《数据中心保护解决方案技术建议书V.doc》由会员分享,可在线阅读,更多相关《数据中心保护解决方案技术建议书V.doc(43页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、数据中心保护解决方案技术建议书杭州华三通信技术目录1项目概述4项目背景(请根据项目情况做修改)42数据中心面对的安全挑战4数据中心安全威胁的层次划分4面向应用层的攻击5面向网络层的攻击5对网络基础设施的攻击53H3C安全解决方案理念5智能安全渗透网络局部安全6智能安全渗透网络全局安全7智能安全渗透网络智能安全74XXX数据中心整体安全规划8三重保护,多层防御8分区规划,分层部署9统一管理、智能联动105基础网络安全设计11交换机安全部署111)数据中心网络架构安全技术112)基于VLAN的端口隔离123)STP Root/BPDU Guard134)端口安全135)防IP伪装146)路由协议认
2、证15端点准入安全部署151)认证需求152)组网部署163)功能描述176网络层安全设计18边界安全防火墙181)状态防火墙182)防火墙安全区域管理203)防火墙在数据中心的部署21异常流量清洗211)DoS/DdoS攻击212)DoS/DdoS攻击防范描述223)AFC在数据中心的部署237应用层安全设计23深度入侵防御IPS231)数据中心应用的威胁232)应用程序防护253)高精度、高效率的入侵检测引擎254)全面、及时的攻击特征库264)IPS在数据中心的部署27应用加速ASE281)数据中心面临的可用性威胁282)解决方案介绍285)ASE在数据中心的部署338统一安全管理34全
3、局安全管理解决方案341)全局安全管理解决方案概述:342)H3C全局安全管理解决方案的突出特点:363)H3C SecCenter部署方案:371 项目概述1.1 项目背景(请根据项目情况做修改)安全是所有IT建设最核心的元素之一,对所有的网络来说都是一个主要的考虑事项,它对于XXX来说至关重要,XXX做为一个核心信息交流平台并存储敏感数据,因此会成为来自外部或内部的恶意攻击的目标。安全性的破坏可以源自小范围的侵入,层层渗透后成为严重的、代价高昂且损失惨重的事件。安全性是XXX解决方案中最重要的方面之一。如果没有完善的安全保护,那么内部的机密信息将受到威胁,包括被窃取、篡改、删除的威胁,而可
4、能导致灾难性的后果。数据中心安全解决方案必须为数据中心提供能够全方面保护数据中心业务的安全解决之道。不但需要保护数据中心中关键应用与保密数据;并需要增强数据中心的运营效率,增强业务竞争力,而且具有扩展性以支持随时可能出现的新业务流程。以下讨论主要讨论数据中心会面临的安全威胁以及对应的保护措施,最终目标都是保护数据中心所承载的业务。2 数据中心面对的安全挑战2.1 数据中心安全威胁的层次划分从安全角度看,数据中心可以被划分为三个主要的层次,通过对层次的划分以及所有安全威胁在层次上的对应,组织可以对安全威胁采用对应的安全解决方案,并对这些解决方案进行统一规划。当在每一层次部署对应安全解决方案时,也
5、非常清晰的定义与确定了将被包含或影响到的业务。数据中心安全性的三个主要的层次是: IT基础设施与物理安全性: o 这一层泛指整个IT基础设施,企业需要IT基础设施来运行有效的业务操作,IT基础设施的弹性将决定业务操作的总体效率与可用性。它也存储所有的数据,这些数据是业务事务与应用处理所生成的结果。o 企业安全性这一层的安全性解决方案主要集中于保护技术设施不受物理与逻辑上的攻击,其他主要集中方面是基础设施与应用的监控与管理。 应用与数据安全性: o 这一层是指业务应用的安全性,业务应用被内部与外部终端用户实际访问,是处理业务事务的资产,并提供电子商务。o 企业安全性这一层的安全性解决方案主要集中
6、于提供对应用的受控访问、验证用户身份、用户的provisioning与授权、审查用户操作,并通过加密来保护数据。 管理安全性o 这一层是指业务流程与操作的安全性,当管理团队作出高级策略决定时,管理安全性主要进行基础设施与应用的安全性的实现与配置。企业策略与标准的成功与否取决于如何在这一层上实现与实施级别,这使组织能够运行业务,而不会有意或无意的违背企业策略,并防止业务遇到合法的或其他类型的安全问题。o 这一层的安全性解决方案主要包括一些方案或服务,这些方案或服务帮助组织实施并自动操作安全策略与流程,最终用户了解规划并完成企业级安全性的管理与报告。 2.2 面向应用层的攻击常见的应用攻击包括恶意
