【文章內(nèi)容簡(jiǎn)介】 ，其中的安全策略服務(wù)器是NAC方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)檢查評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。252。 圖 43：1)、密碼，；2)交換機(jī)作為Radius客戶端將用戶名、密碼發(fā)送到認(rèn)證服務(wù)器進(jìn)行Radius認(rèn)證；3)認(rèn)證服務(wù)器將攜帶VLAN或二三層ACL的Radius屬性下發(fā)至園區(qū)交換機(jī)，根據(jù)用戶認(rèn)證結(jié)果控制其網(wǎng)絡(luò)訪問權(quán)限；4)用戶獲取IP地址，NAC客戶端軟件與策略服務(wù)器聯(lián)動(dòng)，按照預(yù)先定制的安全檢查策略，對(duì)用戶終端健康狀態(tài)進(jìn)行檢查，檢查不通過RadiusCOA下發(fā)VLAN或ACL，限制用戶網(wǎng)絡(luò)訪問權(quán)限；5)，獲取業(yè)務(wù)網(wǎng)絡(luò)訪問權(quán)限。252。 用戶MAC認(rèn)證圖 44MAC認(rèn)證流程用戶MAC認(rèn)證過程如下：1)用戶終端上電（），用戶發(fā)起ARP或DHCP請(qǐng)求等報(bào)文；2)園區(qū)交換機(jī)收到用戶終端的數(shù)據(jù)報(bào)文，觸發(fā)Radius認(rèn)證請(qǐng)求至認(rèn)證服務(wù)器，根據(jù)MAC地址生成用戶名和密碼；3)認(rèn)證服務(wù)器將攜帶VLAN或二三層ACL的Radius屬性下發(fā)至園區(qū)交換機(jī)，根據(jù)用戶認(rèn)證結(jié)果控制其網(wǎng)絡(luò)訪問權(quán)限；4)用戶獲取IP地址，NAC客戶端軟件與策略服務(wù)器聯(lián)動(dòng)，按照預(yù)先定制的安全檢查策略，對(duì)用戶終端健康狀態(tài)進(jìn)行檢查，檢查不通過RadiusCOA下發(fā)VLAN或ACL，限制用戶網(wǎng)絡(luò)訪問權(quán)限；5)，獲取業(yè)務(wù)網(wǎng)絡(luò)訪問權(quán)限。252。 MAC旁路認(rèn)證圖 45MAC旁路認(rèn)證流程MAC旁路認(rèn)證過程如下：1)用戶終端上電，用戶發(fā)起ARP或DHCP請(qǐng)求等報(bào)文；2)園區(qū)交換機(jī)先向用戶終端發(fā)起EAP探測(cè)報(bào)文，，否則進(jìn)行MAC認(rèn)證過程；3)認(rèn)證服務(wù)器將攜帶VLAN或二三層ACL的Radius屬性下發(fā)至園區(qū)交換機(jī)，根據(jù)用戶認(rèn)證結(jié)果控制其網(wǎng)絡(luò)訪問權(quán)限；4)用戶獲取IP地址，NAC客戶端軟件與策略服務(wù)器聯(lián)動(dòng)，按照預(yù)先定制的安全檢查策略，對(duì)用戶終端健康狀態(tài)進(jìn)行檢查，檢查不通過RadiusCOA下發(fā)VLAN或ACL，限制用戶網(wǎng)絡(luò)訪問權(quán)限；5)，獲取業(yè)務(wù)網(wǎng)絡(luò)訪問權(quán)限。252。 WEBPortal認(rèn)證圖 46WEBPortal認(rèn)證流程WEBPortal認(rèn)證過程如下：1)用戶終端打開WEB頁面，發(fā)起HTTP請(qǐng)求至園區(qū)交換機(jī)；2)園區(qū)交換機(jī)進(jìn)行HTTP重定向，將用戶的打開的WEB頁面重定向至Portal服務(wù)器；3)用戶訪問WEBPortal頁面，輸入用戶名和密碼進(jìn)行認(rèn)證；4)Portal服務(wù)器通過Portal，交換機(jī)到認(rèn)證服務(wù)器進(jìn)行Radius認(rèn)證；5)認(rèn)證服務(wù)器將攜帶VLAN或二三層ACL的Radius屬性下發(fā)至園區(qū)交換機(jī)，根據(jù)用戶認(rèn)證結(jié)果控制其網(wǎng)絡(luò)訪問權(quán)限；6)NAC客戶端軟件與策略服務(wù)器聯(lián)動(dòng)，按照預(yù)先定制的安全檢查策略，對(duì)用戶終端健康狀態(tài)進(jìn)行檢查，檢查不通過RadiusCOA下發(fā)VLAN或ACL，限制用戶網(wǎng)絡(luò)訪問權(quán)限；7)，獲取業(yè)務(wù)網(wǎng)絡(luò)訪問權(quán)限。 