《数据中心解决方案安全技术白皮书13819.docx》由会员分享,可在线阅读,更多相关《数据中心解决方案安全技术白皮书13819.docx(41页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、数据中心心解决方方案安全全技术白白皮书1 前言数据集中中是管理理集约化化、精细细化的必必然要求求,是企企业优化化业务流流程、管管理流程程的的必要手手段。目目前,数数据集中中已经成成为国内内电子政政务、企企业信息息化建设设的发展展趋势。数数据中心心的建设设已成为为数据大大集中趋趋势下的的必然要要求。做做为网络络中数据据交换最最频繁、资资源最密密集的地地方,数数据中心心无疑是是个充满满着巨大大的诱惑惑的数字字城堡,任任何防护护上的疏疏漏必将将会导致致不可估估量的损损失,因因此构筑筑一道安安全地防防御体系系将是这这座数字字城堡首首先面对对的问题题。2 数据中心心面对的的安全挑挑战随着Innterrn
2、ett应用日日益深化化,数据据中心运运行环境境正从传传统客户户机/服务器器向网络络连接的的中央服服务器转转型,受受其影响响,基础础设施框框架下多多层应用用程序与与硬件、网网络、操操作系统统的关系系变得愈愈加复杂杂。这种种复杂性性也为数数据中心心的安全全体系引引入许多多不确定定因素,一一些未实实施正确确安全策策略的数数据中心心,黑客客和蠕虫虫将顺势势而入。尽尽管大多多数系统统管理员员已经认认识到来来自网络络的恶意意行为对对数据中中心造成成的严重重损害,而而且许多多数据中中心已经经部署了了依靠访访问控制制防御来来获得安安全性的的设备,但但对于日日趋成熟熟和危险险的各类类攻击手手段,这这些传统统的防
3、御御措施仍仍然显现现的力不不从心。以下是当当前数据据中心面面对的一一些主要要安全挑挑战。2.1 面向应用用层的攻攻击常见的应应用攻击击包括恶恶意蠕虫虫、病毒毒、缓冲冲溢出代代码、后后门木马马等,最最典型的的应用攻攻击莫过过于“蠕虫”。蠕虫虫是指通过计计算机网网络进行行自我复复制的恶恶意程序序,泛滥滥时可以以导致网网络阻塞塞和瘫痪痪。从本本质上讲讲,蠕虫虫和病毒毒的最大大的区别别在于蠕蠕虫是通通过网络络进行主主动传播播的,而而病毒需需要人的的手工干干预(如如各种外外部存储储介质的的读写)。蠕蠕虫有多多种形式式,包括括系统漏漏洞型蠕蠕虫、群群发邮件件型蠕虫虫、共享享型蠕虫虫、寄生生型蠕虫虫和混和和
4、型蠕虫虫。其中中最常见见,变种种最多的的蠕虫是是群发邮邮件型蠕蠕虫,它它是通过过EMAAIL进进行传播播的,著著名的例例子包括括求职信信、网络天天空NeetSkky、雏鹰BBBeaggle等,20005年年11月爆爆发的Sobber蠕虫,是是一个非非常典型型的群发发邮件型型蠕虫。而而传播最最快,范范围最广广、危害害最大是是系统漏漏洞型蠕蠕虫,例例如利用用TCPP 4445端口口进行传传播的wwinddowss PnnP服务务漏洞到到20006年第第一季度度还在肆肆虐它的的余威。图1 应应用协议议攻击穿穿透防火火墙应用攻击击的共同同特点是是利用了了软件系系统在设设计上的的缺陷,并并且他们们的传播
5、播都基于于现有的的业务端端口,因因此应用用攻击可可以毫不不费力的的躲过那那些传统统的或者者具有少少许深度度检测功功能的防防火墙。国国际计算算机安全全协会 ICSSA 实实验室调调查的结结果显示示,20005年年病毒攻攻击范围围提高了了39%,重度度被感染染者提高高了188%,造造成的经经济损失失提高了了31%,尤为为引人注注意的是是,跨防防火墙的的应用层层(ISSO 77层)攻击提提高了2278%,即使使在20004年年,这一一数字也也高达2249%。摆在我们们面前的的大量证证据表明明,针对对系统缺缺陷的应应用攻击击已成为为数据中中心面临临的主要要威胁。造成应用用攻击的的根本原原因在于于软件开
6、开发人员员编写程程序时没没有充分分考虑异异常情况况的处理理过程,当当系统处处理处理理某些特特定输入入时引起起内存溢溢出或流流程异常常,因此此形成了了系统漏漏洞。黑黑客利用用系统漏漏洞可以以获得对对系统非非授权资资源的访访问。来来自CEERT(计计算机紧紧急事件件相应组组)报告告指出,从从19995年开开到20004年年已有超超过122,0000个漏洞洞被报告告,而且且自19999年年以来,每每年的数数量都翻翻翻,增增长如此此迅猛,如如下图所所示:图2 11995520005 CCERTT/CCC统计发发现的漏漏洞如此多的的漏洞,对对数据中中心意味味着什么么?系统统安全小小组必须须及时采采取行动
