MILY: 宋体">基于TCP/IP协议的Inte.net提供了一种开放式的环境,而网络安全是开放式环境所必须面对的一个实际问题。随着网络应用的日益普及,为满足企业网内部用户上网需求,网络与Internet直接连接,网络面临着各种安全威胁,存在着各种类型的机密泄漏和攻击方式。尤其是在一些敏感场合(如电子商务、政府机关等)的应用,网络安全成为日益迫切的重要需求。网络设备作为网络资源和数据通讯的关键设备,更有必要提供充分的安全保护功能。 传统的以太网交换机注重快速的数据转发功能,在网络安全和客户业务方面关注较少。华为3com推出的S3500系列产品从用户的实际需求出发,为用户实现特定的安全策略、探测与防范非法攻击以及事后分析,提供了全方位的安全手段,主要包括报文过滤、流量限速、端口隔离、地址绑定、用户认证、路由安全、镜像、MSTP、广播风暴抑制、安全访问、日志等功能。 1、报文过滤 S3500系列的报文分类功能非常灵活,不仅支持根据IP报文的五元组(源地址、目的地址、源端口号、目的端口号和协议类型)建立过滤规则,还可以区分报文中与业务和控制相关的所有链路层、网络层以及应用层信息。 链路层信息可区分报文源和目的MAC地址、VLAN ID、802.1p优先级、是否带VLAN标签; 网络层信息可区分源和目的IP地址网段、IP协议类型、IP优先级、tos值、dscp优先级、分片报文; 应用层信息可区分源和目的端口号(TCP/UDP)、TCP状态标志域。 根据网络使用需要定义过滤功能作用的时间范围,可以很方便的实现各种访问控制策略。例如 Ø 每天9:00-17:00禁止某些用户使用FTP服务; Ø 除了管理员以外不让任何用户使用telnet协议; Ø 某个服务器只允许几个相关项目组成员访问,禁止其他机器访问; Ø 禁止外部ICMP协议数据的转发; 利用S3500的报文过滤功能可以有效防御常见的Dos(Denial of Service)以及DDos(Distributed Denial of Service)攻击。DoS攻击是使用大量的数据包攻击系统,使系统无法接受正常用户的请求,或者主机挂起不能提供正常的工作。DDos方式通过黑客程序安插木马到有安全漏洞的主机上,控制这些分散在各处的主机同时攻击,相对来说更隐蔽,许多大型网站都曾被攻击而造成很大的损失。只需要分析攻击报文特征,在S3500上配置相应的过滤操作。例如常见的攻击报文类型为ICMP报文,在外部网段接口配置过滤所有ICMP报文的ACL,从而阻断攻击报文流。 2、流量限速 S3500系列产品提供粒度为8Kbits/s,可逐级递增的精细限速功能,结合强大的报文过滤功能,可以区分单个用户、地址段、各种业务报文及优先级提供不同的速率。例如 Ø 对某个用户限制上网带宽为128Kbits/s; Ø 对Ftp服务流量限制为10Mbits/s; Ø 对某个vlan的流量限制为1Mbits/s; 由于S3500可以提供精细的流量限速,该功能也可以用于防范Dos攻击。比如正常情况下网络中ICMP报文流量并不大,而在受到Dos攻击的情况下就可能出现大量的ICMP,通过预先在S3500上配置限制ICMP流量速率,就可以大大减轻网络受到的影响。同样对于利用TCP SYN报文进行Dos攻击的情况,在网络正常工作时估测SYN数据包流量速率,以此为基准数值在S3500上设置对发往某个主机SYN报文的限制速率。 更为难得的是,S3500还提供了粒度为650Kbits/s的端口整形功能,通过调整整形缓冲区大小可以完成端口限速的功能,还可对每个端口的8个队列分别设置不同的速率限制,给用户提供了直接防范物理端口上用户流量攻击的选择。 3、端口隔离 网络安全不仅来自外部网络,同样存在于内部网,而且来自内部的攻击更严重、更难防范。如何确保下挂用户私有网络数据的保密性以及防止用户之间互相攻击,也是网络运营商最为关心的问题。 S3500提供的端口隔离功能只允许用户端口与上行端口转发报文,从而阻断下挂各个用户私有网络之间的互相访问,从链路层保障用户转发数据的安全。在S3500系列交换机上配置该功能非常简单,直接对端口设置私有端口属性,并指定其上行端口,就可以实现只允许该端口与指定上行端口进行数据转发的功能。 4、地址绑定 S3500系列提供IP+MAC、MAC+端口、IP+MAC+端口、网段+端口绑定的功能,可以防止各种非法地址欺骗,同时方便实施各种网络管理策略,例如 Ø 只允许某个MAC地址或IP地址的用户上网; Ø 禁止用户不通过DHCP动态申请IP地址,而私自设置固定IP地址; S3500还可以限制端口下可学习的MAC地址个数,控制每个端口下挂的用户数量。同时根据S3500提供的完善的地址表查询机制,可以迅速准确定位非法用户MAC、IP、物理端口等信息,给网络安全监控提供了有力的手段。 5、用户认证 用户认证是实现用户安全防护的基础功能。