園區(qū)網(wǎng)絡(luò)監(jiān)管/監(jiān)控規(guī)劃設(shè)計(jì) 防IP/MAC地址盜用和ARP中間人攻擊252。 防IP/MAC地址盜用DHCPSnooping技術(shù)是DHCP安全特性，通過建立和維護(hù)DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。DHCPSnooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLANID接口等信息，DHCPSnooping綁定表可以基于DHCP過程動(dòng)態(tài)生成，也可以通過靜態(tài)配置生成，此時(shí)需預(yù)先準(zhǔn)備用戶的IP地址、MAC地址、用戶所屬VLANID、用戶所屬接口等信息。園區(qū)交換機(jī)開啟DHCPSnooping后，會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽，并可以從接收到的DHCPRequest或DHCPAck報(bào)文中提取并記錄IP地址和MAC地址信息。另外，DHCPSnooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCPOffer報(bào)文，而不信任端口會(huì)將接收到的DHCPOffer報(bào)文丟棄。這樣，可以完成交換機(jī)對(duì)假冒DHCPServer的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCPServer獲取IP地址。252。 防ARP中間人攻擊圖 47ARP中間人攻擊防御DynamicARPInspection(DAI)在交換機(jī)上基于DHCPSnooping技術(shù)提供用戶網(wǎng)關(guān)IP地址和MAC地址、VLAN和接入端口的綁定，并動(dòng)態(tài)建立綁定關(guān)系。對(duì)于用戶終端沒有使用DHCP動(dòng)態(tài)獲取IP地址的場(chǎng)景，可采用靜態(tài)添加用戶網(wǎng)關(guān)相關(guān)信息的靜態(tài)綁定表。此時(shí)園區(qū)交換機(jī)檢測(cè)過濾ARP請(qǐng)求響應(yīng)報(bào)文中的源MAC、源IP是否可以匹配上述綁定表，不能匹配則認(rèn)為是仿冒網(wǎng)關(guān)回應(yīng)的ARP響應(yīng)報(bào)文，予以丟棄，從而可以有效實(shí)現(xiàn)防御ARP中間人/網(wǎng)關(guān)ARP仿冒欺騙攻擊行為。 防IP/MAC地址掃描攻擊252。 防IP掃描攻擊地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的IP報(bào)文。當(dāng)攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時(shí)，觸發(fā)ARPmiss，使網(wǎng)絡(luò)設(shè)備給該網(wǎng)段下的每個(gè)地址發(fā)送ARP報(bào)文，地址不存在的話，還需要發(fā)送目的主機(jī)不可達(dá)報(bào)文。如果直連網(wǎng)段較大，攻擊流量足夠大時(shí)，會(huì)消耗網(wǎng)絡(luò)設(shè)備較多的CPU和內(nèi)存資源，可引起網(wǎng)絡(luò)中斷。園區(qū)交換機(jī)支持IP地址掃描攻擊的防護(hù)能力，收到目的IP是直連網(wǎng)段的報(bào)文時(shí)，如果該目的地址的路由不存在，會(huì)發(fā)送一個(gè)ARP請(qǐng)求報(bào)文，并針對(duì)目的地址下一條丟棄表項(xiàng)（棄后續(xù)所有目的地址為該直連網(wǎng)段的ARP報(bào)文），以防止后續(xù)報(bào)文持續(xù)沖擊CPU。如果有ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表項(xiàng)，并添加正常的路由表項(xiàng)；否則，經(jīng)過一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。這樣，既防止直連網(wǎng)段掃描攻擊對(duì)交換機(jī)造成影響，又保證正常業(yè)務(wù)流程的暢通。在上述基礎(chǔ)上，交換機(jī)還支持基于接口設(shè)置ARPmiss的速率。當(dāng)接口上觸發(fā)的ARPmiss超過設(shè)置的閾值時(shí)，接口上的ARPmiss不再處理，直接丟棄。