【文章內(nèi)容簡(jiǎn)介】 現(xiàn)物理故障；2. 邊緣端口B P D U 保護(hù)雙鏈路冗余保護(hù)接入交換機(jī)支持D H C P S n o o p i n g和 A R P 入侵檢測(cè)功能，有效防御各類(lèi) A R P 欺騙攻擊威脅核心及接入交換機(jī)均支持 D L D P協(xié)議，實(shí)現(xiàn)光纖故障告警配置多個(gè) V R R P組實(shí)現(xiàn)負(fù)載分擔(dān)核心交換機(jī)配置N e t st r e a m 網(wǎng)流分析板結(jié)合 X l o g可對(duì)全網(wǎng)數(shù)據(jù)流量進(jìn)行實(shí)時(shí)統(tǒng)計(jì)分析核心交換機(jī)配置N A T 板可確保服務(wù)器和終端 IP 地址不做修改的情況下實(shí)現(xiàn)新老網(wǎng)絡(luò)的互訪 核心層設(shè)備通過(guò) VRRP協(xié)議進(jìn)行網(wǎng)關(guān)備份，在這個(gè)網(wǎng)絡(luò)中，通過(guò)合理規(guī)劃 VRRP group master、生成樹(shù)實(shí)例和生成樹(shù)實(shí)例與 VLAN 映射的關(guān)系，可提高網(wǎng)絡(luò)鏈路利用率和可靠性。在核心路由交換機(jī)上配置多個(gè) VRRP 組，組 master 和 backup 角色均勻分布在兩臺(tái)核心路由交換機(jī)上，使兩臺(tái)網(wǎng)關(guān)設(shè)備同時(shí)完成備份和負(fù)載分擔(dān)功能；通過(guò)多生成樹(shù)實(shí)例（ MSTP）規(guī)劃，使接入設(shè)備不同 VLAN業(yè)務(wù)負(fù)載分擔(dān)在兩條上行鏈路，并且到達(dá)的核心設(shè)備為第一跳網(wǎng) 關(guān) master；實(shí)例 root 與生成樹(shù)實(shí)例映射 VLAN 的三層網(wǎng)關(guān) master 在同一臺(tái)核心設(shè)備上，使 STP協(xié)議能夠通過(guò)計(jì)算合理阻塞鏈路，并且縮小鏈路故障引起的網(wǎng)絡(luò)震蕩范圍；若接入設(shè)備上有 VLAN 重疊，匯聚設(shè)備設(shè)置為二層 TRUNK鏈路。一些安全特性的配合使用，更能增強(qiáng)網(wǎng)絡(luò)的健壯性：在網(wǎng)絡(luò)邊緣直接與用戶(hù)相連的端口可以配置邊緣端口和 BPDU 保護(hù)，防止從這些端口接收到 BPDU 報(bào)文引起網(wǎng)絡(luò)拓?fù)渥兓辉趨R聚網(wǎng)關(guān)上配置 TC保護(hù)和根保護(hù)特性，防止攻擊造成拓?fù)漕l繁變化；在接入交換機(jī)上啟用 DHCP Snooping和 ARP 入侵檢測(cè) 功能，能夠有效防御 ARP 欺騙攻擊。 由于本次網(wǎng)絡(luò)升級(jí)改造項(xiàng)目所選用的接入交換機(jī)均為三層以太網(wǎng)交換機(jī)，支持 RIP、 OSPF 等高級(jí)動(dòng)態(tài)路由協(xié)議。因此我們建議衡鋼在綜合業(yè)務(wù)系統(tǒng)遷移的可靠性，網(wǎng)絡(luò)的可靠性，網(wǎng)絡(luò)彈性以及業(yè)務(wù)對(duì)網(wǎng)絡(luò)收斂速度的要求等多方面考慮后，在接入層和核心層所有設(shè)備上啟用 OSPF 動(dòng)態(tài)路由協(xié)議，提高整個(gè)系統(tǒng)的可靠性，吞吐能力和收斂速度。 主要 HA 性能參數(shù) 網(wǎng)絡(luò)故障 收斂性能 核心層設(shè)備雙機(jī)切換 3秒（ VRRP）， 1 秒（ OSPF） 光纖鏈路單通故障 2秒 接入層 核心層鏈路故障 /恢復(fù) 1秒 核心層設(shè)備路由交換處理板主備倒換 50 毫秒 核心層設(shè)備單路電源故障 0 秒 4. 