7、蠕虫、病毒、缓冲溢出代码、后门木马等,最典型的应用攻击莫过于“蠕虫”。应用攻击的共同特点是利用了软件系统在设计上的缺陷,其传播都基于现有的业务端口,因此应用攻击可以毫不费力的躲过那些传统的或者具有少许深度检测功能的防火墙。2.3 面向网络层的攻击除了由于系统漏洞造成的应用攻击外,数据中心还要面对拒绝服务攻击(DoS)与分布式拒绝服务攻击(DDoS)的挑战。DOS/DDOS是一种传统的网络攻击方式,然而其破坏力却十分强劲。常见的DDOS攻击方法有SYN Flood、Established Connection Flood与Connection Per Second Flood。已发现的DOS攻击
8、程序有ICMP Smurf、UDP 反弹,而典型的DDOS攻击程序有Zombie、TFN2K、Trinoo 与 Stacheldraht等。2.4 对网络基础设施的攻击数据中心象一座拥有巨大财富的城堡,然而坚固的堡垒最容易从内部被攻破,来自数据中心内部的攻击也更具破坏性。数据中心的安全防护体系不能仅依靠单独的某个安全产品,还要依托整个网络中各部件的安全特性。3 H3C安全解决方案理念在这种咄咄逼人的安全形势下,数据中心需要一个全方位一体化的安全部署方式。H3C数据中心安全解决方案秉承了H3C一贯倡导的“智能安全渗透理念”,将安全部署渗透到整个数据中心的设计、部署、运维中,为数据中心搭建起一个立
9、体的、无缝的安全平台,真正做到了使安全贯穿数据链路层到网络应用层的目标,使安全保护无处不在。智能安全渗透网络(iSPN)提出了一个整体安全架构,从局部安全、全局安全、智能安全三个层面,为用户提供一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署,抵御最基础的安全威胁;全局安全利用安全策略完成产品间的分工协作,达到协同防御的目的;智能安全在统一的安全管理平台基础上,借助于开放融合的大安全模型,将网络安全变为从感知到响应的智能实体。图1 智能安全渗透网络结构3.1 智能安全渗透网络局部安全网络安全最基础的防护方式是关键点安全,即对出现问题的薄弱环节或有
10、可能出现问题的节点部署安全产品,进行27层的威胁防范,当前企业绝大部分采用的都是这种单点威胁防御方式。这种局部安全方式简单有效并有极强的针对性,适合网络建设已经比较完善而安全因素考虑不足的情况。在这种方式下,H3C强调通过“集成”来提供最佳的防御效果,即通过在网络产品上集成安全技术、在安全产品上集成网络技术以及网络与安全的插卡集成等方式,实现了安全技术与网络技术在无缝融合上做出的第一步最佳实践。3.2 智能安全渗透网络全局安全由于安全产品种类的不断丰富,使得局部安全可以应对企业的大部分基础网络安全问题。然而此时用户意识到,局部安全的防护手段相对比较孤立,只有将产品的相互协作作为安全规划的必备因
11、素,形成整网的安全保护才能抵御日趋严重的混合型安全威胁。为此,H3C推出了全局安全理念,借助于IToIP的网络优势,通过技术与产品的协作,将网络中的多个网络设备、安全设备与各组件联动起来,并通过多层次的安全策略与流程控制,向用户提供端到端的安全解决方案。以H3C的端点准入防御及安全事件分析机制为例,它将计算机网络、网络上的通用操作系统、主机应用系统等企业资源都纳入到安全保护的范畴内。在统一的安全策略下,利用各部分组件的协同联动,保证网络各端点的安全性与可控性;同时,在统一的平台上进行安全事件的收集、整理、分析,可以做到整网安全风险的提前预防与及时控制。3.3 智能安全渗透网络智能安全随着网络建
12、设的日趋完善,面向业务的安全已经成为新的发展方向。只有理解企业业务,将企业的业务需求及流程建设充分融合到网络安全建设中来,从信息的计算、通信及存储等信息安全状态出发,以面向应用的统一安全平台为基础,通过安全事件的实时感知、安全策略的动态部署、网络安全设备的自动响应,将智能的安全融入企业业务流程中,形成开放融合、相互渗透的安全实体,才能实现真正的网络安全智能化。帮助企业将业务信息的所有状态都控制在安全管理的范围内,这样的需求正是智能安全产生的原动力。完善的安全管理体制是加强信息系统安全防范的组织保证。iSPN全局安全管理平台可以对全网的安全信息做到统一管理、统一下发安全策略以及统一分析安全数据,
