【文章內(nèi)容簡介】 ，其中的安全策略服務器是NAC方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)檢查評估、安全聯(lián)動控制以及安全事件審計等功能。252。 圖 43：1)、密碼，；2)交換機作為Radius客戶端將用戶名、密碼發(fā)送到認證服務器進行Radius認證；3)認證服務器將攜帶VLAN或二三層ACL的Radius屬性下發(fā)至園區(qū)交換機，根據(jù)用戶認證結果控制其網(wǎng)絡訪問權限；4)用戶獲取IP地址，NAC客戶端軟件與策略服務器聯(lián)動，按照預先定制的安全檢查策略，對用戶終端健康狀態(tài)進行檢查，檢查不通過RadiusCOA下發(fā)VLAN或ACL，限制用戶網(wǎng)絡訪問權限；5)，獲取業(yè)務網(wǎng)絡訪問權限。252。 用戶MAC認證圖 44MAC認證流程用戶MAC認證過程如下：1)用戶終端上電（），用戶發(fā)起ARP或DHCP請求等報文；2)園區(qū)交換機收到用戶終端的數(shù)據(jù)報文，觸發(fā)Radius認證請求至認證服務器，根據(jù)MAC地址生成用戶名和密碼；3)認證服務器將攜帶VLAN或二三層ACL的Radius屬性下發(fā)至園區(qū)交換機，根據(jù)用戶認證結果控制其網(wǎng)絡訪問權限；4)用戶獲取IP地址，NAC客戶端軟件與策略服務器聯(lián)動，按照預先定制的安全檢查策略，對用戶終端健康狀態(tài)進行檢查，檢查不通過RadiusCOA下發(fā)VLAN或ACL，限制用戶網(wǎng)絡訪問權限；5)，獲取業(yè)務網(wǎng)絡訪問權限。252。 MAC旁路認證圖 45MAC旁路認證流程MAC旁路認證過程如下：1)用戶終端上電，用戶發(fā)起ARP或DHCP請求等報文；2)園區(qū)交換機先向用戶終端發(fā)起EAP探測報文，，否則進行MAC認證過程；3)認證服務器將攜帶VLAN或二三層ACL的Radius屬性下發(fā)至園區(qū)交換機，根據(jù)用戶認證結果控制其網(wǎng)絡訪問權限；4)用戶獲取IP地址，NAC客戶端軟件與策略服務器聯(lián)動，按照預先定制的安全檢查策略，對用戶終端健康狀態(tài)進行檢查，檢查不通過RadiusCOA下發(fā)VLAN或ACL，限制用戶網(wǎng)絡訪問權限；5)，獲取業(yè)務網(wǎng)絡訪問權限。252。 WEBPortal認證圖 46WEBPortal認證流程WEBPortal認證過程如下：1)用戶終端打開WEB頁面，發(fā)起HTTP請求至園區(qū)交換機；2)園區(qū)交換機進行HTTP重定向，將用戶的打開的WEB頁面重定向至Portal服務器；3)用戶訪問WEBPortal頁面，輸入用戶名和密碼進行認證；4)Portal服務器通過Portal，交換機到認證服務器進行Radius認證；5)認證服務器將攜帶VLAN或二三層ACL的Radius屬性下發(fā)至園區(qū)交換機，根據(jù)用戶認證結果控制其網(wǎng)絡訪問權限；6)NAC客戶端軟件與策略服務器聯(lián)動，按照預先定制的安全檢查策略，對用戶終端健康狀態(tài)進行檢查，檢查不通過RadiusCOA下發(fā)VLAN或ACL，限制用戶網(wǎng)絡訪問權限；7)，獲取業(yè)務網(wǎng)絡訪問權限。 園區(qū)網(wǎng)絡監(jiān)管/監(jiān)控規(guī)劃設計 防IP/MAC地址盜用和ARP中間人攻擊252。 防IP/MAC地址盜用DHCPSnooping技術是DHCP安全特性，通過建立和維護DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。DHCPSnooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLANID接口等信息，DHCPSnooping綁定表可以基于DHCP過程動態(tài)生成，也可以通過靜態(tài)配置生成，此時需預先準備用戶的IP地址、MAC地址、用戶所屬VLANID、用戶所屬接口等信息。園區(qū)交換機開啟DHCPSnooping后，會對DHCP報文進行偵聽，并可以從接收到的DHCPRequest或DHCPAck報文中提取并記錄IP地址和MAC地址信息。另外，DHCPSnooping允許將某個物理端口設置為信任端口或不信任端口。信任端口可以正常接收并轉發(fā)DHCPOffer報文，而不信任端口會將接收到的DHCPOffer報文丟棄。這樣，可以完成交換機對假冒DHCPServer的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCPServer獲取IP地址。