如果用戶使用相同的源IP進(jìn)行地址掃描攻擊，交換機(jī)還可以基于源IP做ARPmiss統(tǒng)計(jì)。如果ARPmiss的速率超過設(shè)定的閾值，則下發(fā)ACL將帶有此源IP的報(bào)文進(jìn)行丟棄，過一段時(shí)間后再允許通過。252。 防MAC地址掃描攻擊以太網(wǎng)交換機(jī)的MAC地址轉(zhuǎn)發(fā)表作為二層報(bào)文轉(zhuǎn)發(fā)的核心，在受到攻擊的時(shí)候，直接導(dǎo)致交換機(jī)無法正常工作。發(fā)生MAC地址攻擊的時(shí)候，攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的源MAC地址不斷變化以太報(bào)文，園區(qū)交換機(jī)收到以太報(bào)文會(huì)基于報(bào)文的源MAC學(xué)習(xí)填充二層MAC轉(zhuǎn)發(fā)表項(xiàng)，由于MAC地址轉(zhuǎn)發(fā)表的規(guī)格有限，會(huì)因?yàn)镸AC掃描攻擊而很快填充滿，無法再學(xué)習(xí)生成新的MAC轉(zhuǎn)發(fā)表，已學(xué)習(xí)的MAC表?xiàng)l目需通過老化方式刪除，這樣途徑園區(qū)交換機(jī)大量的單播報(bào)文會(huì)因?yàn)榘凑漳康腗AC找不到轉(zhuǎn)發(fā)表項(xiàng)而不得不進(jìn)行廣播發(fā)送，導(dǎo)致園區(qū)網(wǎng)絡(luò)中產(chǎn)生大量的二層廣播報(bào)文，消耗網(wǎng)絡(luò)帶寬、引發(fā)網(wǎng)絡(luò)業(yè)務(wù)中斷異常。交換機(jī)二層MAC轉(zhuǎn)發(fā)表是全局共享資源，單板內(nèi)各端口/VLAN共享一份MAC轉(zhuǎn)發(fā)表，華為園區(qū)交換機(jī)支持基于端口/VLAN的MAC學(xué)習(xí)數(shù)目限制，同時(shí)支持MAC表學(xué)習(xí)速率限制，有效防御MAC地址掃描攻擊行為。MAC學(xué)習(xí)數(shù)目達(dá)到端口/VLAN上設(shè)置的閾值時(shí)，會(huì)進(jìn)行丟棄/轉(zhuǎn)發(fā)/告警等動(dòng)作（動(dòng)作策略可定制、可疊加）。另外通過園區(qū)交換機(jī)的MAC地址與端口綁定來限制跨端口的MAC掃描攻擊。 廣播/組播報(bào)文抑制攻擊者不停地向園區(qū)網(wǎng)發(fā)送大量惡意的廣播報(bào)文，惡意廣播報(bào)文占據(jù)了大量的帶寬，傳統(tǒng)的廣播風(fēng)暴抑制無法識(shí)別用戶VLAN，將導(dǎo)致正常的廣播流量一并被交換機(jī)丟棄。園區(qū)網(wǎng)交換機(jī)需要識(shí)別惡意廣播流量的VLANID，通過基于VLAN的廣播風(fēng)暴抑制丟棄惡意廣播報(bào)文而不影響正常廣播報(bào)文流量轉(zhuǎn)發(fā)?？苫诙丝诨騐LAN限制廣播報(bào)文流量百分比或速率閾值。同時(shí)園區(qū)網(wǎng)交換機(jī)支持組播報(bào)文抑制，可基于端口限制組播報(bào)文流量百分比或速率閾值。 園區(qū)網(wǎng)邊界防御規(guī)劃設(shè)計(jì) 防火墻部署規(guī)劃設(shè)計(jì)圖 48園區(qū)網(wǎng)防火墻功能部署企業(yè)園區(qū)網(wǎng)邊界防御分為兩個(gè)部分：園區(qū)出口邊界防御、園區(qū)內(nèi)部邊界防御。園區(qū)出口連接Internet和企業(yè)WAN網(wǎng)的接入，企業(yè)外部網(wǎng)絡(luò)尤其Internet網(wǎng)絡(luò)，是各種攻擊行為、病毒傳播、安全事件引入的風(fēng)險(xiǎn)點(diǎn)，通過在企業(yè)出口部署高性能防火墻設(shè)備、或者在核心交換機(jī)內(nèi)置防火墻模塊，可以很好的緩解風(fēng)險(xiǎn)的傳播，阻擋來自Internet/企業(yè)外部網(wǎng)絡(luò)攻擊行為的發(fā)生。企業(yè)園區(qū)出口位置部署的獨(dú)立防火墻設(shè)備（或核心交換機(jī)內(nèi)置的防火墻模塊），需要滿足高性能、高可靠、高安全的要求，是企業(yè)園區(qū)網(wǎng)的第一道安全屏障。園區(qū)內(nèi)部邊界防御是將企業(yè)內(nèi)部劃分為多個(gè)區(qū)域，分為信任區(qū)域和非信任區(qū)域，分別實(shí)施不同的安全策略，包括部署區(qū)域間隔離、受限訪問、防止來自區(qū)域內(nèi)部的DOS攻擊等安卻措施。