7、动获得补补丁程序序、测试试、最后后将其部部署在服服务器上上,为什什么不直直接给服服务器打打补丁呢呢?因为为不能保保证补丁丁对应用用系统没没有影响响,为了了以防万万一,必必须对补补丁程序序进行测测试和验验证,然然后才允允许将其其投入生生产系统统。从补补丁程序序获得、测测试和验验证,再再到最终终的部署署,完成成这一系系列任务务需要多多长时间间?答案案是,可可能需要要几个小小时到几几天,而而在此期期间攻击击可能已已经发生生,损失失已无法法挽回。这这也就是是所谓的的“零时差差攻击”。如下下表所示示,从系系统漏洞洞被发现现到产生生针对性性应用攻攻击的时时间已从从以年计计算降至至以天,以以小时计计算。表1
8、 系系统漏洞洞与应用用攻击爆爆发速度度关系:应用攻击击系统漏洞洞与应用用攻击爆爆发周期期MS055-033924 小小时Wittty48小时时 (2天)Blasst1个月(26天)Slammmerr6个月 (1855天)Nimiida11个月月 (3366天)试想一下下,这是是一个何何等恐怖怖的情况况,数据据中心庞庞大的服服务器群群还未来来得及做做出任何何反应即即遭到黑黑客发动动的“闪击战战”,大量量敏感数数据被盗盗用、网网络险入入瘫痪 |。因此,数数据中心心面临的的另一个个严峻问问题是如如何应对对由应用用攻击造造成的“零时差差”效应。2.2 面向网络络层的攻攻击除了由于于系统漏漏洞造成成的应
9、用用攻击外外,数据据中心还还要面对对拒绝服服务攻击击(DooS)和和分布式式拒绝服服务攻击击(DDDoS)的的挑战。DOS/DDOS是一种传统的网络攻击方式,然而其破坏力却十分强劲。据2004 美国CSI/FBI的计算机犯罪和安全调研分析,DOS和DDOS攻击已成为对企业损害最大的犯罪行为,超出其他各种犯罪类型两倍。常见的DDDOSS攻击方方法有SSYN Floood、Esttabllishhed Connnecctioon FFloood和Connnecctioon PPer Seccondd Flloodd。已发发现的DDOS攻攻击程序序有ICCMP Smuurf、UDPP 反弹弹,而典典
10、型的DDDOSS攻击程程序有ZZombbie、TFNN2K、Triinooo和Staacheeldrrahtt等。DOOS/DDDoSS攻击大大行其道道的原因因主要是是利用了了TCPP/IPP的开放放性原则则,从任任意源地地址向任任意目标标地址都都可以发发送数据据包。DDOS/DDOOS利用用看似合合理的海海量服务务请求来来耗尽网网络和系系统的资资源,从从而使合合法用户户无法得得到服务务的响应应。早期期的DOOS攻击击由单机机发起,在在攻击目目标的CCPU速速度不高高、内存存有限、网网络带宽宽窄的情情况下效效果是明明显的。随随着网络络和系统统性能的的大幅提提高,CCPU的的主频已已达数GG,服
11、务务器的内内存通常常在2GG以上,此此外网络络的吞吐吐能力已已达万兆兆,单机机发起的的DoSS攻击好好比孤狼狼斗猛虎虎,没有有什么威威胁。狼狼的习性性是群居居,一只只固然势势单力薄薄,但如如果群起起而攻之之,恐怕怕猛虎也也难抵挡挡,这就就是分布布式拒绝绝服务攻攻击的原原理。用用一台攻攻击机来来攻击不不再起作作用的话话,攻击击者使用用10台攻攻击机、100台呢共同发起攻击呢?DDoS就是利用大量的傀儡机来发起攻击,积少成多超过网络和系统的能力的极限,最终击溃高性能的网络和系统。数据中心心绝不允允许DOOS/DDDOSS垃圾报报文肆虐虐于网络络之中,因因此如何何实施边边界安全全策略,如如何“拒敌于
12、于国门之之外”将是数数据中心心面临的的又一个个挑战。2.3 对网络基基础设施施的攻击击数据中心心象一座座拥有巨巨大财富富的城堡堡,然而而坚固的的堡垒最最容易从从内部被被攻破,来来自数据据中心内内部的攻攻击也更更具破坏坏性。隐隐藏在企企业内部部的黑客客不仅可可以通过过应用攻攻击技术术绕过防防火墙,对对数据中中心的网网络造成成损害,还还可以凭凭借其网网络构架架的充分分了解,通通过违规规访问、嗅探网络系统、攻击路由器/交换机设备等手段,访问非授权资源,这些行将对企业造成更大的损失。“木桶的的装水量量取决于于最短的的木板”,涉及及内网安安全防护护的部件件产品非非常多,从从接入层层设备到到汇聚层层设备再