13、保证企业信息系统的安全运行。iSPN全局安全管理平台以开放的安全管理中心与智能管理中心为框架,将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中,通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应,在现有安全设施的基础上构建一个智能安全防御体系,大幅度提高企业网络的整体安全防御能力。H3C全局安全管理平台由策略管理、事件采集、分析决策、协同响应四个组件构成,与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。高效的安全解决方案不仅仅在于当安全事件发生时,我们能够迅速察觉、准确
14、定位,更重要的是我们能够及时制定合理的、一致的、完备的安全策略,并最大限度的利用现有网络安全资源,通过智能分析与协同响应及时应对各种真正的网络攻击。在局部安全、全局安全的基础上,H3C iSPN为实现这一目标而构建了专业安全服务、开放应用架构与可持续演进的全局安全管理平台,通过对防护、检测与响应等不同生命周期的各个安全环节进行基于策略的管理,将各种异构的安全产品、网络设备、用户终端与管理员有机的连接起来,构成了一个智能的、联动的闭环响应体系,可在保护现有网络基础设施投资的基础上有效应对新的安全威胁、大幅提升对企业基础业务的安全保障。H3C将以全新的iSPN理念配合先进的产品技术与日趋完善的面向
15、应用解决方案,为企业打造一个领先的、全面的、可信赖的IP安全平台。4 XXX数据中心整体安全规划H3C数据中心安全解决方案的技术特色可用十二个字概括:n 三重保护、多层防御n 分区规划,分层部署n 统一管理、智能联动4.1 三重保护,多层防御图 数据中心三重安全保护以数据中心服务器资源为核心向外延伸有三重保护功能。依托具有丰富安全特性的交换机构成数据中心网络的第一重保护;以ASIC、FPGA与NP技术组成的具有高性能精确检测引擎的IPS提供对网络报文深度检测,构成对数据中心网络的第二重保护;第三重保护是凭借高性能硬件防火墙构成的数据中心网络边界。图 数据中心多层安全防御三重保护的同时为数据中心
16、网络提供了从链路层到应用层的多层防御体系,如图。交换机提供的安全特性构成安全数据中心的网络基础,提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上,通过状态防火墙可以把安全信任网络与非安全网络进行隔离,并提供对DDOS与多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力,同时配合以精心研究的攻击特征知识库与用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络应用层的保护。4.2 分区规划,分层部署在网络中存在不同价值与易受攻击程度不同的设备,按照这些设备的情况制定不同的安
17、全策略与信任模型,将网络划分为不同区域。 数据中心分区规划思想多层思想(n-Tier)不仅表达在传统的网络三层部署(接入汇聚核心)上,更应该关注数据中心服务器区的设计部署上。服务器资源是数据中心的核心,多层架构把应用服务器分解成可管理的、安全的层次。按照功能分层打破了将所有功能都驻留在单一服务器时带来的安全隐患,增强了扩展性与高可用性。4.3 统一管理、智能联动当前,数据中心系统安全管理中遇到的问题包括:1) 对实时安全信息不了解,无法及时发出预警报告。2) 各种安全设备是孤立的,无法相互关联,信息共享。3) 安全事件发生以后,无法及时诊断网络故障的原因,恢复困难。4) 网络安全专家匮乏,没有
