【文章內(nèi)容簡介】 rop攻擊、ICMP Flood攻擊、SYN FLOOD攻擊等。另外，以太網(wǎng)交換機(jī)的MAC地址表作為二層報(bào)文轉(zhuǎn)發(fā)的核心，在受到攻擊的時(shí)候，直接導(dǎo)致交換機(jī)無法正常工作。發(fā)生MAC地址攻擊的時(shí)候，攻擊者通過不停的發(fā)送MAC地址來刷新，填充交換機(jī)的MAC地址表，由于MAC地址表的規(guī)格有限，導(dǎo)致正常流量由于沒有正確的轉(zhuǎn)發(fā)表項(xiàng)而無法正常轉(zhuǎn)發(fā)。ARP攻擊與此類似，通過攻擊報(bào)文來更改MAC與IP地址的綁定，從而重新定向流量。華為全系列交換機(jī)可以通過MAC地址與端口的綁定以及限制端口/VLAN/VSI下MAC地址的最大學(xué)習(xí)個(gè)數(shù)可防止MAC掃描，并通過VLAN、IP、MAC之間的任意綁定可防范ARP攻擊（SAI/DAI功能）。華為全系列交換機(jī)支持黑洞MAC功能，園區(qū)交換機(jī)收到報(bào)文時(shí)比較報(bào)文目的MAC地址，若與黑洞MAC表項(xiàng)相同則丟棄該報(bào)文。當(dāng)用戶察覺到某MAC地址的報(bào)文具有一定攻擊性，則可以在園區(qū)交換機(jī)上配置黑洞MAC，從而將具有該MAC地址的報(bào)文過濾掉，避免遭受攻擊。 安全方案設(shè)計(jì) 園區(qū)網(wǎng)安全方案總體設(shè)計(jì)從園區(qū)內(nèi)網(wǎng)安全、邊界防御、園區(qū)出口傳輸安全等多緯度、多層次進(jìn)行安全設(shè)計(jì)和安全防御，對企業(yè)內(nèi)部進(jìn)行安全區(qū)域劃分、隔離和權(quán)限控制，對企業(yè)外部用戶訪問進(jìn)行安全控制、數(shù)據(jù)加密，防止惡意攻擊。園區(qū)網(wǎng)全方位的安全設(shè)計(jì)方案保證內(nèi)部、外部用戶訪問園區(qū)網(wǎng)資源的安全性。 園區(qū)內(nèi)網(wǎng)安全設(shè)計(jì) 防IP/MAC地址盜用和ARP中間人攻擊1) 防IP/MAC地址盜用DHCP Snooping技術(shù)是DHCP安全特性，通過建立和維護(hù)DHCP Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLANID 接口等信息，DHCP Snooping綁定表可以基于DHCP過程動(dòng)態(tài)生成，也可以通過靜態(tài)配置生成，此時(shí)需預(yù)先準(zhǔn)備用戶的IP 地址、MAC地址、用戶所屬VLAN ID、用戶所屬接口等信息。園區(qū)交換機(jī)開啟DHCPSnooping后，會對DHCP報(bào)文進(jìn)行偵聽，并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息。另外，DHCPSnooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文，而不信任端口會將接收到的DHCP Offer報(bào)文丟棄。這樣，可以完成交換機(jī)對假冒DHCP Server的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。2) 防ARP中間人攻擊Dynamic ARP Inspection (DAI)在交換機(jī)上基于DHCP Snooping技術(shù)提供用戶網(wǎng)關(guān)IP地址和MAC地址、VLAN和接入端口的綁定， 并動(dòng)態(tài)建立綁定關(guān)系。對于用戶終端沒有使用DHCP動(dòng)態(tài)獲取IP地址的場景，可采用靜態(tài)添加用戶網(wǎng)關(guān)相關(guān)信息的靜態(tài)綁定表。