網(wǎng)絡(luò)安全設(shè)計(jì) 面對(duì)現(xiàn)在網(wǎng)絡(luò)環(huán)境越來(lái)越多的網(wǎng)絡(luò)病毒和攻擊威脅，衡鋼網(wǎng)絡(luò)升級(jí)改造所選網(wǎng)絡(luò)設(shè)備從核心到接入設(shè)備應(yīng)提供強(qiáng)大的網(wǎng)絡(luò)病毒和攻擊防護(hù)能力， H3C S 系列以太網(wǎng)交換機(jī)設(shè)備不僅提供了強(qiáng)大的ACL 功能，同時(shí)為了避免非管理人員登陸并操縱網(wǎng)絡(luò)設(shè)備，造成網(wǎng)絡(luò)傳輸和安全的影響，核心、匯聚和接入設(shè)備還提供了 SSH 加密登陸功能，以及 tel/web登錄的源 IP 限制功能； S9500和 S5500系列以太網(wǎng)交換機(jī)還支持防源 IP 地址欺騙（ Souce IP Spoofing）、防 DOS/DDOS攻擊（ Synflood，Smurf），防掃描（ PingSweep）等能力；同時(shí)為了防止由于病毒的原因而引起交換機(jī)的路由表溢出；核心交換機(jī) S9508 和接入交換機(jī) S5500EI/S3600EI 具有 LPM（最長(zhǎng)匹配）功能，可節(jié)約存儲(chǔ)空間，病毒和攻擊數(shù)據(jù)直接通過(guò)缺省路由轉(zhuǎn)發(fā)，不造成存儲(chǔ)溢出。從設(shè)備本身的功能即可保證網(wǎng)絡(luò)安 全。 . H3C EAD 端點(diǎn)準(zhǔn)入防御解決方案 目前，在園區(qū)網(wǎng)中，用戶(hù)的終端計(jì)算機(jī)不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫(kù)、私設(shè)代理服務(wù)器、私自訪問(wèn)外部網(wǎng)絡(luò)、濫用企業(yè) 禁用軟件的行為比比皆是，脆弱的用戶(hù)終端一旦接入網(wǎng)絡(luò)，就等于給潛在的安全威脅敞開(kāi)了大門(mén)，使安全威脅在更大范圍內(nèi)快速擴(kuò)散，進(jìn)而導(dǎo)致網(wǎng)絡(luò)使用行為的“失控”。保證用戶(hù)終端的安全、阻止威脅入侵網(wǎng)絡(luò)，對(duì)用戶(hù)的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行有效的控制，是保證網(wǎng)絡(luò)安全運(yùn)行的前提，也是目前急需解決的問(wèn)題。 網(wǎng)絡(luò)安全從本質(zhì)上講是管理問(wèn)題。 H3C端點(diǎn)準(zhǔn)入防御（ EAD， Endpoint Admission Defense）解決方案從控制用戶(hù)終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過(guò)安全客戶(hù)端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第 三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶(hù)終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶(hù)的網(wǎng)絡(luò)使用行為，有效地加強(qiáng)了用戶(hù)終端的主動(dòng)防御能力，為網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。 . 方案概述 對(duì)于要接入安全網(wǎng)絡(luò)的用戶(hù)， EAD 解決方案首先要對(duì)其進(jìn)行身份認(rèn)證，通過(guò)身份認(rèn)證的用戶(hù)進(jìn)行終端的安全認(rèn)證，根據(jù)網(wǎng)絡(luò)管理員定制的安全策略進(jìn)行包括病毒庫(kù)更新情況、系統(tǒng)補(bǔ)丁安裝情況、軟件的黑白名單等內(nèi)容的安全檢查，根據(jù)檢查的結(jié)果， EAD 對(duì)用戶(hù)網(wǎng)絡(luò)準(zhǔn)入進(jìn)行授權(quán)和控制。