13、再到核心心层设备备,从服服务器到到交换机机到路由由器、防防火墙,几几乎每台台网络设设备都将将参与到到系统安安全的建建设中,任任何部署署点安全全策略的的疏漏都都将成为为整个安安全体系系的短木木板。“木桶的的装水量量还取决决于木板板间的紧紧密程度度”,一个个网络的的安全不不仅依赖赖于单个个部件产产品的安安全特性性,也依依赖于各各安全部部件之间间的紧密密协作。一一个融合合不同工工作模式式的安全全部件产产品的无无缝安全全体系必必须可以以进行全全面、集集中的安安全监管管与维护护。因此,数数据中心心的安全全防护体体系不能能仅依靠靠单独的的某个安安全产品品,还要要依托整整个网络络中各部部件的安安全特性性。3
14、 技术特色色在这种咄咄咄逼人人的安全全形势下下,数据据中心需需要一个个全方位位一体化化的安全全部署方方式。HH3C数数据中心心安全解解决方案案秉承了了H3CC一贯倡倡导的“安全渗渗透理念念”,将安安全部署署渗透到到整个数数据中心心的设计计、部署署、运维维中,为为数据中中心搭建建起一个个立体的的、无缝缝的安全全平台,真真正做到到了使安安全贯穿穿数据链链路层到到网络应应用层的的目标,使使安全保保护无处处不在。H3C数数据中心心安全解解决方案案的技术术特色可可用十二二个字概概括:三三重保护护、多层层防御;分区规规划,分分层部署署。3.1 三重保护护,多层层防御图3 数数据中心心三重安安全保护护以数据
15、中中心服务务器资源源为核心心向外延延伸有三三重保护护功能。依拖具有丰富安全特性的交换机构成数据中心网络的第一重保护;以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的IPS提供对网络报文深度检测,构成对数据中心网络的第二重保护;第三重保护是凭借高性能硬件防火墙构成的数据中心网络边界。用一个形形象的比比喻来说说明数据据的三重重保护。数数据中心心就像一一个欣欣欣向荣的的国家,来来往的商商客就像像访问数数据中心心的报文文;防火火墙是驻驻守在国国境线上上的军队队,一方方面担负负着守卫卫国土防防御外族族攻击(DDOS)的重任,另一方面负责检查来往商客的身份(访问控制);IPS是国家的警察,随时
16、准备捉拿虽然拥有合法身份,但仍在从事违法乱纪活动的商客(蠕虫病毒),以保卫社会秩序;具有各种安全特性的交换机就像商铺雇佣的保安,提供最基本的安全监管,时刻提防由内部人员造成的破坏(STP 攻击)。图4 数数据中心心多层安安全防御御三重保护护的同时时为数据据中心网网络提供供了从链链路层到到应用层层的多层层防御体体系,如如图。交交换机提提供的安安全特性性构成安安全数据据中心的的网络基基础,提提供数据据链路层层的攻击击防御。数数据中心心网络边边界安全全定位在在传输层层与网络络层的安安全上,通通过状态态防火墙墙可以把把安全信信任网络络和非安安全网络络进行隔隔离,并并提供对对DDOOS和多多种畸形形报文
17、攻攻击的防防御。IIPS可可以针对对应用流流量做深深度分析析与检测测能力,同同时配合合以精心心研究的的攻击特特征知识识库和用用户规则则,即可可以有效效检测并并实时阻阻断隐藏藏在海量量网络流流量中的的病毒、攻攻击与滥滥用行为为,也可可以对分分布在网网络中的的各种流流量进行行有效管管理,从从而达到到对网络络应用层层的保护护。3.2 分区规划划,分层层部署在网络中中存在不不同价值值和易受受攻击程程度不同同的设备备,按照照这些设设备的情情况制定定不同的的安全策策略和信信任模型型,将网网络划分分为不同同区域,这这就是所所谓的分分区思想想。数据据中心网网络根据据不同的的信任级级别可以以划分为为:远程程接入
18、区区、园区区网、IInteerneet服务务器区、Extranet服务器区、Intranet服务器区、管理区、核心区,如图。图5 数数据中心心分区规规划思想想所谓多层层思想(n-Tier)不仅体现在传统的网络三层部署(接入汇聚核心)上,更应该关注数据中心服务器区(Server Farm)的设计部署上。服务器资源是数据中心的核心,多层架构把应用服务器分解成可管理的、安全的层次。“多层”指数据中心可以有任意数据的层次,但通常是3层。按照功能分层打破了将所有功能都驻留在单一服务器时带来的安全隐患,增强了扩展性和高可用性。如图,第第一层,Web服务器层,直接与接入设备相连,提供面向客户的应用;第二层,
