【文章內(nèi)容簡介】 過載，如果交換機(jī)采用了基于流的交換機(jī)制，甚至?xí)鸾粨Q機(jī)癱瘓。交換機(jī)不再交換或?qū)W習(xí)合法流量，而路由網(wǎng)絡(luò)也會受到嚴(yán)重影響。有這種危害的最新蠕蟲包括紅色代碼（Code Red）、Slammer 和機(jī)智（Witty）等。Catalyst 交換機(jī)采用了基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)而非流的交換機(jī)制 Cisco 快速轉(zhuǎn)發(fā) (CEF)。當(dāng)路由協(xié)議（OSPF、EIGRP 等）生成路由表時，會根據(jù)網(wǎng)絡(luò)前綴（IP 子網(wǎng)的網(wǎng)絡(luò)部分），而非 IP 源和目的地址的流信息來生成硬件轉(zhuǎn)發(fā)表。這種技術(shù)最初設(shè)計用來提高網(wǎng)絡(luò)對針對路由振蕩的彈性，也可直接應(yīng)用于防止蠕蟲攻擊。因為 CEF 并不關(guān)心網(wǎng)絡(luò)中的流量，所以第三層轉(zhuǎn)發(fā)表不會受到影響。 CPU15除攻擊交換機(jī)的轉(zhuǎn)發(fā)表之外，還可通過向 CPU 發(fā)送 ARP 分組等需要處理的控制信息來攻擊設(shè)備本身的 CPU。處理能力和容量有限的 CPU 就會過載，并導(dǎo)致路由更新或BPDU 等真正的控制分組被丟棄。很多網(wǎng)絡(luò)管理者都熟知 CPU 以 100%利用率運(yùn)行時的后果 – 設(shè)備和網(wǎng)絡(luò)會變得不穩(wěn)定。Catalyst 6500 可支持控制面板速率限制功能，它可限制向 CPU 發(fā)送分組的速率。在正常運(yùn)行時，不太可能有大量流量被送往 CPU，除非啟用基于軟件的特性。更不可能出現(xiàn)這些攻擊中所使用的那些類型的流量以很高數(shù)據(jù)速率傳送給 CPU 的情況。這些類型的分組包括 ICMP 不能到達(dá)、ICMP 重定向、CEF 無路由、TTL 超時以及進(jìn)出訪問控制列表等。通過限制這些類型的分組發(fā)送給 CPU 的速率，丟棄超過特定速率的過多分組，確保 CPU 能夠處理（很可能是丟棄）惡意分組，而不會發(fā)生故障。Catalyst 6500 可支持多個速率限制器，因此能限制攻擊所產(chǎn)生的分組等“壞流量”的速率，而允許路由協(xié)議等“好”流量通過。這就使 CPU 甚至在遭受攻擊時也能繼續(xù)處理正常系統(tǒng)任務(wù)。思科公司還建議了另外兩種生成樹增強(qiáng)機(jī)制：BPDU Guard，當(dāng)一個 BPDU 從某端口進(jìn)入網(wǎng)絡(luò)時，可立刻禁用該訪問端口。這可防止非法交換機(jī)連接到網(wǎng)絡(luò)并對生成樹設(shè)計造成潛在的破壞。對于那些可能導(dǎo)致對根網(wǎng)橋進(jìn)行重新計算的所有分組，RootGuard都會讓端口拒絕接收。需要考慮的安全因素 – 信任與身份機(jī)構(gòu)基礎(chǔ)設(shè)施中的第一道防線就是接入層。該層必須確定出誰或什么設(shè)備正在訪問網(wǎng)絡(luò)、設(shè)備的狀態(tài)是什么、它們可以訪問哪些資源。作為進(jìn)入網(wǎng)絡(luò)的門戶，任何可影響用戶行為的安全政策，都必須應(yīng)用到盡可能靠近用戶的地方。多數(shù)企業(yè)的員工必須先登錄網(wǎng)絡(luò)，然后才能訪問服務(wù)器、電子郵件和其他資源；基于身份的網(wǎng)絡(luò)也都采用相同的原則。用個比喻說，基于身份的網(wǎng)絡(luò)類似于一個既拿著護(hù)照又持有航空公司常客優(yōu)惠卡的人。護(hù)照提供了對該人身份的驗證（通常是出于安?？紤]），而常客優(yōu)惠卡則可確定應(yīng)如何對待這個人（通常是出于網(wǎng)絡(luò)運(yùn)行考慮）。思科公司基于身份的網(wǎng)絡(luò)服務(wù)（Identitybased Networking Services – IBNS）恰恰提供的是這種功能。