此時(shí)園區(qū)交換機(jī)檢測過濾ARP請求響應(yīng)報(bào)文中的源MAC、源IP是否可以匹配上述綁定表，不能匹配則認(rèn)為是仿冒網(wǎng)關(guān)回應(yīng)的ARP響應(yīng)報(bào)文，予以丟棄，從而可以有效實(shí)現(xiàn)防御ARP中間人/網(wǎng)關(guān)ARP仿冒欺騙攻擊行為。 防IP/MAC地址掃描攻擊1) 防IP掃描攻擊地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的IP報(bào)文。當(dāng)攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時(shí)，觸發(fā)ARP miss，使網(wǎng)絡(luò)設(shè)備給該網(wǎng)段下的每個(gè)地址發(fā)送ARP報(bào)文，地址不存在的話，還需要發(fā)送目的主機(jī)不可達(dá)報(bào)文。如果直連網(wǎng)段較大，攻擊流量足夠大時(shí)，會消耗網(wǎng)絡(luò)設(shè)備較多的CPU和內(nèi)存資源，可引起網(wǎng)絡(luò)中斷。園區(qū)交換機(jī)支持IP地址掃描攻擊的防護(hù)能力，收到目的IP是直連網(wǎng)段的報(bào)文時(shí)，如果該目的地址的路由不存在，會發(fā)送一個(gè)ARP請求報(bào)文，并針對目的地址下一條丟棄表項(xiàng)（棄后續(xù)所有目的地址為該直連網(wǎng)段的ARP報(bào)文），以防止后續(xù)報(bào)文持續(xù)沖擊CPU。如果有ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表項(xiàng)，并添加正常的路由表項(xiàng)；否則，經(jīng)過一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。這樣，既防止直連網(wǎng)段掃描攻擊對交換機(jī)造成影響，又保證正常業(yè)務(wù)流程的暢通。在上述基礎(chǔ)上，交換機(jī)還支持基于接口設(shè)置ARP miss的速率。當(dāng)接口上觸發(fā)的ARP miss超過設(shè)置的閾值時(shí)，接口上的ARP miss不再處理，直接丟棄。如果用戶使用相同的源IP進(jìn)行地址掃描攻擊，交換機(jī)還可以基于源IP做ARP miss統(tǒng)計(jì)。如果ARP miss的速率超過設(shè)定的閾值，則下發(fā)ACL將帶有此源IP的報(bào)文進(jìn)行丟棄，過一段時(shí)間后再允許通過。2) 防MAC地址掃描攻擊以太網(wǎng)交換機(jī)的MAC地址轉(zhuǎn)發(fā)表作為二層報(bào)文轉(zhuǎn)發(fā)的核心，在受到攻擊的時(shí)候，直接導(dǎo)致交換機(jī)無法正常工作。發(fā)生MAC地址攻擊的時(shí)候，攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的源MAC地址不斷變化以太報(bào)文，園區(qū)交換機(jī)收到以太報(bào)文會基于報(bào)文的源MAC學(xué)習(xí)填充二層MAC轉(zhuǎn)發(fā)表項(xiàng)，由于MAC地址轉(zhuǎn)發(fā)表的規(guī)格有限，會因?yàn)镸AC掃描攻擊而很快填充滿，無法再學(xué)習(xí)生成新的MAC轉(zhuǎn)發(fā)表，已學(xué)習(xí)的MAC表?xiàng)l目需通過老化方式刪除，這樣途徑園區(qū)交換機(jī)大量的單播報(bào)文會因?yàn)榘凑漳康腗AC找不到轉(zhuǎn)發(fā)表項(xiàng)而不得不進(jìn)行廣播發(fā)送，導(dǎo)致園區(qū)網(wǎng)絡(luò)中產(chǎn)生大量的二層廣播報(bào)文，消耗網(wǎng)絡(luò)帶寬、引發(fā)網(wǎng)絡(luò)業(yè)務(wù)中斷異常。