对用户进行识别和区分,不仅能保护接入的用户不受网络攻击,而且能阻止接入用户攻击其他用户和网络。经过验证的用户可以享受网络服务,而未经验证的用户则被拒绝上网。 S3500提供两种认证方式:802.1x认证和Portal认证。 S3500上的8021x功能结合CAMS服务器可以实现认证、授权、计费等一系列功能。也可以使用第三方Radius或S3500提供的本地Radius认证。S3500提供端口认证、基于MAC的用户认证两种模式。基于端口认证模式,认证通过的端口下所有用户都可以上网。基于MAC认证模式,只有认证通过的用户MAC才能上网。这两种模式可以根据实际需求,灵活选择。 Portal认证和802.1x认证相比,用户操作简单,不需要安装客户端软件。用户可以直接通过Web页面进入门户站点进行认证,接入过程是免费。如果用户要求访问公网信息,则必须认证和登录。 6、路由安全 S3500的路由协议支持MD5认证,防止虚假路由报文干扰正常路由。同时支持策略路由,可以实现丰富的路由策略配置,根据实际需要设置接收或发布一部分满足给定条件的路由信息。同时S3500提供大容量使用最长匹配算法的路由表,完全可以抵御网上的各种非法路由攻击。 为了确保重要用户或服务器的网络服务,S3500还支持VRRP协议,VRRP(Virtual Router Redundency Protocol)是一种容错协议,它保证当一台交换机坏掉时,可以及时的由另一台交换机来代替,从而保持下面主机网络通讯的连续性和可靠性。 7、镜像 镜像功能可以把特定的报文流镜像到具备安全检测功能的IDS主机上,同时不影响原报文的正常转发,便于网络管理人员迅速定位网络安全问题。比如监控某个用户的非法操作、某种业务报文流的异常情况。 S3500支持流镜像和端口镜像功能,流镜像是根据用户配置的过滤规则把某类报文镜像到指定端口,由于有灵活的过滤功能支持,使得S3500流镜像功能非常强大。同时S3500端口镜像功能还支持对某个端口进入或者发出的报文流分别镜像。 8、MSTP功能 S3500不仅支持STP和RSTP功能,还可以实现多达17个实例的MSTP功能。MSTP可以弥补传统的STP和RSTP的缺陷,通过设置VLAN映射表(即VLAN和生成树的对应关系表)把VLAN和生成树联系起来。同时它把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立。它既可以快速收敛,也能使不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制。 9、广播风暴抑制 S3500在启用广播风暴抑制功能的端口主动检测广播报文的流量,当广播流量超过用户设置的值后,交换机将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,从而有效地抑制广播风暴,避免网络拥塞,保证网络业务的正常运行。 10、安全访问 在远程访问功能方面S3500除了提供传统的telnet用户密码登陆以外,还支持SSH方式的远程访问。 传统的网络服务程序telnet在本质上是不安全的,因为它在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”这种方式的攻击。所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你的传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。SSH的英文全称是Secure SHell。SSH在远程登陆访问建立连接时通过RSA或password方式对用户进行身份认证,且控制报文都通过对称密钥算法进行加密,这样“中间人”这种攻击方式就不可能实现了,可有效地防止身份欺骗、数据盗窃和?改。 11、日志 当网络出现攻击行为或网络受到其它一些安全威胁后,还需要网络设备能提供黑客攻击行为的追踪线索及破案依据,这就要求我们必须对网络活动进行多层次的记录,及时发现非法入侵行为。 在这方面除了丰富的端口统计数据,S3500还提供全面的日志系统,并且能够进行细致的分类,按信息的严重等级或紧急程度划分为八个等级。通过与调试功能的结合,日志系统为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。 网络安全问题涉及网络的各个层面,需要完善的网络安全机制,而再好的安全策略也离不开设备功能的支持,S3500的安全之道就是为网络管理者提供最全面的技术支持。 附件
quidways3500系列的安全之道.pdf
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备2023014753号-2
技术支持和业务联系:info@testage.com.cn 电话:010-51297073