通過(guò)安全認(rèn)證后，用戶(hù)可以正常使用網(wǎng)絡(luò)，與此同時(shí)， EAD 可以對(duì)用戶(hù)終端 運(yùn)行情況和網(wǎng)絡(luò)使用情況進(jìn)行審計(jì)和監(jiān)控。 EAD 解決方案對(duì)用戶(hù)網(wǎng)絡(luò)準(zhǔn)入的整體認(rèn)證過(guò)程如下圖所示： . 組網(wǎng)模型 如下圖所示， EAD 組網(wǎng)模型圖中包括安全客戶(hù)端、安全聯(lián)動(dòng)設(shè)備、安全策略服務(wù)器和第三方服 務(wù)器。 H3C EA D 解決方案架構(gòu)S 9 5 0 8網(wǎng)絡(luò)中心W X3 0 2 4S3 1 0 0補(bǔ)丁服務(wù)器補(bǔ)丁服務(wù)器病毒服務(wù)器病毒服務(wù)器S5 5 0 0 EIS3 6 0 0隔離區(qū)不符合安全策略的用戶(hù)安全客戶(hù)端安全客戶(hù)端安全聯(lián)動(dòng)設(shè)備安全聯(lián)動(dòng)設(shè)備E A D 安全策略組件安全策略組件S e cP a thL 2 T P /I P S e c通道I n te r n e tL 2 T P /I P S e c通道? 最精細(xì)的用戶(hù)權(quán)限管理 ：基于 A CL 直接控制用戶(hù)的訪問(wèn)權(quán)限，避免傳統(tǒng) V L A N 控制方式下單端口單用戶(hù)組網(wǎng)限制? 最廣泛的接入方式：可與交換機(jī)、路由器、防火墻、無(wú)線等多種網(wǎng)絡(luò)設(shè)備配合? 最便捷的客戶(hù)端部署 ：支持客戶(hù)端 W e b 推送、定制安裝、靜默安裝，大大降低部署工作量和維護(hù)難度 ；? 最靈活的補(bǔ)丁管理 ：可與微軟 S M S （ W S US ）無(wú)縫集成實(shí)現(xiàn)系統(tǒng)補(bǔ)丁自動(dòng)檢測(cè)和升級(jí)；? 最全面的防病毒聯(lián)動(dòng) ： 支持業(yè)內(nèi)所有主流防病毒廠商聯(lián)動(dòng)? 最嚴(yán)格的終端軟件控制： 支持黑白軟件檢查，保證企業(yè) IT 政令暢通無(wú)阻，可與 L A N De sk 、B igF i x 、微軟 S M S 等無(wú)縫聯(lián)動(dòng)W A 2 2 1 0 安全客戶(hù)端： 是指安裝了 H3C iNode 智能客戶(hù)端的用戶(hù)接入終端，負(fù)責(zé)身份認(rèn)證的發(fā)起和安全策略的檢查。 安全聯(lián)動(dòng)設(shè)備： 是指用戶(hù)網(wǎng)絡(luò)中的交換機(jī)、路由器、 VPN 網(wǎng)關(guān)等設(shè)備。 EAD 提供了靈活多樣的組網(wǎng)方案，安全聯(lián)動(dòng)設(shè)備可以根據(jù)需要靈活部署在網(wǎng)絡(luò)的各個(gè)層次。衡鋼網(wǎng)絡(luò)升級(jí)改造項(xiàng)目中我們將安全聯(lián)動(dòng)設(shè)備部署在接入層交換機(jī) H3C S5500EI和 H3C S3600EI上，用于認(rèn)證局域網(wǎng)用戶(hù)。 安全策略服務(wù)器： 它要求和安全聯(lián)動(dòng)設(shè)備路由可達(dá)。負(fù)責(zé)給客戶(hù)端下發(fā)安全策略、接收客戶(hù)端安全策略檢查結(jié)果并進(jìn)行審核，向安全聯(lián)動(dòng)設(shè)備發(fā)送網(wǎng)絡(luò)訪問(wèn)的授權(quán)指令。安全策略服務(wù)器由 H3C EAD 桌面安全管理服務(wù)器承擔(dān)。 第三方服務(wù)器： 是指補(bǔ)丁服務(wù)器、病毒服務(wù)器和安全代理服務(wù)器等，被部署在隔離區(qū)（ GuestVLAN）中。當(dāng)用戶(hù)通過(guò)身份認(rèn)證但安全認(rèn)證失敗時(shí)，將被隔離到隔離區(qū)，此時(shí)用戶(hù)能且僅能訪問(wèn)隔離區(qū)中的服務(wù)器，通過(guò)第三方服務(wù)器進(jìn)行自身安全修復(fù)，直到滿(mǎn) 足安全策略要求。 . 功能特點(diǎn) ? 嚴(yán)格的身份認(rèn)證 除基于用戶(hù)名和密碼的身份認(rèn)證外， H3C EAD 還支持身份與接入終端的 MAC 地址、 IP 地址、所在 VLAN、接入設(shè)備 IP、接入設(shè)備端口號(hào)等信息進(jìn)行綁定，支持智能卡、數(shù)字證書(shū)認(rèn)證，增強(qiáng)身份認(rèn)證的安全性。 ? 完備的安全狀態(tài)評(píng)估 根據(jù)管理員配置的安全策略，用戶(hù)可以進(jìn)行的安全認(rèn)證檢查包括終端病毒庫(kù)版本檢查、終端補(bǔ)丁檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號(hào)配置等；為了更好的滿(mǎn)足客戶(hù)的需求， EAD客戶(hù)端支持和微軟 SMS、 LANDesk、 BigFix等業(yè)界桌面安全產(chǎn)品的配合使用 ，支持和瑞星、江民、金山、 Symantec、 MacAfee、 Trend Micro、 Ahn 等國(guó)內(nèi)外主流病毒廠商聯(lián)動(dòng)。例如 EAD 可充分利用微軟成熟的桌面管理工具，由 SMS實(shí)現(xiàn)各種 Windows 環(huán)境下用戶(hù)的桌面管理需求：資產(chǎn)管理、補(bǔ)丁管理、軟件分發(fā)和安裝等。 ? 基于角色的網(wǎng)絡(luò)授權(quán) 在用戶(hù)終端通過(guò)病毒、補(bǔ)丁等安全信息檢查后， EAD 可基于終端用戶(hù)的角色，向安全聯(lián)動(dòng)設(shè)備下發(fā)事先配置的接入控制策略，按照用戶(hù)角色權(quán)限規(guī)范用戶(hù)的網(wǎng)絡(luò)使用行為。終端用戶(hù)的所屬VLAN、 ACL 訪問(wèn)策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措 施均可由管理員統(tǒng)一配置實(shí)施。 ? 擴(kuò)展開(kāi)放的解決方案 EAD 解決方案為客戶(hù)提供了一個(gè)擴(kuò)展、開(kāi)放的結(jié)構(gòu)框架，最大限度的保護(hù)了用戶(hù)已有的投資。EAD 廣泛、深入的和國(guó)內(nèi)外防病毒、操作系統(tǒng)、桌面安全等廠商展開(kāi)合作，融合各家所長(zhǎng)； EAD與第三方認(rèn)證服務(wù)器、安全聯(lián)動(dòng)設(shè)備等之間的交互基于標(biāo)準(zhǔn)、開(kāi)放的協(xié)議架構(gòu)和規(guī)范，易于互聯(lián)互通。 ? 靈活方便的部署方式 EAD 方案部署靈活，維護(hù)方便。 EAD 按照網(wǎng)絡(luò)管理員配置的安全策略區(qū)別對(duì)待不同身份的用戶(hù)，定制不同的安全檢查和處理模式，包括監(jiān)控模式、提醒模式、隔離模式和下線模式；此外， EAD還支 持靈活的舊網(wǎng)改造方案和客戶(hù)端靜默安裝等特性。 . H3C 防 DHCP 攻擊設(shè)計(jì) . DHCP 攻擊介紹 ? DHCP 攻擊之一 惡意用戶(hù)通過(guò)更換 MAC 地址的方式向 DHCP Server 發(fā)送大量的 DHCP 請(qǐng)求，以消耗 DHCP Server 可分配的 IP 地址為目的，使得合法用戶(hù)的 IP 請(qǐng)求無(wú)法實(shí)現(xiàn)。 防范：利用交換機(jī)端口安全功能： MAC 動(dòng)態(tài)地址鎖和端口靜態(tài)綁定 MAC、 1x端口下的自動(dòng)動(dòng)態(tài)綁定用戶(hù) IP/MAC，來(lái)限定交換機(jī)某個(gè)端口上可以訪問(wèn)網(wǎng)絡(luò)的 MAC 地址，從而控制：那些通過(guò)變化 MAC 地址來(lái)惡意請(qǐng)求不同 IP 地址和消耗 IP 資源的 DHCP 攻 擊。