19、即应用层,用来粘合面向用户的应用程序、后端的数据库服务器或存储服务器;第三层,即数据库层,包含了所有的数据库、存储和被不同应用程序共享的原始数据。图6 数数据中心心分层部部署思想想4 关键技术术说明本节将按按照“三重保保护、多多层防御御”的思想想,详细细说明每每种安全全技术的的应用模模式。本本节的最最后还将将介绍另另一个不不容忽视视的问题题“数据中中心网络络管理安安全技术术”。4.1 数据中心心网络架架构安全全技术网络基础础架构的的安全特特性是数数据中心心中各部部件产品品基本安安全特性性的通称称。架构构安全特特性涉及及服务器器、接入入交换机机、负载载均衡器器、汇聚聚交换机机、核心心交换机机等设
20、备备,部署署点多、覆覆盖面大大,是构构成整个个安全数数据中心心的基石石。H3C凭凭借基于于COMMWARRE的具具有丰富富安全特特性全系系列智能能交换机机为数据据中心打打造坚实实的基础础构架。COMWARE是由H3C推出的支持多种网络设备的网络操作系统,它以强大的IP转发引擎为核心,通过完善的体系结构设计,把实时操作系统和网络管理、网络应用、网络安全等技术完美的结合在一起。作为一个不断发展、可持续升级的平台,它具有开放的接口,可灵活支持大量的网络协议和安全特性。COMWARE可应用在分布式或集中式的网络设备构架之上,也就是说,不仅可以运行在高端的交换机/路由器上,而且也可以运行在中低端的交换机
21、/路由器上,不向其它厂商,不同的软件运行在不同的设备上。COMWARE的这一特性可使网络中各节点设备得到同一的安全特性,彻底避免了由于部件产品安全特性不一致、不统一造成的安全“短木板效应”。图7 数数据中心心基础架架构安全全相关架架构4.2 基于VLLAN的的端口隔隔离交换机可可以由硬硬件实现现相同VVLANN中的两两个端口口互相隔隔离。隔隔离后这这两个端端口在本本设备内内不能实实现二、三三层互通通。当相相同VLLAN中中的服务务器之间间完全没没有互访访要求时时,可以以设置各各自连接接的端口口为隔离离端口,如图。这样可以更好的保证相同安全区域内的服务器之间的安全: 即使非非法用户户利用后后门控
22、制制了其中中一台服服务器,但但也无法法利用该该服务器器作为跳跳板攻击击该安全全区域内内的其他他服务器器。 可以有有效的隔隔离蠕虫虫病毒的的传播,减小受感染服务器可能造成的危害。比如:如果Web服务器遭到了Code-Red红色代码的破坏,即使其它Web服务器也在这个网段中,也不会被感染。图8 交交换机IIsollateed VVlann 技术术4.3 STP Rooot/BBPDUU Guuardd基于Rooot/BPDDU GGuarrd方式式的二层层连接保保护保证证STPP/RSSTP稳稳定,防止攻攻击,保障可可靠的二二层连接接。如图图。图9 交交换机RRoott Guuardd/BPPDU
23、 Guaard 技术4.3.1 BPDUU Guuardd对于接入入层设备备,接入入端口一一般直接接与用户户终端(如如PC机)或或文件服服务器相相连,此此时接入入端口被被设置为为边缘端端口以实实现这些些端口的的快速迁迁移;当当这些端端口接受受到配置置消息(BPDU报文)时系统会自动将这些端口设置为非边缘端口,重新计算生成树,引起网络拓扑的震荡。这些端口正常情况下应该不会收到生成树协议的配置消息的。如果有人伪造配置消息恶意攻击交换机,就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上上启动了了BPDDU保护护功能以以后,如如果边缘缘端口收收到了配配置消息息,系统统就将这这些端口口s
24、huutdoown,同同时通知知网管。被被shuutdoown的的端口只只能由网网络管理理人员恢恢复。推推荐用户户在配置置了边缘缘端口的的交换机机上配置置BPDDU保护护功能。4.3.2 ROOTT Guuardd由于维护护人员的的错误配配置或网网络中的的恶意攻攻击,网网络中的的合法根根交换机机有可能能会收到到优先级级更高的的配置消消息,这这样当前前根交换换机会失失去根交交换机的的地位,引引起网络络拓扑结结构的错错误变动动。这种种不合法法的变动动,会导导致原来来应该通通过高速速链路的的流量被被牵引到到低速链链路上,导导致网络络拥塞。Root保护功能可以防止这种情况的发生。对于设置置了Rooot
