrightsreserved.1

PDFcreatedwithpdfFactoryProtrialversionwww.D

•城域网络安全状况及实施目标

•思科城域网安全解决方案及部署

•总结

©2001,CiscoSystems,Inc.Allrightsreserved.2

PDFcreatedwithpdfFactoryProtrialversionwww.D

运营商宽带城域网组网现状

川I川川川IIIC

核心网络

核心层5c

（核心路由器）

汇聚层

（汇聚路由器）

接入层

（业务接入BRASARBRAAR

控制点.）.......

汇接交换机

厂接交换机

ATMCATV接入网

宽带接入网

小区交换机

DSLAMIP

DSLAM楼道交换机

L小区用户

个人用户公共无线接入

3

网吧用户企V©2001,CiscoSystems,Inc.Allrightsreserved.

PDFcreatedwithpdfFactoryProtrialversion

城域网组网现状

C

•IP城域网的组网结构

0A类：采用高速路由器为核心组建的IP城域网，即以高

速路由器为核心，路由器或交换机作为汇聚层设备（路

由+交换）的三层网络设计。宽带服务器一般挂接在网

络的汇聚层，少数大容量的宽带服务器直接挂接在网络

的核心层。

0B类：采用高速LAN交换机为核心组建的IP城域网，即

以多层交换设备高速LAN交换机和容量适中的高速路由

器为核心，多层交换机作为汇聚层设备的二三层网络设

计。有些交换型网络采用POP点延伸组建的IP城域网，

即依托现有的POP点延伸来组建的IP城域网。

©2001,CiscoSystems,Inc.Allrightsreserved.4

PDFcreatedwithpdfFactoryProtrialversionwww.D

城域网主要安全问题

C

•IP城域网安全已经成为IP网络业务发展的瓶颈

口众多安全威胁发生在城域网，如网络资源滥用，DDoS停止服务攻击，蠕虫泛滥等，导致

城域网不可用或网络服务质量下降

u使IP网络达到电信级标准始终处于不确定中，无法对用户提供SLA承诺

•城域网安全防护的复杂性

口城域网组网架构不统一，设备不统一，安全防护能力各异，不利于安全策略的统一规划

和配置

口二、三层交换型的城域网，对抗攻击能力明显不足

口城域网安全没有形成相应的安全规范，包括技术，产品，业务模式等，缺乏必要的指导

,城域网安全整治缺乏前瞻性全局规划

・城域网安全状态的不可知性和不可控性

U没有有效手段对城域网安全状态时实监控和评估及预警措施

U对城域网络的流量种类及分布没有了解，无法采取措施进行有效的流量控制

U没有专业的安全人员对安全进行管理，还没有明确的安全管理中心的概念

©2001,CiscoSystems,Inc.Allrightsreserved.5

PDFcreatedwithpdfFactoryProtrialversionwww.D

引起城域网安全的原因

C

•终端行为不可控，是攻击的源泉

ii除了认证计费外，基本上是一个完全开放的网络，缺乏对终端有效的安全控制措施

宽带接入服爱器作为业务汇聚的节点，其安全业务功能的配置有待加强，以实现

对ii用户接入业券实B施RA更S严格的控制和管理

•城域网络本身不够安全

口部分以交换型组网作为网络的汇聚或核心层的宽带网络抗攻击的能力弱

u城域网层次结构定义不够清晰，安全策略没有或模糊

U现网设备安全功能在一定程度上存在不同缺陷，如不支持反向地址查询等

U对应用流量控制的能力不够

U对防DDoS攻击没有有效的办法

•安全管理和预警系统不到位

口缺乏对城域网系统化的安全监控手段

U对攻击源的追溯没有系统的方法，无法追查攻击者，缺乏威慑力

©2001,CiscoSystems,Inc.Allrightsreserved.6

PDFcreatedwithpdfFactoryProtrialversionwww.D

城域网安全实施目标

C

•保证业务的持续性，提高网络设施的自我防护的能力，

提高城域网的整体稳定性

•保证业务的可监控性，使城域网具有安全预警和快速响

应和恢复的能力

•保证业务的可控制性，降低城域网安全威胁，提高城域

网整体安全水平

©2001,CiscoSystems,Inc.Allrightsreserved.7

PDFcreatedwithpdfFactoryProtrialversionwww.D

城域网安全的关注点_

111山山IIIIIIIII”11111111II山I”IIII山11111II

MllllIHIIC

主要关注业务的可非信任域

中

持续性，可监测性河

信

任

和可控制性域

C

业务的可持续，可监测，可控制，可盈利o

r

应用安全对象e

P

u

b

=

c

网络服务安全对象—

0W

0L

BA

ON

S

网络基础设备安全对象S

管理平面控制平面数据平面

©2001,CiscoSystems,Inc.Allrightsreserved.8

PDFcreatedwithpdfFactoryProtrialversionwww.D

Agenda

C

•城域网络安全状况及实施目标

•思科城域网安全解决方案及部署

。网络设备层问题及应对

。网络服务层问题及应对

。网路应用层问题及应对

•城域网安全策略总结

©2001,CiscoSystems,Inc.Allrightsreserved.9

PDFcreatedwithpdfFactoryProtrialversionwww.D

C

网络设备层问题及应对

PresentationJD©2003CiscoSystems,Inc.Allrightsreserved.©2001,CiscoSystems,Inc.Allrightsreserved.10