252。 防ARP中間人攻擊圖 47ARP中間人攻擊防御DynamicARPInspection(DAI)在交換機上基于DHCPSnooping技術提供用戶網(wǎng)關IP地址和MAC地址、VLAN和接入端口的綁定，并動態(tài)建立綁定關系。對于用戶終端沒有使用DHCP動態(tài)獲取IP地址的場景，可采用靜態(tài)添加用戶網(wǎng)關相關信息的靜態(tài)綁定表。此時園區(qū)交換機檢測過濾ARP請求響應報文中的源MAC、源IP是否可以匹配上述綁定表，不能匹配則認為是仿冒網(wǎng)關回應的ARP響應報文，予以丟棄，從而可以有效實現(xiàn)防御ARP中間人/網(wǎng)關ARP仿冒欺騙攻擊行為。 防IP/MAC地址掃描攻擊252。 防IP掃描攻擊地址掃描攻擊是攻擊者向攻擊目標網(wǎng)絡發(fā)送大量的目的地址不斷變化的IP報文。當攻擊者掃描網(wǎng)絡設備的直連網(wǎng)段時，觸發(fā)ARPmiss，使網(wǎng)絡設備給該網(wǎng)段下的每個地址發(fā)送ARP報文，地址不存在的話，還需要發(fā)送目的主機不可達報文。如果直連網(wǎng)段較大，攻擊流量足夠大時，會消耗網(wǎng)絡設備較多的CPU和內(nèi)存資源，可引起網(wǎng)絡中斷。園區(qū)交換機支持IP地址掃描攻擊的防護能力，收到目的IP是直連網(wǎng)段的報文時，如果該目的地址的路由不存在，會發(fā)送一個ARP請求報文，并針對目的地址下一條丟棄表項（棄后續(xù)所有目的地址為該直連網(wǎng)段的ARP報文），以防止后續(xù)報文持續(xù)沖擊CPU。如果有ARP應答，則立即刪除相應的丟棄表項，并添加正常的路由表項；否則，經(jīng)過一段時間后丟棄表項自動老化。這樣，既防止直連網(wǎng)段掃描攻擊對交換機造成影響，又保證正常業(yè)務流程的暢通。在上述基礎上，交換機還支持基于接口設置ARPmiss的速率。當接口上觸發(fā)的ARPmiss超過設置的閾值時，接口上的ARPmiss不再處理，直接丟棄。如果用戶使用相同的源IP進行地址掃描攻擊，交換機還可以基于源IP做ARPmiss統(tǒng)計。如果ARPmiss的速率超過設定的閾值，則下發(fā)ACL將帶有此源IP的報文進行丟棄，過一段時間后再允許通過。252。 防MAC地址掃描攻擊以太網(wǎng)交換機的MAC地址轉發(fā)表作為二層報文轉發(fā)的核心，在受到攻擊的時候，直接導致交換機無法正常工作。發(fā)生MAC地址攻擊的時候，攻擊者向攻擊目標網(wǎng)絡發(fā)送大量的源MAC地址不斷變化以太報文，園區(qū)交換機收到以太報文會基于報文的源MAC學習填充二層MAC轉發(fā)表項，由于MAC地址轉發(fā)表的規(guī)格有限，會因為MAC掃描攻擊而很快填充滿，無法再學習生成新的MAC轉發(fā)表，已學習的MAC表條目需通過老化方式刪除，這樣途徑園區(qū)交換機大量的單播報文會因為按照目的MAC找不到轉發(fā)表項而不得不進行廣播發(fā)送，導致園區(qū)網(wǎng)絡中產(chǎn)生大量的二層廣播報文，消耗網(wǎng)絡帶寬、引發(fā)網(wǎng)絡業(yè)務中斷異常。交換機二層MAC轉發(fā)表是全局共享資源，單板內(nèi)各端口/VLAN共享一份MAC轉發(fā)表，華為園區(qū)交換機支持基于端口/VLAN的MAC學習數(shù)目限制，同時支持MAC表學習速率限制，有效防御MAC地址掃描攻擊行為。MAC學習數(shù)目達到端口/VLAN上設置的閾值時，會進行丟棄/轉發(fā)/告警等動作（動作策略可定制、可疊加）。另外通過園區(qū)交換機的MAC地址與端口綁定來限制跨端口的MAC掃描攻擊。 廣播/組播報文抑制攻擊者不停地向園區(qū)網(wǎng)發(fā)送大量惡意的廣播報文，惡意廣播報文占據(jù)了大量的帶寬，傳統(tǒng)的廣播風暴抑制無法識別用戶VLAN，將導致正常的廣播流量一并被交換機丟棄。園區(qū)網(wǎng)交換機需要識別惡意廣播流量的VLANID，通過基于VLAN的廣播風暴抑制丟棄惡意廣播報文而不影響正常廣播報文流量轉發(fā)?？苫诙丝诨騐LAN限制廣播報文流量百分比或速率閾值。同時園區(qū)網(wǎng)交換機支持組播報文抑制，可基于端口限制組播報文流量百分比或速率閾值。 園區(qū)網(wǎng)邊界防御規(guī)劃設計 防火墻部署規(guī)劃設計圖 48園區(qū)網(wǎng)防火墻功能部署企業(yè)園區(qū)網(wǎng)邊界防御分為兩個部分：園區(qū)出口邊界防御、園區(qū)內(nèi)部邊界防御。