建議通過匯聚交換機(jī)上集成防火墻模塊（單板）來實(shí)現(xiàn)園區(qū)內(nèi)部的邊界防御功能。園區(qū)網(wǎng)中防火墻功能無論是獨(dú)立設(shè)備部署還是集成在核心/匯聚交換機(jī)內(nèi)部，都必須支持靈活的業(yè)務(wù)流控制策略配置，能把特定的流量引到防火墻進(jìn)行處理，其他流量進(jìn)行旁路。防火墻本身需要保證高可靠性，需要考慮防火墻的冗余設(shè)計(jì)，支持Active/ActiveHA設(shè)計(jì)方式，即交換機(jī)內(nèi)集成的多塊防火墻板卡支持負(fù)載分擔(dān)和主備模式，不同交換機(jī)內(nèi)的防火墻支持Active/Active模式，同時(shí)能夠處理流量。 防火墻功能規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)隔離：能夠?qū)W(wǎng)絡(luò)區(qū)域進(jìn)行分割，對(duì)不同區(qū)域之間的數(shù)據(jù)流進(jìn)行控制，通過對(duì)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議等參數(shù)的檢查，實(shí)現(xiàn)對(duì)數(shù)據(jù)流的精細(xì)控制，把可能的安全風(fēng)險(xiǎn)控制在相對(duì)獨(dú)立的區(qū)域內(nèi)；包過濾：支持基于ACL的基本包過濾，支持基于FTP、HTTP等應(yīng)用層協(xié)議包過濾（ASPF）；攻擊防范：對(duì)常見的ICMP重定向/不可達(dá)、TCPSYN/ARPFLOOD、Land、Smurf、TearDrop、網(wǎng)絡(luò)端口掃描、畸形報(bào)文、拒絕服務(wù)（DoS/DDoS）等攻擊行為，能夠提供有效的檢測(cè)和防范措施。NAT/PAT：支持園區(qū)外部公網(wǎng)地址到內(nèi)部私網(wǎng)地址的代理轉(zhuǎn)換，支持應(yīng)用層網(wǎng)關(guān)ALG功能。 防火墻性能選擇園區(qū)網(wǎng)防火墻的選擇首先是安全防護(hù)能力，對(duì)于每秒新建連接數(shù)，并發(fā)連接數(shù)和吞吐量，ACL匹配速度，DDOS識(shí)別均要進(jìn)行重點(diǎn)考察。防火墻的性能主要取決于以下參數(shù)：252。252。 轉(zhuǎn)發(fā)性能：從吞吐量方面考慮,決定設(shè)備的防護(hù)性能252。252。 并發(fā)連接數(shù)：從數(shù)據(jù)流數(shù)目方面考慮,決定設(shè)備的防護(hù)性能252。252。 每秒新建連接數(shù)：決定單位時(shí)間的防護(hù)能力252。252。 ACL匹配速度：決定規(guī)則匹配的可靠和性能華為S93系列集成的防火墻單板在性能方面有突出的表現(xiàn)：252。252。 轉(zhuǎn)發(fā)性能：每單板支持10Gbps(256Bytes)的吞吐量252。252。 并發(fā)連接數(shù)：每單板達(dá)到400萬的并發(fā)連接252。 每秒新建連接數(shù)：每單板達(dá)到10萬/，,同級(jí)別產(chǎn)品通常不足3萬252。 ACL匹配速度：采用智能匹配算法，萬條匹配速度和單條速度一致，即ACL匹配動(dòng)作不影響防火墻整體轉(zhuǎn)發(fā)性能華為S93系列交換機(jī)集成的防火墻模塊，每單板支持8Gbps的轉(zhuǎn)發(fā)能力，400萬的并發(fā)連接，每秒鐘15萬的新建流速度；并且支持1K的虛擬化多實(shí)例。 虛擬防火墻規(guī)劃設(shè)計(jì)企業(yè)內(nèi)部不同的部門具備不同的安全屬性，部門內(nèi)部需要進(jìn)行獨(dú)自的安全區(qū)域劃分、并應(yīng)用不同的安全策略。如下圖所示，可以通過防火墻支持虛擬化實(shí)現(xiàn)上述需求，一個(gè)物理防火墻對(duì)資源進(jìn)行劃分和隔離，分配給企業(yè)內(nèi)不同的部門使用，虛擬防火墻直接互相獨(dú)立，就好像獨(dú)立物理的防火墻一樣，進(jìn)行獨(dú)立配置和控制。圖 49虛擬防火墻設(shè)計(jì)總結(jié)一下，虛擬防火墻具備如下特征：252。252。 同物理防火墻一樣獨(dú)立管理、獨(dú)立設(shè)置、每個(gè)虛擬防火墻專用的系統(tǒng)日志和攻擊日志，以及每個(gè)虛擬防火墻的各種內(nèi)部組件——例如獨(dú)立路由表、轉(zhuǎn)