18、足够的人员去监控、分析、解决问题。在此背景下,H3C提出用SecCenter(安全管理中心)与iMC(智能管理中心)组合,来满足数据中心系统全局安全管理的需求,将安全体系中各层次的安全产品、网络设备、用户终端等纳入一个紧密的“全局安全管理平台”中,通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应,在现有安全设施的基础上构建一个智能安全防御体系,大幅度提高数据中心系统的整体安全防御能力。H3C“全局安全管理平台”由策略管理、事件采集、分析决策、协同响应四个组件构成,与网络中的安全设备、网络设备、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系(见下图
19、)。图2 H3C基于SecCenter与iMC的智能防御体系H3C全局安全管理平台旨在集中部署网络安全防护策略,简化对安全部件的管理,确保网络安全策略的统一;广泛采集与分析来自于计算机、网络、存储、安全等设施的告警事件,通过关联来自于不同地点、不同层次、不同类型的安全事件,发现真正的安全风险,提高安全报警的信噪比;准确的、实时的评估当前的网络安全态势与风险,并根据预先制定的策略做出快速响应。5 基础网络安全设计网络基础架构的安全特性是数据中心中各部件产品基本安全特性的通称。架构安全特性涉及服务器、接入交换机、负载均衡器、汇聚交换机、核心交换机等设备,部署点多、覆盖面大,是构成整个安全数据中心的
20、基石。5.1 交换机安全部署1) 数据中心网络架构安全技术网络基础架构的安全特性是数据中心中各部件产品基本安全特性的通称。架构安全特性涉及服务器、接入交换机、负载均衡器、汇聚交换机、核心交换机等设备,部署点多、覆盖面大,是构成整个安全数据中心的基石。H3C凭借基于COMWARE的具有丰富安全特性全系列智能交换机为数据中心打造坚实的基础构架。COMWARE是由H3C推出的支持多种网络设备的网络操作系统,它以强大的IP转发引擎为核心,通过完善的体系结构设计,把实时操作系统与网络管理、网络应用、网络安全等技术完美的结合在一起。作为一个不断发展、可持续升级的平台,它具有开放的接口,可灵活支持大量的网络
21、协议与安全特性。COMWARE可应用在分布式或集中式的网络设备构架之上,也就是说,不仅可以运行在高端的交换机/路由器上,而且也可以运行在中低端的交换机/路由器上,不向其它厂商,不同的软件运行在不同的设备上。COMWARE的这一特性可使网络中各节点设备得到同一的安全特性,彻底避免了由于部件产品安全特性不一致、不统一造成的安全“短木板效应”。数据中心基础架构安全相关架构2) 基于VLAN的端口隔离交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的服务器之间完全没有互访要求时,可以设置各自连接的端口为隔离端口,如图。这样可以更好的
22、保证相同安全区域内的服务器之间的安全:图 交换机Isolated Vlan 技术3) STP Root/BPDU Guard基于Root/BPDU Guard方式的二层连接保护保证STP/RSTP稳定,防止攻击,保障可靠的二层连接。如图。图 交换机Root Guard/BPDU Guard 技术4) 端口安全端口安全(Port Security)的主要功能就是通过定义各种安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。对于不能通过安全模式学习到源MAC设备,当发现非法报文后,系统将触发相应特性,并按照预先指定的方式自动进行处理,减少了用户的维护工作量,极大地提高了系统的安全
23、性与可管理性。端口安全的特性包括:NTK:NTK(Need To Know)特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。Intrusion Protection:该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码,发现非法报文或非法事件,并采取相应的动作,包括暂时断开端口连接、永久断开端口连接或是过滤此MAC地址的报文,保证了端口的安全性。Device Tracking:该特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员