PDFcreatedwithpdfFactoryProtrialversion

思科网络自身安全一三平面立体安全

C

安全的网络必须建立在安全的基础架构上

控制平面，产保护网络设备核心控制平台的业务处

•-+J-♦«•<理转发

3..工..I.,:，.；

，二*三;二T

:球崇海繁.娶懿，缕城

保护网络亍平台的安全访问和信

I

.•.■.i."息收集

保护网络设备数据平台信息数据安全转

发

©2001,CiscoSystems,Inc.Allrightsreserved.11

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备管理安全

C

•设备本身潜在的安全威胁

•对设备的访问限制不严格，无密码加密

•对网络设备的越权访问和控制，造成设备故障

•没有设备访问审计体系，无法确认责任者

•管理信息（管理员密码,SNMP信息，配置文件）泄漏

©2001,CiscoSystems,Inc.Allrightsreserved.12

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备基本管理安全最佳实践

C

方法作用

关闭不必要的服务将网络设备本身的安全威胁减少到最小

SNMPV3安全设置防止管理方面的信息泄漏，侵入

访问控制ACLVTY,console,access,SNMP

OOB带外管理保证管理信息的安全保密和稳定

访问认证AAARadius,TACACS+,Kerberos认证,授权和审计

HTTPS/SSH/SCP安全的连接，保证数据加密

访问授权分级分级授权，以控制不同的访问权限

Syslog送到SOC为安全信息分析提供原始数据

设置NTP保持时间同步，以利于安全信息分析和保证

CPU&MEM报警自动报告设备的威胁

©2001,CiscoSystems,Inc.Allrightsreserved.13

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备控制安全问题和应对

C

•CPU达到100%,网络故障，瘫痪

•路由动荡

•STP算法故障

•控制直接到CPU的数据流量，保证在任何情况下，设备均可

访问和控制

•加强路由认证和控制，防止恶意的路由注入

•优化二层SpanningTree的设计

©2001,CiscoSystems,Inc.Allrightsreserved.14

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备控制安全

■启动CEF快速转发

.....................................................IIIIIIII||1川||||小111111口川111111川1111111111111111711山1C

CiscoExpressForwarding（CEF—思科快速转发）是思科先进的交换转发结

构机制，实现每个数据流每个数据包全硬件处理，避免控制平台受到攻击。

传统流交换方式CEF方式

n---rr•ri・i・—-—-一♦♦・；r♦▼T・；、；一・一■—・一二，♦r

*m：“4—

I••••aIIiIai

(I•«aI(<•(••

>rrti^***-rr

--r...一・••-f

J....tL1JZ2.LI

Sw玳由Process。

MLSFlowCache

相比较传统流交换转发机制，

CEF天生具备抵抗恶意攻击的安全交换转发能力

©2001,CiscoSystems,Inc.Allrightsreserved.15

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备控制安全

■思科网络设备控制平台保护RPRateLimiters

C

・采用控制平面速率限制，可以限制

流向中心处理器的流量速率，保证

CPU的工作状态

UnicastRPRateLimitersIPmcRPRateLimiters

ACLInputICMPRedirectFIBMiss

ACLOutputICMPUnreachablePartial

ACLVACLLogRPFFailureConnected

CEFGleanLayer2PDU

CEFReceiveL2ProtocolTunneling

IPErrorsTTLFailure

IPFeaturesMTUFailure

UnicastRPRateLimitersIPmcRPRateLimiters

©2001,CiscoSystems,Inc.Allrightsreserved.16

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备控制安全

■思科网络设备控制平台保护手段

©2001,CiscoSystems,Inc.Allrightsreserved.17

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备控制安全

■思科网络设备路由协议认证

C

OSPF/BGP

RouterA路由交换RouterB

路由协议认证

7Signature

SignatureRoutingUpdateRoutingUpdate

•确保自身路由设备

之间路由信息正确

传递，路由表计算

OSPF/BGP路由信息正确

•避免网络路由信息

泄露

•保护网络架构免受

干扰，稳定运行

©2001,CiscoSystems,Inc.Allrightsreserved.18

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备控制安全

■网络设备路由控制

HITmrnrnnTnTrn

■■■■m---C

©2001,CiscoSystems,Inc.Allrightsreserved.19

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备控制安全

-BPDU/RootGuard阻挡不明交换设备的接入

WllMlMIlllIlMlllll川lllllllllllllMlC

造成网络

交换机BPDUGuard功能确保

非信任端口一旦受到其它交换机的

BPDU信息，此端口立刻

Shutdown,以防止接入“非法”