25、保保护功能能的端口口,端口口角色只只能保持持为指定定端口。一一旦这种种端口上上收到了了优先级级高的配配置消息息,即其其将被选选择为非非指定端端口时,这这些端口口的状态态将被设设置为侦侦听状态态,不再再转发报报文(相相当于将将此端口口相连的的链路断断开)。当当在足够够长的时时间内没没有收到到更优的的配置消消息时,端端口会恢恢复原来来的正常常状态。4.3.3 LOOPP PRROTEECTIION交换机的的根端口口和其他他阻塞端端口的状状态依靠靠不断接接收上游游交换机机发送的的BPDDU来维维持的。但但是由于于链路拥拥塞或者者单向链链路故障障,这些些端口会会收不到到上游交交换机的的BPDDU。此此
26、时交换换机会重重新选择择根端口口,根端端口会转转变为指指定端口口,而阻阻塞端口口会迁移移到转发发状态,从从而交换换网络中中会产生生环路。环环路保护护功能会会抑制这这种环路路的产生生。在启启动了环环路保护护功能后后,根端端口的角角色如果果发生变变化就会会设置它它为Diiscaardiing状状态,阻阻塞端口口会一直直保持在在Disscarrdinng状态态,不转转发报文文,从而而不会在在网络中中形成环环路。4.3.4 TC PPROTTECTTIONN根据IEEEE 8022.1ww和IEEEE 8802.1s协协议,交交换机监监测到拓拓扑变化化或者接接收到TTC报文文后会清清空MAAC表。如如
27、果受到到TC攻击击(连续不不断收到到TC报文文)交换机机就会一一直进行行MACC删除操操作,影影响正常常的转发发业务。使使能TCC PRROTEECTIION功功能后,将将减少删删除MAAC的次次数,保保证业务务的正常常运行。4.3.5 端口安全全端口安全全(Poort Seccuriity)的的主要功功能就是是通过定定义各种种安全模模式,让让设备学学习到合合法的源源MACC地址,以以达到相相应的网网络管理理效果。对对于不能能通过安安全模式式学习到到源MAAC地址址的报文文或8002.11x认证证失败的的0当发现非非法报文文后,系系统将触触发相应应特性,并并按照预预先指定定的方式式自动进进行处
28、理理,减少少了用户户的维护护工作量量,极大大地提高高了系统统的安全全性和可可管理性性。端口安全全的特性性包括:NTK:NTKK(Neeed TTo KKnoww)特性性通过检检测从端端口发出出的数据据帧的目目的MAAC地址址,保证证数据帧帧只能被被发送到到已经通通过认证证的设备备上,从从而防止止非法设设备窃听听网络数数据。Intrrusiion Prootecctioon:该该特性通通过检测测端口接接收到的的数据帧帧的源MMAC地地址或8802.1x认认证的用用户名、密密码,发发现非法法报文或或非法事事件,并并采取相相应的动动作,包包括暂时时断开端端口连接接、永久久断开端端口连接接或是过过滤此
29、MMAC地地址的报报文,保保证了端端口的安安全性。Deviice Traackiing:该特性性是指当当端口有有特定的的数据包包(由非非法入侵侵,用户户不正常常上下线线等原因因引起)传传送时,设设备将会会发送TTrapp信息,便便于网络络管理员员对这些些特殊的的行为进进行监控控。表2 端端口的安安全模式式:安全模式式类型描述特性说明明secuure禁止端口口学习MMAC地地址,只只有源MAC为为端口上上已经配配置的静静态MAAC的报报文,才才能通过过该端口口在左侧列列出的模模式下,当当设备发现非非法报文文后,将将触发NTK特特性和IIntrrusiion Prottecttionn特性user
30、rloggin对接入用用户采用用基于端端口的802.1x认认证此模式下下NTKK特性和Intrrusiion Prootecctioon特性性不会被被触发userrloggin-seccuree接入用户户必须先先通过8802.1x认认证,认证成功功后端口口开启,但但也只允允许认证成功功的用户户报文通通过;此模式下下,端口口最多只只允许接接入一个经过8802.1x认认证的用用户;当端口从从正常模模式进入入此安全全模式时,端端口下原原有的动动态MAAC地址表项和和已认证证的MAAC地址址表项将被自动动删除在左侧列列出的模模式下,当当设备发现非非法报文文后,将将触发Needd Too Knnow特特