24、对这些特殊的行为进行监控。5) 防IP伪装病毒与非法用户很多情况会伪装IP来实现攻击。伪装IP有三个用处: 本身就是攻击的直接功能体。比如smurf攻击。 麻痹网络中的安全设施。比如绕过利用源IP做的接入控制。 隐藏攻击源设备防止IP伪装的关键在于如何判定设备接收到的报文的源IP是经过伪装的。这种判定的方式有三种。分别在内网与内外网的边界使用。在internet出口处过滤RFC3330与RFC1918所描述的不可能在内外网之间互访的IP地址。利用IP与MAC的绑定关系网关防御利用DHCP relay特性,网关可以形成本网段下主机的IP、MAC映射表。当网关收到一个ARP报文时,会先在映射表中查
25、找是否匹配现有的映射关系。如果找到则正常学习,否则不学习该ARP。这样伪装IP的设备没有办法进行正常的跨网段通信。接入设备防御利用DHCP SNOOPING特性,接入设备通过监控其端口接收到的DHCP request、ACK、release报文,也可以形成一张端口下IP、MAC的映射表。设备可以根据IP、MAC、端口的对应关系,下发ACL规则限制从该端口通过的报文源IP必须为其从DHCP 服务器获取的IP地址。UPRFUPRF会检测接收到的报文中的源地址是否与其接收报文的接口相匹配。其实现机制如下:设备接收到报文后,UPRF会比较该报文的源地址在路由表中对应的出接口是否与接收该报文的接口一致。
26、如果两者不一致,则将报文丢弃。6) 路由协议认证攻击者也可以向网络中的设备发送错误的路由更新报文,使路由表中出现错误的路由,从而引导用户的流量流向攻击者的设备。为了防止这种攻击最有效的方法就是使用局域网常用路由协议时,必须启用路由协议的认证。另外,在不应该出现路由信息的端口过滤掉所有路由报文也是解决方法之一。但这种方法会消耗掉许多ACL资源。5.2 端点准入安全部署在XXX的局域网接入上,需要采用严格的用户认证与授权控制策略,避免网络的非法接入与越级访问,保证核心数据与业务的安全性与高度机密。同时,对不同的接入用户要做到动态的分配不同的权限,使之归属于不同的VPN,访问授权的资源。此外,需要对
27、接入终端的安全性进行检查,避免病毒的传播对网络造成的不可预知的破坏。这就需要一套完整的端点准入防御(EAD,Endpoint Admission Defense)解决方案。EAD从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具与手段。1) 认证需求对于要接入安全网络的用户,EAD解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理
28、员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权与控制。通过安全认证后,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况与网络使用情况进行审计与监控。EAD解决方案对用户网络准入的整体认证过程如下图所示:2) 组网部署如下图所示,EAD组网模型图中包括安全客户端、安全联动设备、CAMS安全策略服务器与第三方服务器。安全客户端:是指安装了H3C iNode智能客户端的用户接入终端,负责身份认证的发起与安全策略的检查。安全联动设备:是指用户网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样
29、的组网方案,安全联动设备可以根据需要灵活部署在各层比如网络接入层与汇聚层。CAMS安全策略服务器:它要求与安全联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核,向安全联动设备发送网络访问的授权指令。第三方服务器:是指补丁服务器、病毒服务器与安全代理服务器等,被部署在隔离区中。当用户通过身份认证但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。3) 功能描述 严格的身份认证除基于用户名与密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入