當(dāng)交換機(jī)一個(gè)端口的 MAC 地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)后，如果該端口收到一個(gè)源地址不屬于端口上的 MAC 安全地址的包時(shí)，交換機(jī)則采取措施。 ? DHCP 攻擊之二 非法 DHCP Server，為合法用戶(hù)的 IP 請(qǐng)求分配不正確的 IP 地址、網(wǎng)關(guān)、 DNS 等錯(cuò)誤信息， 不僅影響合法用戶(hù)的正常通訊，還導(dǎo)致合法用戶(hù)的信息都發(fā)往非法 DHCP Server，嚴(yán)重影響合法用戶(hù)的信息安全。 . DHCP 攻擊防范設(shè)計(jì) ? 啟動(dòng) DHCP Snooping，將合法 DHCP Server 的端口設(shè)為信任端口，其他端口默認(rèn)情況下 均為非信任端 口； ? 用戶(hù)發(fā)出 DHCP Request； ? 攻擊者將自己的服務(wù)器設(shè)置成 DHCP Server 并發(fā)出錯(cuò)誤的 DHCP Offer； ? 交換機(jī)自動(dòng)丟棄所有非信任端口發(fā)出的 DHCP Offer； ? 用戶(hù)采用正確的 DHCP Server 發(fā)出 DHCP Offer。 . H3C 防 ARP 欺騙解決方案 . ARP 欺騙攻擊的危害性 當(dāng)您的計(jì)算機(jī)網(wǎng)絡(luò)連接正常，卻無(wú)法打開(kāi)網(wǎng)頁(yè)；當(dāng)您的計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)頻繁斷線，同時(shí)網(wǎng)速變得非常慢。這些都可能是由于存在 ARP 欺騙攻擊及 ARP 中毒，所表現(xiàn)出來(lái)的網(wǎng)絡(luò)故障情況。 ARP 欺騙攻擊不僅導(dǎo)致聯(lián)網(wǎng)不穩(wěn)定，極大影響 網(wǎng)絡(luò)的正常運(yùn)行，更嚴(yán)重的是利用 ARP 欺騙攻擊可進(jìn)一步實(shí)施中間人攻擊。如果局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行 ARP 欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān)，讓所有網(wǎng)絡(luò)流量都經(jīng)過(guò)攻擊者主機(jī)進(jìn)行轉(zhuǎn)發(fā)，攻擊者通過(guò)截獲的信息可得到游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的用戶(hù)名和口令，這種攻擊行為就稱(chēng)為中間人攻擊。由此可見(jiàn)，中間人攻擊是一種非常惡劣的網(wǎng)絡(luò)惡意攻擊行為。 為什么殺毒軟件、防火墻都擋不住 ARP 欺騙攻擊呢？主要由于 ARP欺騙攻擊的木馬程序，通常會(huì)偽裝成常用軟件的一部分被下載并被激活，或者作為網(wǎng)頁(yè)的一部分自動(dòng)傳送到瀏覽者的電腦上并被激活，或者通過(guò) U盤(pán)、移動(dòng)硬盤(pán)等方式進(jìn)入網(wǎng)絡(luò)。由于木馬程序的形態(tài)特征都在不斷變化和升級(jí)，殺毒軟件常常會(huì)失去作用。 . ARP 欺騙攻擊的原理 局域網(wǎng)上的一臺(tái)主機(jī)，如果接收到一個(gè) ARP 報(bào)文，即使該報(bào)文不是該主機(jī)所發(fā)送的 ARP 請(qǐng)求的應(yīng)答報(bào)文，該主機(jī)也會(huì)將 ARP 報(bào)文中的發(fā)送者的 MAC 地址和 IP 地址更新或加入到 ARP 表中。 以太網(wǎng) ARP 協(xié)議報(bào)文結(jié)構(gòu) ARP 欺騙攻擊就利用了這點(diǎn)，攻擊者主動(dòng)發(fā)送 ARP 報(bào)文，發(fā)送者的 MAC 地址為攻擊者主機(jī) 的 MAC 地址，發(fā)送者的 IP 地址為被攻擊主機(jī)的