交換機(jī)二層MAC轉(zhuǎn)發(fā)表是全局共享資源，單板內(nèi)各端口/VLAN共享一份MAC轉(zhuǎn)發(fā)表，華為園區(qū)交換機(jī)支持基于端口/VLAN的MAC學(xué)習(xí)數(shù)目限制，同時(shí)支持MAC表學(xué)習(xí)速率限制，有效防御MAC地址掃描攻擊行為。MAC學(xué)習(xí)數(shù)目達(dá)到端口/VLAN上設(shè)置的閾值時(shí)，會進(jìn)行丟棄/轉(zhuǎn)發(fā)/告警等動(dòng)作（動(dòng)作策略可定制、可疊加）。另外通過園區(qū)交換機(jī)的MAC地址與端口綁定來限制跨端口的MAC掃描攻擊。 廣播/組播報(bào)文抑制攻擊者不停地向園區(qū)網(wǎng)發(fā)送大量惡意的廣播報(bào)文，惡意廣播報(bào)文占據(jù)了大量的帶寬，傳統(tǒng)的廣播風(fēng)暴抑制無法識別用戶VLAN，將導(dǎo)致正常的廣播流量一并被交換機(jī)丟棄。園區(qū)網(wǎng)交換機(jī)需要識別惡意廣播流量的VLAN ID，通過基于VLAN的廣播風(fēng)暴抑制丟棄惡意廣播報(bào)文而不影響正常廣播報(bào)文流量轉(zhuǎn)發(fā)?？苫诙丝诨騐LAN限制廣播報(bào)文流量百分比或速率閾值。同時(shí)園區(qū)網(wǎng)交換機(jī)支持組播報(bào)文抑制，可基于端口限制組播報(bào)文流量百分比或速率閾值。 園區(qū)網(wǎng)邊界防御企業(yè)園區(qū)網(wǎng)邊界防御分為兩個(gè)部分：園區(qū)出口邊界防御、園區(qū)內(nèi)部邊界防御。園區(qū)出口連接Internet和企業(yè)WAN網(wǎng)的接入，企業(yè)外部網(wǎng)路尤其Internet網(wǎng)絡(luò)，是各種攻擊行為、病毒傳播、安全事件引入的風(fēng)險(xiǎn)點(diǎn)，通過在企業(yè)出口部署高性能防火墻設(shè)備、或者在核心交換機(jī)內(nèi)置防火墻模塊，可以很好的緩解風(fēng)險(xiǎn)的傳播，阻擋來自Internet/企業(yè)外部網(wǎng)絡(luò)攻擊行為的發(fā)生。企業(yè)園區(qū)出口位置部署的獨(dú)立防火墻設(shè)備（或核心交換機(jī)內(nèi)置的防火墻模塊），需要滿足高性能、高可靠、高安全的要求，是企業(yè)園區(qū)網(wǎng)的第一道安全屏障。園區(qū)內(nèi)部邊界防御是將企業(yè)內(nèi)部劃分為多個(gè)區(qū)域，分為信任區(qū)域和非信任區(qū)域，分別實(shí)施不同的安全策略，包括部署區(qū)域間隔離、受限訪問、防止來自區(qū)域內(nèi)部的DOS攻擊等安卻措施。建議通過匯聚交換機(jī)上集成防火墻模塊（單板）來實(shí)現(xiàn)園區(qū)內(nèi)部的邊界防御功能。園區(qū)網(wǎng)中防火墻功能無論是獨(dú)立設(shè)備部署還是集成在核心/匯聚交換機(jī)內(nèi)部，都必須支持靈活的業(yè)務(wù)流控制策略配置，能把特定的流量引到防火墻進(jìn)行處理，其他流量進(jìn)行旁路。防火墻本身需要保證高可靠性，需要考慮防火墻的冗余設(shè)計(jì)，支持Active/Active HA 設(shè)計(jì)方式，即交換機(jī)內(nèi)集成的多塊防火墻板卡支持負(fù)載分擔(dān)和主備模式，不同交換機(jī)內(nèi)的防火墻支持Active/Active模式，同時(shí)能夠處理流量。 