30、设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。 完备的安全状态评估根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等;为了更好的满足客户的需求,EAD客户端支持与微软SMS、LANDesk、BigFix等业界桌面安全产品的配合使用,支持与瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等国内外主流病毒厂商联动。例如EAD可充分利用微软成熟的桌面管理工具,由SMS实现各种Windows环境下用户的桌面管理需求:资产管理、补丁管理、软件分发与
31、安装等。 基于角色的网络授权在用户终端通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。 扩展开放的解决方案EAD解决方案为客户提供了一个扩展、开放的结构框架,最大限度的保护了用户已有的投资。EAD广泛、深入的与国内外防病毒、操作系统、桌面安全等厂商展开合作,融合各家所长;EAD与第三方认证服务器、安全联动设备等之间的交互基于标准、开放的协议架构与规范,易于互联互通。 灵活方便的部署方式EAD
32、方案部署灵活,维护方便。EAD按照网络管理员配置的安全策略区别对待不同身份的用户,定制不同的安全检查与处理模式,包括监控模式、提醒模式、隔离模式与下线模式;此外,EAD还支持灵活的旧网改造方案与客户端静默安装等特性。6 网络层安全设计6.1 边界安全防火墙边界安全的一项主要功能是实现网络隔离,通过防火墙可以把安全信任网络与非安全网络进行隔离。防火墙以其高效可靠的防攻击手段,与灵活多变的安全区域配置策略担负起是守护数据中心边界安全的重任。1) 状态防火墙业界防火墙设备主要包括如下四个类型:l 包过滤防火墙l 应用层网关,也被称作代理服务器l 电路层网关l 状态防火墙包过滤防火墙包过滤防火墙必须明
33、确定义允许通过设备的流量。这意味着为了能够成功通信,都需在包过滤防火墙上定义每一种类型的连接。包过滤器可以基于协议类型(例如GRE、UDP、TCP或ICMP),IP源/目的地址或IP网络(IP地址集合),源/目的端口或这些参数的组合来定义防火墙的转发策略。下面是包过滤防火墙的一些优点:l 管理费用比状态防火墙(后面讨论)少l 成本低l 流量控制粒度小包过滤防火墙的一些缺点:l 无用户认证l 可见性无法超出协议/端口l 容易遭受IP欺诈代理服务器应用网关要求客户端将所有访问外部资源的请求提交到代理服务器,服务器将“代理”这些对Internet资源的请求。显然,客户应用为利用代理功能,它们必须了解
34、“代理”,这样才知道将它们的请求发送到什么地方。最常见的应用网关是Web代理。绝大多数流行的Web浏览器都知道代理,因此能够利用这种架构。由于代理服务器代理所有的流量,这就提供了更强的安全性。注意,每类请求Internet资源的连接都会建立两个连接:一个是从客户端到代理,另一个是从代理到Internet资源。这意味着客户端绝不会直接与Internet资源通信。下面是代理服务器的一些优点:l 架构固有的更高的安全性l 基于用户或组的授权与访问控制l 流量日志l 缓存代理服务器的一些缺点:l 应用需要知道代理l 需要在客户端配置代理l 不是所有的Internet 应用都知道代理电路层网关虽然代理服
35、务器能够提供更强的安全性,但是它的主要缺点是缺乏透明度。这对于那些设计良好的应用不是一个问题,但还是有一些应用不支持代理,因此将无法工作。对于这类情况,电路层代理能提供解决方案。正如名称所暗示的,电路层代理的功能不是建立在代理服务器对不同协议的理解,以及如何处理这些协议的基础上的。电路层代理代表客户为其建立与Internet主机的连接。与应用代理功能一样,电路层代理也需要建立两个连接。然而,这只发生在连接层而不是应用层。电路层代理的一个例子是WIN32平台上的WINSOCK实现。如果应用要兼容电路层网关,它们需要使用平台相关API建立连接。对于Windows应用,需要使用WINSOCK应用编程