31、性和Intrrusiion Prootecctioon特性性userrloggin-witthouui与useerlooginn-seecurre类似似,端口口最多只允许一一个8002.11x认证证用户,但但同时,端口口还允许许一个ooui地地址的报报文通过;当用户户从端口口的正常常模式进入此模模式时,端端口下原原有的动动态MAC地地址表项项和已认认证的MMAC地址表项项将被自自动删除除mac-autthennticcatiion基于MAAC地址址对接入入用户进进行认证userrloggin-seccuree-orr-maac表示maac-aauthhentticaatioon和userrlo
32、ggin-seccuree模式下下的认证证可以同时进行行,如果果都认证证通过的的话,userrloggin-seccuree的优先先级高于于mac-autthennticcatiion模模式userrloggin-seccuree-ellse-macc表示先进进行maac-aauthhentticaatioon认证,如果果成功则则表明认认证通过过,如果失败则则再进行行useerlooginn-seecurre认证userrloggin-seccuree-exxt与useerlooginn-seecurre类似似,但端端口下的8022.1xx认证用用户可以以有多个个userrloggin-sec
33、curee-orr-maac-eext与useerlooginn-seecurre-oor-mmac类类似,但但端口下的的8022.1xx认证用用户可以以有多个userrloggin-seccuree-ellse-macc-exxt与macc-ellse-useerlooginn-seecurre类似似,但端口下下的8002.11x认证证用户可可以有多个4.3.6 防IP伪伪装病毒和非非法用户户很多情情况会伪伪装IPP来实现现攻击。伪伪装IPP有三个个用处: 本身就就是攻击击的直接接功能体体。比如如smuurf攻攻击。 麻痹网网络中的的安全设设施。比比如绕过过利用源源IP做的的接入控控制。 隐
34、藏攻攻击源设备防止止IP伪装装的关键键在于如如何判定定设备接接收到的的报文的的源IPP是经过过伪装的的。这种种判定的的方式有有三种。分分别在内内网和内内外网的的边界使使用。 在在intternnet出出口处过过滤RFFC33330和和RFCC19118所描描述的不不可能在在内外网网之间互互访的IIP地址址。由于现今今intternnet上上的大多多数攻击击者都不不具备很很高的网网络技术术水平,其其攻击手手段仅仅仅是比较较机械利利用现有有的攻击击工具。同同时一些些攻击工工具虽然然做到了了使用方方便,但但其攻击击方法设设计也相相对简单单,没有有办法根根据网络络实际状状况进行行调整。因因此,网网络中
35、大大多数的的攻击方方式是带带有盲目目性的。局局域网在在其innterrnett出入口口处过滤滤掉不可可能出现现的IPP地址,可可以缓解解非法用用户简单单的随机机伪装IIP所带带来的危危害。 利用用IP和MACC的绑定定关系 网关防防御利用DHHCP rellay特特性,网网关可以以形成本本网段下下主机的的IP、MACC映射表表。当网网关收到到一个AARP报报文时,会会先在映映射表中中查找是是否匹配配现有的的映射关关系。如如果找到到则正常常学习,否否则不学学习该AARP。这这样伪装装IP的设设备没有有办法进进行正常常的跨网网段通信信。 接入设设备防御御利用DHHCP SNOOOPIING特特性,
36、接接入设备备通过监监控其端端口接收收到的DDHCPP reequeest、ACKK、relleasse报文文,也可可以形成成一张端端口下IIP、MACC的映射射表。设设备可以以根据IIP、MACC、端口口的对应应关系,下下发ACCL规则则限制从从该端口口通过的的报文源源IP必须须为其从从DHCCP 服服务器获获取的IIP地址址。 UPPRFUPRFF会检测测接收到到的报文文中的源源地址是是否和其其接收报报文的接接口相匹匹配。其其实现机机制如下下:设备备接收到到报文后后,UPPRF会会比较该该报文的的源地址址在路由由表中对对应的出出接口是是否和接接收该报报文的接接口一致致。如果果两者不不一致,则