園區(qū)網(wǎng)出口安全隨著現(xiàn)代社會網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)日益發(fā)展擴(kuò)大，辦事處、分支機(jī)構(gòu)以及商業(yè)合作伙伴逐步增多，如何將這些小型的辦公網(wǎng)絡(luò)和企業(yè)總部網(wǎng)絡(luò)進(jìn)行經(jīng)濟(jì)靈活而有效的互聯(lián)，并且與整個(gè)企業(yè)網(wǎng)絡(luò)安全方案有機(jī)融合，提高企業(yè)信息化程度，優(yōu)化商業(yè)運(yùn)作效率，成為企業(yè)IT網(wǎng)絡(luò)設(shè)計(jì)亟待解決的問題；大量普及的SOHO網(wǎng)絡(luò)、小型辦公網(wǎng)絡(luò)、智能家居網(wǎng)絡(luò)也越來越注重接入的便捷性和網(wǎng)絡(luò)安全性。企業(yè)園區(qū)網(wǎng)出口設(shè)備是企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點(diǎn)，其安全保證能力非常重要，企業(yè)在信息化的過程中面臨核心技術(shù)、商業(yè)機(jī)密泄密等信息安全問題，VPN技術(shù)是企業(yè)傳輸數(shù)據(jù)非常理想的選擇，因?yàn)閂PN技術(shù)正式是為了解決在不安全的Internet上安全傳輸機(jī)密信息，保證信息的完整性、可用性以及保密性，包括IPSec VPN和SSL VPN。企業(yè)辦事處、分支機(jī)構(gòu)以及商業(yè)合作伙伴如果采用主機(jī)VPN客戶端接入企業(yè)總部網(wǎng)絡(luò)，那么分之機(jī)構(gòu)網(wǎng)絡(luò)中的每個(gè)主機(jī)需要單獨(dú)撥號接入，VPN接入不可控造成內(nèi)部網(wǎng)絡(luò)安全隱患，同時(shí)也大量消耗企業(yè)總部VPN網(wǎng)關(guān)隧道資源；如果采用單獨(dú)的VPN網(wǎng)關(guān)與企業(yè)總部網(wǎng)關(guān)建立VPN隧道，又面臨投資過大的問題。需要有效解決企業(yè)分支機(jī)構(gòu)VPN接入靈活性、安全性和經(jīng)濟(jì)性之間的矛盾。 無線安全設(shè)計(jì)無線局域網(wǎng)（WLAN）具有安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約、易于擴(kuò)展等有線網(wǎng)絡(luò)無法比擬的優(yōu)點(diǎn)。但是由于無線局域網(wǎng)開放訪問的特點(diǎn)，使得攻擊者能夠很容易的進(jìn)行竊聽，惡意修改并轉(zhuǎn)發(fā)，因此安全性成為阻礙無線局域網(wǎng)發(fā)展的最重要因素。園區(qū)用戶大多容易接受新鮮事物，雖然一方面對無線網(wǎng)絡(luò)的需求不斷增長，但同時(shí)也讓許多潛在的用戶對不能夠得到可靠的安全保護(hù)而對最終是否使用無線局域網(wǎng)猶豫不決。目前有很多種無線局域網(wǎng)的安全技術(shù)，包括物理地址（MAC）過濾、服務(wù)集標(biāo)識符（SSID）匹配、有線對等保密（WEP）、端口訪問控制技術(shù)（）、WPA （WiFi Protected Access）、IEEE 。面對如此多的安全技術(shù)，應(yīng)該選擇哪些技術(shù)來解決無線局域網(wǎng)的安全問題，才能滿足用戶對安全性的要求。 無線局域網(wǎng)的安全威脅利用WLAN進(jìn)行通信必須具有較高的通信保密能力。對于現(xiàn)有的WLAN產(chǎn)品，它的安全隱患主要有以下幾點(diǎn)：216。 未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)由于無線局