36、接口(API)建立外部连接。电路层网关功能也要求部属客户端软件。下面是电路层网关的一些优点:l 与任何使用WINSOCK API的应用兼容 这包含许多WIN32应用l 架构固有的更高的安全性l 基于用户或组的授权与访问控制l 流量日志l 支持更复杂的通信需求(如回调等)电路层网关的一些缺点:l 需要客户端部署应用l 与没有使用特定平台API的应用不兼容l 允许更复杂的应用访问网关,因此要求更复杂的安全性基于状态的包检查防火墙较新的一类防火墙设备支持基于状态的包检查。正如其名称所示,SPI防火墙的主要优点就是更智能的基于状态的包检查。下面是状态防火墙两个主要的优点:l 通过建立连接表增强了对连接
37、状态的理解,从而减少了包欺诈的可能性l 能够在对通用协议(如SMTP或NNTP)详细理解的基础上进行包检测状态防火墙设备将状态检测技术应用在ACL技术上,通过对连接状态的检测,动态的发现应该打开的端口,保证在通信的过程中动态的决定哪些数据包可以通过防火墙。状态防火墙还采用基于流的状态检测技术可以提供更高的转发性能,可以根据流的信息决定数据包是否可以通过防火墙,这样就可以利用流的状态信息决定对数据包的处理结果加快了转发性能。状态防火墙具有更高的智能,提供更高的安全性。2) 防火墙安全区域管理边界安全的一项主要功能是网络隔离,并且这种网络隔离技术不是简单的依靠网络接口来划分的,因为网络的实际拓扑是
38、千差万别的,使用固定接口来进行网络隔离不能适应网络的实际要求。SecPath防火墙提供了基于安全区域的隔离模型,每个安全区域可以按照网络的实际组网加入任意的接口,因此SecPath的安全管理模型是不会受到网络拓扑的影响。业界很多防火墙一般都提供受信安全区域(trust)、非受信安全区域(untrust)、非军事化区域(DMZ)三个独立的安全区域,这样的保护模型可以适应大部分的组网要求,但是在一些安全策略要求较高的场合,这样的保护模型还是不能满足要求。SecPath防火墙默认提供四个安全区域:trust、untrust、DMZ、local,在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑
39、安全区域,本地安全区域可以定义到防火墙本身的报文,保证了防火墙本身的安全防护,使得对防火墙本身的安全保护得到加强。例如,通过对本地安全区域的报文控制,可以很容易的防止不安全区域对防火墙本身的Telnet、ftp等访问。SecPath防火墙还提供自定义安全区域,可以最大定义16个安全区域,每个安全区域都可以加入独立的接口。3) 防火墙在数据中心的部署在XXX中,在各个区域边界都要部署防火墙,实现对访问的控制,只有合法的报文才可以通过。在互联网出口上,在防火墙上启用NAT(网络地址转换),确保内部网络的安全,并对外隐藏内网结构,避免恶意攻击与嗅探。6.2 异常流量清洗1) DoS/DdoS攻击Do
40、s(Deny of service)是一类攻击方式的统称(DDos也是Dos的一种),其攻击的基本原理就是通过发送各种垃圾报文导致网络的阻塞、服务的瘫痪。Dos攻击方式其利用IP无连接的特点,可以制造各种不同的攻击手段,而且攻击方式非常简单,在Internet上非常流行,对企业网、甚至电信骨干网都造成了非常严重的影响,导致严重的网络事故,因此优秀的Dos攻击防范功能是防火墙的必备功能。一个优秀的Dos攻击防御体系,应该具有如下最基本的特征:n 防御手段的健全与丰富。因为Dos攻击手段种类比较多,因此必须具有丰富的防御手段,才可以保证真正的抵御Dos攻击。优秀的处理性能。因为Dos攻击伴随这一个
41、重要特征就是网络流量突然增大,如果防火墙本身不具有优秀的处理能力,则防火墙在处理Dos攻击的同时本身就成为了网络的瓶颈,根本就不可能抵御Dos攻击准确的识别攻击能力。DDoS攻击会导致用于输入、输出与内联网通信的带宽达到饱与;超出目标路由器、服务器甚至防火墙的承受能力,导致它们无法提供合法流量;阻止对特定应用或者主机的访问;攻击其他网络资源,例如软交换机、核心路由器与域名系统(DNS)服务器;对网络中没有直接遭受攻击的部分造成间接破坏。让这个日益加剧的问题变得更为复杂的是DDoS攻击往往很难发现,因为非法分组与合法分组的区分并不是很容易。要应对DDoS的攻击,必须采用一个全面的保护系统,它应当