37、则将报文文丢弃。4.3.7 路由协议议认证攻击者也也可以向向网络中中的设备备发送错错误的路路由更新新报文,使使路由表表中出现现错误的的路由,从从而引导导用户的的流量流流向攻击击者的设设备。为为了防止止这种攻攻击最有有效的方方法就是是使用局局域网常常用路由由协议时时,必须须启用路路由协议议的认证证。 OSPPF协议议,支持持邻居路路由器之之间的明明文/MMD5认认证和OOSPFF区域内内的明文文/MDD5认证证; RIPPv2协协议,支支持邻居居路由器器之间的的明文/MD55认证另外,在在不应该该出现路路由信息息的端口口过滤掉掉所有路路由报文文也是解解决方法法之一。但但这种方方法会消消耗掉许许多
38、ACCL资源源。4.4 数据中心心网络边边界安全全技术边界安全全的一项项主要功功能是实实现网络络隔离,通通过防火火墙可以以把安全全信任网网络和非非安全网网络进行行隔离。H3C SecPath系列防火墙以其高效可靠的防攻击手段,和灵活多变的安全区域配置策略担负起是守护数据中心边界安全的的重任。4.4.1 状态防火火墙实现网络络隔离的的基本技技术是IIP包过过滤,AACL是是一种简简单可靠靠的技术术,应用用在路由由器或交交换机上上可实现现最基本本的IPP包过滤滤,但单单纯的AACL包包过滤缺缺乏一定定的灵活活性。对对于类似似于应用用FTPP协议进进行通信信的多通通道协议议来说,配配置ACCL则是是
39、困难的的。FTTP包含含一个预预知端口口的TCCP控制制通道和和一个动动态协商商的TCCP数据据通道,对对于一般般的ACCL来说说,配置置安全策策略时无无法预知知数据通通道的端端口号,因因此无法法确定数数据通道道的入口口。状态防火火墙设备备将状态态检测技技术应用用在ACCL技术术上,通通过对连连接状态态的状态态的检测测,动态态的发现现应该打打开的端端口,保保证在通通信的过过程中动动态的决决定哪些些数据包包可以通通过防火火墙。状状态防火火墙还采采用基于于流的状状态检测测技术可可以提供供更高的的转发性性能,因因为基于于ACLL的包过过滤技术术是逐包包检测的的,这样样当规则则非常多多的时候候包过滤滤
40、防火墙墙的性能能会变得得比较低低下,而而基于流流的状态态防火墙墙可以根根据流的的信息决决定数据据包是否否可以通通过防火火墙,这这样就可可以利用用流的状状态信息息决定对对数据包包的处理理结果加加快了转转发性能能。4.4.2 防火墙安安全区域域管理边界安全全的一项项主要功功能是网网络隔离离,并且且这种网网络隔离离技术不不是简单单的依靠靠网络接接口来划划分的,因因为网络络的实际际拓扑是是千差万万别的,使使用固定定接口来来进行网网络隔离离不能适适应网络络的实际际要求。SecPath防火墙提供了基于安全区域的隔离模型,每个安全区域可以按照网络的实际组网加入任意的接口,因此SecPath的安全管理模型是不
41、会受到网络拓扑的影响。业界很多多防火墙墙一般都都提供受受信安全全区域(ttrusst)、非非受信安安全区域域(unntruust)、非非军事化化区域(DMZ)三个独立的安全区域,这样的保护模型可以适应大部分的组网要求,但是在一些安全策略要求较高的场合,这样的保护模型还是不能满足要求。SecPPathh防火墙墙默认提提供四个个安全区区域:ttrusst、unttrusst、DMZZ、loccal,在在提供三三个最常常用的安安全逻辑辑区域的的基础上上还新增增加了本本地逻辑辑安全区区域,本本地安全全区域可可以定义义到防火火墙本身身的报文文,保证证了防火火墙本身身的安全全防护,使使得对防防火墙本本身的
42、安安全保护护得到加加强。例例如,通通过对本本地安全全区域的的报文控控制,可可以很容容易的防防止不安安全区域域对防火火墙本身身的Teelneet、ftpp等访问问。SeecPaath防防火墙还还提供自自定义安安全区域域,可以以最大定定义166个安全全区域,每每个安全全区域都都可以加加入独立立的接口口。SecPPathh系列防防火墙支支持根据据不同的的安全区区域之间间的访问问设计不不同的安安全策略略组,每每条安全全策略组组支持若若干个独独立的规规则。这这样的规规则体系系使得防防火墙的的策略十十分容易易管理,方方面用户户对各种种逻辑安安全区域域的独立立管理。部部分防火火墙还是是采用基基于接口口的安全