園區(qū)出口連接Internet和企業(yè)WAN網(wǎng)的接入，企業(yè)外部網(wǎng)絡尤其Internet網(wǎng)絡，是各種攻擊行為、病毒傳播、安全事件引入的風險點，通過在企業(yè)出口部署高性能防火墻設備、或者在核心交換機內(nèi)置防火墻模塊，可以很好的緩解風險的傳播，阻擋來自Internet/企業(yè)外部網(wǎng)絡攻擊行為的發(fā)生。企業(yè)園區(qū)出口位置部署的獨立防火墻設備（或核心交換機內(nèi)置的防火墻模塊），需要滿足高性能、高可靠、高安全的要求，是企業(yè)園區(qū)網(wǎng)的第一道安全屏障。園區(qū)內(nèi)部邊界防御是將企業(yè)內(nèi)部劃分為多個區(qū)域，分為信任區(qū)域和非信任區(qū)域，分別實施不同的安全策略，包括部署區(qū)域間隔離、受限訪問、防止來自區(qū)域內(nèi)部的DOS攻擊等安卻措施。建議通過匯聚交換機上集成防火墻模塊（單板）來實現(xiàn)園區(qū)內(nèi)部的邊界防御功能。園區(qū)網(wǎng)中防火墻功能無論是獨立設備部署還是集成在核心/匯聚交換機內(nèi)部，都必須支持靈活的業(yè)務流控制策略配置，能把特定的流量引到防火墻進行處理，其他流量進行旁路。防火墻本身需要保證高可靠性，需要考慮防火墻的冗余設計，支持Active/ActiveHA設計方式，即交換機內(nèi)集成的多塊防火墻板卡支持負載分擔和主備模式，不同交換機內(nèi)的防火墻支持Active/Active模式，同時能夠處理流量。 防火墻功能規(guī)劃設計網(wǎng)絡隔離：能夠對網(wǎng)絡區(qū)域進行分割，對不同區(qū)域之間的數(shù)據(jù)流進行控制，通過對數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、網(wǎng)絡協(xié)議等參數(shù)的檢查，實現(xiàn)對數(shù)據(jù)流的精細控制，把可能的安全風險控制在相對獨立的區(qū)域內(nèi)；包過濾：支持基于ACL的基本包過濾，支持基于FTP、HTTP等應用層協(xié)議包過濾（ASPF）；攻擊防范：對常見的ICMP重定向/不可達、TCPSYN/ARPFLOOD、Land、Smurf、TearDrop、網(wǎng)絡端口掃描、畸形報文、拒絕服務（DoS/DDoS）等攻擊行為，能夠提供有效的檢測和防范措施。NAT/PAT：支持園區(qū)外部公網(wǎng)地址到內(nèi)部私網(wǎng)地址的代理轉換，支持應用層網(wǎng)關ALG功能。 防火墻性能選擇園區(qū)網(wǎng)防火墻的選擇首先是安全防護能力，對于每秒新建連接數(shù)，并發(fā)連接數(shù)和吞吐量，ACL匹配速度，DDOS識別均要進行重點考察。防火墻的性能主要取決于以下參數(shù)：252。252。 轉發(fā)性能：從吞吐量方面考慮,決定設備的防護性能252。252。 并發(fā)連接數(shù)：從數(shù)據(jù)流數(shù)目方面考慮,決定設備的防護性能252。252。 每秒新建連接數(shù)：決定單位時間的防護能力252。252。 ACL匹配速度：決定規(guī)則匹配的可靠和性能華為S93系列集成的防火墻單板在性能方面有突出的表現(xiàn)：252。252。 轉發(fā)性能：每單板支持10Gbps(256Bytes)的吞吐量252。252。 并發(fā)連接數(shù)：每單板達到400萬的并發(fā)連接252。 每秒新建連接數(shù)：每單板達到10萬/，,同級別產(chǎn)品通常不足3萬252。 ACL匹配速度：采用智能匹配算法，萬條匹配速度和單條速度一致，即ACL匹配動作不影響防火墻整體轉發(fā)性能華為S93系列交換機集成的防火墻模塊，每單板支持8Gbps的轉發(fā)能力，400萬的并發(fā)連接，每秒鐘15萬的新建流速度；并且支持1K的虛擬化多實例。 虛擬防火墻規(guī)劃設計企業(yè)內(nèi)部不同的部門具備不同的安全屬性，部門內(nèi)部需要進行獨自的安全區(qū)域劃分、并應用不同的安全策略。如下圖所示，可以通過防火墻支持虛擬化實現(xiàn)上述需求，一個物理防火墻對資源進行劃分和隔離，分配給企業(yè)內(nèi)不同的部門使用，虛擬防火墻直接互相獨立，就好像獨立物理的防火墻一樣，進行獨立配置和控制。圖 49虛擬防火墻設計總結一下，虛擬防火墻具備如下特征：252。252。 同物理防火墻一樣獨立管理、獨立設置、每個虛擬防火墻專用的系統(tǒng)日志和攻擊日志，以及每個虛擬防火墻的各種內(nèi)部組件——例如獨立路由表、轉