42、可以在攻击开始时及时发现攻击,转移或者“清理”受到攻击的数据流(即所谓的管道),再将合法流量发回到网络。2) DoS/DdoS攻击防范描述H3C安全宽带解决方案通过在IDC网络中部署高性能的流量清洗AFC设备,与iMC管理平台联动,实现对异常攻击流量、邮件病毒的检测与过滤,从而构建安全可靠的高性能网络,保障带宽,降低服务器的负载,节约CPU与内存资源,提升业务处理能力。IPS安全宽带解决方案的工作流程图如下:1) 流量通过镜像功能到AFC设备上进行异常检测;2) AFC发现异常流量时,向业务管理软件平台进行告警;3) 业务管理平台通知防御设备,开启攻击防御;4) 防御系统对流量进行牵引,改变流
43、量转发路径,对流量进行清洗,只有正常的流量被回注到服务器进行业务的处理,异常流量被清洗掉;5) 当攻击结束后,解除防御,流量恢复正常;3) AFC在数据中心的部署在XXX中,每个数据中心区域的入口处部署AFC流量清洗,对于外部的DDoS攻击流量进行清洗,保证服务器接受的流量都是干净的。7 应用层安全设计7.1 深度入侵防御IPS1) 数据中心应用的威胁今天,各种蠕虫、间谍软件、网络钓鱼等应用层威胁与EMAIL、移动代码结合,形成复合型威胁,使威胁更加危险与难以抵御。这些威胁直接攻击IDC核心服务器与应用,给业务带来了重大损失;攻击终端用户计算机,给用户带来信息风险甚至财产损失;对网络基础设施进
44、行DoS/DDoS攻击,造成基础设施的瘫痪;更有甚者,像电驴、BT等P2P应用与MSN、QQ等即时通信软件的普及,宝贵的带宽资源被业务无关流量浪费,形成巨大的资源损失。面对这些问题,传统解决方案最大的问题是,防火墙工作在TCP/IP 34层上,根本就“看”不到这些威胁的存在,而IDS作为一个旁路设备,对这些威胁又“看而不阻”,因此我们需要一个全新的安全解决方案。图3 常见应用层威胁u 恶意网页u 蠕虫病毒u 后门木马u 间谍软件u DoS/DDoSu BT、eMule等P2P带宽滥用 u Skype、MSN等IM软件应用u 垃圾邮件u 网络钓鱼u 系统漏洞入侵防护系统 (IPS) 倾向于提供主
45、动防护,其设计宗旨是预先对入侵活动与攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在 IPS 设备中被清除掉。IPS可以针对应用流量做深度分析与检测能力,同时配合以精心研究的攻击特征知识库与用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而
46、达到对网络上应用的保护、网络基础设施的保护与网络性能的保护。2) 应用程序防护H3C IPS T1000提供扩展至用户端、服务器、及第二至第七层的网络型攻击防护,如:病毒、蠕虫与木马程序。利用深层检测应用层数据包的技术,H3C IPS T1000可以分辨出合法与有害的封包内容。最新型的攻击可以透过伪装成合法应用的技术,轻易的穿透防火墙。而H3C IPS T1000运用重组TCP 流量以检视应用层数据包内容的方式,以辨识合法与恶意的数据流。大部分的入侵防御系统都是针对已知的攻击进行防御,然而H3C IPS T1000运用漏洞基础的过滤机制,可以防范所有已知与未知形式的攻击。H3C IPS还支持以
47、下检测机制:1)基于访问控制列表(ACL)的检测2)基于统计的检测3)基于协议跟踪的检测4)基于应用异常的检测5)报文规范检测(Normalization)6)IP报文重组7)TCP流恢复3) 高精度、高效率的入侵检测引擎入侵检测引擎是IPS设备最核心的功能之一,入侵检测引擎直接关系到IPS设备的两个重要功能指标:漏报率与误报率,也直接关系到IPS设备的两个重要性能指标:吞吐量与时延。H3C SecPath T系列产品采用华三公司自主知识产权的FIRST(注:FIRST,Full Inspection with Rigorous State Test,基于精确状态的全面检测)引擎。FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,全面提高了入侵检测的精确度;同时,FIRST引擎采用了并行检测技术,并且可软、硬件灵活适配,硬件可采用ASIC、FPGA、NP等技术,大大提高了入侵检测的性能。FIRST引擎架构如图2-1所示。图4 FIRST引擎架构如上图所示,FIRST引擎创新性地将协议识别与特征匹配紧密地结合起来,利用特征匹配精确地识别出应用层协议,并精确地分析