43、全策略管管理机制制,如图图。图10 防火墙墙安全区区域管理理两个接口口:trrustt接口和和DMZZ接口共共享unntruust接接口访问问intternnet,如如果在接接口上使使用安全全策略进进行控制制,则会会导致策策略混乱乱。因为为在unntruust接接口流量量中,即即有从DDMZ和和intternnet之之间的流流量,也也有从ttrusst和intternnet之之间的流流量。这这样的策策略控制制模型不不适合用用户进行行策略配配置。而而基于安安全区域域的策略略控制模模型,可可以清晰晰的分别别定义从从truust到到unttrusst、从从DMZZ到unttrusst之间间的各种种访
44、问,这这样的策策略控制制模型使使得SeecPaath防防火墙的的网络隔隔离功能能具有很很好的管管理能力力。4.4.3 防火墙DDOS/DDOOS防御御Dos(Denny oof sservvicee)是一一类攻击击方式的的统称(DDos也是Dos的一种),其攻击的基本原理就是通过发送各种垃圾报文导致网络的阻塞、服务的瘫痪。Dos攻击方式其利用IP无连接的特点,可以制造各种不同的攻击手段,而且攻击方式非常简单。在Intternnet上上非常流流行,对对企业网网、甚至至骨干网网都造成成了非常常严重的的影响,引引发很大大的网络事故故,因此此优秀的的Doss攻击防防范功能能是防火火墙的必必备功能能。现
45、在在几乎所所有的防防火墙设设备都宣宣传具有有Doss攻击防防御功能能,但是是那么为为什么DDos攻攻击导致致网络瘫瘫痪的攻攻击事件件为什么么还是层层出不穷穷呢?一一个优秀秀的Doos攻击击防御体体系,应应该具有有如下最最基本的的特征: 防御手手段的健健全和丰丰富。因因为Doos攻击击手段种种类比较较多,因因此必须须具有丰丰富的防防御手段段,才可可以保证证真正的的抵御DDos攻攻击。 优优秀的处处理性能能。因为为Doss攻击伴伴随这一一个重要要特征就就是网络络流量突突然增大大,如果果防火墙墙本身不不具有优优秀的处处理能力力,则防防火墙在在处理DDos攻攻击的同同时本身身就成为为了网络络的瓶颈颈,
46、根本本就不可可能抵御御Doss攻击。因因为Doos攻击击的一个个重要目目的就是是使得网网络瘫痪痪,网络络上的关关键设备备点发生生了阻塞塞,则DDos攻攻击的目目的就达达到了。防防火墙设设备不但但要注重重转发性性能,同同时一定定要保证证对业务务的处理理能力。在在进行DDos攻攻击防御御的过程程中,防防火墙的的每秒新新建能力力就成为为保证网网络通畅畅的一个个重要指指标,DDos攻攻击的过过程中,攻攻击者都都是在随随机变化化源地址址因此所所有的连连接都是是新建连连接。准确的的识别攻攻击能力力。很多多防火墙墙在处理理Doss攻击的的时候,仅仅仅能保保证防火火墙后端端的流量量趋于网网络可以以接受的的范围
47、,但但是不能能保证准准确的识识别攻击击报文。这这样处理理虽然可可以保证证网络流流量的正正常,可可以保证证服务器器不会瘫瘫痪,但但是这样样处理还还是会阻阻挡正常常用户上上网、访访问等的的报文,因因此虽然然网络层层面是正正常的,但但是真正正的服务务还是被被拒绝了了,因此此还是不不能达到到真正的的Doss攻击防防御的目目的。SSecPPathh系列防防火墙产产品,在在对上述述各个方方面都做做了详尽尽的考虑虑,因此此Doss防御的的综合性性能、功功能等方方面在同同类防火火墙产品品中都具具有很强强的优势势。4.4.4 防火墙TTCP代代理Tcp代代理是SSecPPathh系列防防火墙为为防止SSYN Floood类类的Doos攻击击,而专专门开发发的一个个安全特特性。SYN Floood攻攻击可以以很快的的消耗服服务器资资源,导导致服务务器崩溃溃。在一一般的DDos防防范技术术中,在在攻击发发生的时时候不能能准确的的识别哪哪些是合合法用户户,哪些些是攻击击报文。Eudemon防火墙采用了TCP透明代理的方式实现了对这种攻击的防范,Eudemon防火墙通过精确的验证可以准确的发现攻击报文,对正常报文依然可以通过允许这些报文访问防火墙资源,而攻击报文则被Eudemon防火墙丢弃。有些攻击是建立一个完整的TCP连接用来消耗服务器的资源。Eude