交换机。

非授权交换设备

UserAccess的端口只允许

计算机接入，阻止Hub接入

Enterprise

Server交换机ROOTGuard则是防

止新加入的交换机成为root,保

证STP树的稳定性

RootGuard

©2001,CiscoSystems,Inc.Allrightsreserved.20

PDFcreatedwithpdfFactoryProtrialversionwww.D

思科城域网设备对安全控制的支持

C

CEF交换中心处理器保路由认证控制STP保护

护

楼层和汇聚交换机支持CPUQueue,RIP2,OSPFBPDU/Root

29xx/35xx/45xxStormControlGuard,RSTP

汇聚宽带服务器支持RPRateRIP2,OSPF,

73xx/10KLimiters,BGP,路由过

Queue滤

核心交换机/路由支持CoPP,RPRateRIP2,OSPF,BPDU/Root

器(CAT6K,OSR)LimitersBGP,路由过Guard,RSTP

滤

核心路由器(GSR)支持CoPP,rACLRIP2,OSPF,

BGP,路由过

滤

©2001,CiscoSystems,Inc.Allrightsreserved.21

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备用户数据安全控制

lllllllllllllllllC

动态ARP检测DHCP月艮务器

查看输入APRN

条目的MAC-IP

动态查看信息（来

匹配关系的正确DHCP

自于DHCP监听），验证

性。

□50D输入DHCP响应的正确性

ARP、一

ARP检测DHCP

Snooping

VACL

<::：：|>.-j<,:「.：wJ:><:::：=：PrivateVLAN防护

APRSpoof,控制

PrivateVLAN

PortSecurity同一子网的用户相

A互访问

口MAC的BPDUGuard/

‘绑定，可接ROOTGuard,防止对SPT的攻击

受的MAC数802.1W

量，预防

MAC攻击防止对跨VLAN的

BOPert攻击

风暴控制防止瞬间

pIlow)StormControl超大大数据流量

22

Cnt组加期3297。©2001,CiscoSystems,Inc.Allrightsreserved.

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备用户数据安全控制

■端口安全PortSecurity

-C

保证交换机稳定工作SwitchA

•"IIII”

SwitchB

:每秒1万个MAC包

限制单个端口所连接MAC地址的数目可以保护交换机CAM地址表不

被恶意填满,有效防止类似macof工具和SQL蠕虫病毒发起的攻击。

©2001,CiscoSystems,Inc.Allrightsreserved.23

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备用户数据安全控制

■端口安全防止ARP欺骗

C

HiY,我是网关

HiG,我是YARP

ARPArp表

Mac

MacIPJP

xxxx-xxxx-xxxxx.x.x.x

yyyy-yyyy-yyyyY.Y.Y.Y

gggg-gggg-ggggG.G.G.G

xxxx-xxxx-xxxx

动态ARP检测可以利用DHCPSnooping监听绑定表（包括IP地址与

MAC地址的绑定信息并将其与特定的交换机端口相关联）检查所有

非信任端口的ARP请求和应答（主动式ARP和非主动式ARP）,确保

应答来自真正的ARP所有者。

©2001,CiscoSystems,Inc.Allrightsreserved.24

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备用户数据安全控制

■端口安全防止DHCP欺骗

C

DHCPSnooping功能启用DHCP

服务器

7乙

Trusted

在城域网采用DHCP的

情况下，交换机通过建

立和维护DHCP

Snooping绑定表过滤

不可信任的DHCP信息

O所有用户端口除非特

别设置，被认为不可信

任端口，不应该作出任

DHCP何DHCP响应。

客户端虚假DHCP

服务器

©2001,CiscoSystems,Inc.Allrightsreserved.25

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备用户数据安全控制

■端口安全IPSourceGuard防止地址欺骗

C

程序制造IP哄骗流量

交换机IP源地址保护功能可以才艮据DHCPSnooping的IP绑定表动态产

生PVACL,强制来自此端口流量的源地址符合DHCPSnooping绑定

表的记录，防止攻击者通过假定一个合法用户IP地址来实施攻击。

©2001,CiscoSystems,Inc.Allrightsreserved.26

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备用户数据安全控制

■端口安全PVAL防止用户间直接通讯

IIIIIIIC

PromiscuousPromiscuous

PortPort

CommunityCommunityIsolated

'A''B'Ports

PrimaryVLANCommunityVLAN

CommunityVLANIsolatedVLAN

PVLAN的应用可以防止用户之间直接通讯，特别是当恶意代码传

播的时候，可以有效的防止快速泛滥，提高控制能力

©2001,CiscoSystems,Inc.Allrightsreserved.27

PDFcreatedwithpdfFactoryProtrialversionwww.D

城域网交换机的安全控制

C

0EnhancedPasswordrecovery

0UNI/NNI(DefaultUNIportdown)

0UNIportstillprocess802,lxandIGMP

packets

0CPUProtection

0Nolocalswitching

0DAI/IPSG,DHCPSnooping

0......

©2001,CiscoSystems,Inc.Allrightsreserved.28

PDFcreatedwithpdfFactoryProtrialversionwww.D

网络设备用户数据安全控制

■全面的ACL提供安全控制能力

C

©2001,CiscoSystems,Inc.Allrightsreserved.

PDFcreatedwithpdfFactoryProtrialversionwww.D

以太网接入的网络安全

Cisco.com

用户,保证物理安全一不被用户更改配置

_

_

_

一in_

_防止DDOS攻击