1.5 核心层网络安全规划设计
核心交换机支持多种安全业务插卡可以进行有效的网络区域隔离
考虑到数据中心服务器群的数据安全和网络服务的重要性,利用在主节点核心交换机配置的相关安全插卡可以实现有效的网络隔离。如通过以下案例进行分析:
防火墙是网络层的核心防护措施,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop, …)、端口扫描(port scanning)、IP欺骗(ip spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。
IPS入侵防御是通过深达7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,并实现对网络基础设施、网络应用和性能的全面保护。
数据中心需要通过防火墙进行有效的隔离,网络安全隔离一直是Internet技术发展的重要研究课题。以太网技术如何和安全隔离技术融合,提供给某大学用户一个安全、可靠的网络环境是以太网交换机在组网应用中一个常见的问题。为了能够确保用户的安全需求,并提供一体化的解决思路,可以根据用户对于安全防护的考虑,将Secure VLAN技术融入到VLA技术中,可以实现对内网,DMZ多个区域的保护,可以用于内网的VLAN跨区域保护。
1.6 接入层网络安全规划
1.6.1 端口+IP+MAC地址的绑定:
用户上网的安全性非常重要,H3C E126A系列可以做到,端口+IP+MAC地址的绑定关系,H3C E126A系列交换机可以支持基于MAC地址的802.1X认证,整机最多支持1K个下挂用户的认证。MAC地址的绑定可以直接实现用户对于边缘用户的管理,提高整个网络的安全性、可维护性。如:每个用户分配一个端口,并与该用户主机的MAC、IP、VLAN等进行绑定,当用户通过802.1X 客户端认证通过以后用户便可以实现MAC地址+端口+IP+用户ID的绑定,这种方式具有很强的安全特性:防D.O.S的攻击,防止用户的MAC地址的欺骗,对于更改MAC地址的用户(MAC地址欺骗的用户)可以实现强制下线。
1.6.2 接入层防Proxy的功能
考虑到大学用户的技术性较强,在实际的应用的过程当中应当充分考虑到Proxy的使用,对于Proxy的防止,H3C公司E126A系列交换机配合H3C公司的802.1X的客户端,一旦检测到用户PC机上存在两个活动的IP地址(不论是单网卡还是双网卡),E126A系列交换机将会下发指令将该用户直接踢下线。
1.6.3 MAC地址盗用的防止
在校园网的应用当中IP地址的盗用是最为经常的一种非法手段,用户在认证通过以后将自己的MAC地址进行修改,然后在进行一些非法操作,网络设计当
中我们针对该问题,在接入层交换机上提供防止MAC地址盗用的功能,用户在更改MAC地址后,E126A系列交换机对于与绑定MAC地址不相符的用户直接将下线,其下线功能是由E126A系列交换机来实现的。
1.6.4 防止对DHCP服务器的攻击
使用DHCP Server动态分配IP地址会存在两个问题:一是DHCP Server假冒,用户将自己的计算机设置成DHCP Server后会与局方的DHCP Server冲突;二是用户DHCP Smurf,用户使用软件变换自己的MAC地址,大量申请IP地址,很快将DHCP的地址池耗光。
H3C E126A系列交换机可以支持多种禁止私设DHCP Server的方法。 Private VLAN
解决这个问题的方法之一是在桌面交换机上启用Private VLAN的功能。但在很多环境中这个功能的使用存在局限,或者不会为了私设DHCP服务器的缘故去改造网络。
访问控制列表
对于有三层功能的交换机,可以用访问列表来实现。
就是定义一个访问列表,该访问列表禁止source port为67而destination port为68的UDP报文通过。之后把这个访问列表应用到各个物理端口上。当然往端口一个个去添加访问控制组比较麻烦,可以结合interface range命令来减少命令的输入量。
新的命令
因为它的全局意义,也为了突出该安全功能,建议有如下单条命令的配置: service dhcp-offer deny [exclude interface interface-type
interface-number ][ interface interface-type interface-numbert | none]
如果输入不带选项的命令no dhcp-offer,那么整台交换机上连接的DHCP服务器都不能提供DHCP服务。
exclude interface interface-type interface-number :是指合法DHCP服务器或者DHCP relay所在的物理端口。除了该指定的物理端口以外,交换机会丢弃其他物理端口的in方向的DHCP OFFER报文。
interface interface-type interface-numbert | none:当明确知道私设DHCP服务器是在哪个物理端口上的时候,就可以选用这个选项。当然如果该物理端口下面仅仅下联该私设DHCP服务器,那么可以直接disable该端口。该选项用于私设DHCP服务器和其他的合法主机一起通过一台不可网管的或不支持关闭DHCP Offer功能的交换机上联的情况。选择none就是放开对dhcp-offer的控制。
1.6.5 防止ARP的攻击
随着网络规模的扩大和用户数目的增多,网络安全和管理越发显出它的重要性。由于校园网用户具有很强的专业背景,致使网络黑客攻击频繁发生,地址盗用和用户名仿冒等问题屡见不鲜。因此,ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的老师头痛不已,也对网络的接入安全提出了新的挑战。
ARP攻击包括中间人攻击(Man In The Middle)和仿冒网关两种类型: 中间人攻击:
按照 ARP 协议的原理,为了减少网络上过多的 ARP 数据通信,一个主机,即使收到的 ARP 应答并非自己请求得到的,它也会将其插入到自己的 ARP 缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。
仿冒网关:
攻击者冒充网关发送免费ARP,其它同一网络内的用户收到后,更新自己的ARP表项,后续,受攻击用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。而攻击者可以凭借此攻击而独占上行带宽。
在DHCP的网络环境中,使能DHCP Snooping功能,E126A交换机会记录用户的IP和MAC信息,形成IP+MAC+Port+VLAN的绑定记录。E126A交换机利用该绑定信息,可以判断用户发出的ARP报文是否合法。使能对指定VLAN内所有端口的ARP检测功能,即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测,只有符合绑定表项的ARP报文才允许转发;如果端口接收的ARP报文的源IP或源MAC不在DHCP Snooping动态表项或DHCP Snooping静态表项中,则ARP报文被丢弃。这样就有效的防止了非非法用户的ARP攻击。