確認(rèn)用戶身份IBNS 是從 IEEE 基于端口的網(wǎng)絡(luò)訪問控制標(biāo)準(zhǔn)開始的?；诙丝诘木W(wǎng)絡(luò)訪問控制利用的是 IEEE 802 LAN 基礎(chǔ)設(shè)施中現(xiàn)有的物理特性，而無需改變架構(gòu)。這一現(xiàn)有基礎(chǔ)設(shè)施提供了對連接到 LAN（交換機(jī)）端口的設(shè)備進(jìn)行身份驗證和授權(quán)的方法。 可與 RADIUS 服務(wù)器配合來成功執(zhí)行基于端口的網(wǎng)絡(luò)訪問控制（ IEEE 標(biāo)16準(zhǔn)）。為此，網(wǎng)絡(luò)中就必須存在發(fā)揮具體作用的特定設(shè)備。請求端（客戶端） – 請求端請求獲得對 LAN 和交換機(jī)服務(wù)的訪問權(quán)，并響應(yīng)來自接入層設(shè)備的請求。請求端必須運(yùn)行符合 標(biāo)準(zhǔn)的軟件。身份驗證端（交換機(jī)） – 身份驗證端根據(jù)請求端的身份驗證狀態(tài)來控制對網(wǎng)絡(luò)的物理訪問。這個設(shè)備作為客戶機(jī)與身份驗證服務(wù)器之間的中介（代理），從請求端那里請求身份信息、與身份驗證服務(wù)器驗證該信息并向該請求端作出響應(yīng)。交換機(jī)通過 RADIUS 協(xié)議與身份驗證服務(wù)器進(jìn)行通信，并通過 協(xié)議與請求端進(jìn)行通信。身份驗證服務(wù)器 – 身份驗證服務(wù)器就是 RADIUS 服務(wù)器（如 Cisco Secure ACS）。它負(fù)責(zé)處理請求端的身份驗證請求。身份驗證服務(wù)器先驗證請求端的身份，然后通知交換機(jī)該主機(jī)是否被授權(quán)能訪問 LAN 和交換機(jī)服務(wù)。因為交換機(jī)是作為代理而工作的，所以身份驗證服務(wù)對于請求端是透明的。根據(jù)用戶身份定制相應(yīng)的服務(wù)用護(hù)照做個比喻，這個過程只是要確認(rèn)出用戶的身份。完成這一過程后，可向網(wǎng)絡(luò)提供關(guān)于該用戶能獲得什么服務(wù)的進(jìn)一步信息。這個策略是從 Cisco ACS RADIUS 服務(wù)器和/或接入層設(shè)備來配置的，且只有當(dāng)用戶身份驗證成功后才能應(yīng)用到端口之上。策略可以被定義為很多東西，但在 IBNS 情況下，策略主要指（但不限于）以下方面：支持動態(tài) VLAN 配置的 IEEE – 可根據(jù)用戶的身份及其所屬的用戶組在端口上配置 VLAN。支持動態(tài) ACL 實現(xiàn)功能的 IEEE – 可根據(jù)正進(jìn)行身份驗證的請求端的身份將一個安全 ACL 應(yīng)用到端口的 VLAN。支持動態(tài) QoS 實現(xiàn)功能的 IEEE – 可根據(jù)正進(jìn)行身份驗證的請求端的身份將一個 QoS ACL 應(yīng)用到端口/VLAN。支持端口安全的 IEEE – 可使網(wǎng)絡(luò)管理員鎖定被允許在某個端口上進(jìn)行身份驗證的具體 MAC 地址或一些 MAC 地址。支持訪客 VLAN 的 IEEE – 可使不具備 功能的用戶/設(shè)備獲得通過某個訪客 VLAN 訪問某個接入層端口的權(quán)力，一般局限于有限的資源，如僅限互聯(lián)網(wǎng)連接等。支持 VVID 的 IEEE – 可實現(xiàn)與基于 AVVID 的網(wǎng)絡(luò)的集成。有 VVID 的IEEE 可使 VVID 中的話音流量穿過端口，但要求使用電話的用戶/設(shè)備進(jìn)行身份驗證。支持 RADIUS 記帳和跟蹤功能的 IEEE – 可使網(wǎng)絡(luò)管理員向 RADIUS 服務(wù)器發(fā)送 IEEE 用戶記帳信息來進(jìn)行記帳和跟蹤。17安全 – 威脅防御防止中間人攻擊Catalyst 交換機(jī)必須保護(hù)與之相連的用戶和服務(wù)器。不同于那些可對網(wǎng)絡(luò)產(chǎn)生影響的攻擊，很多針對用戶和服務(wù)器的攻擊都是檢測不到的。這些常稱為“中間人”攻擊的攻擊采用的是可從互聯(lián)網(wǎng)上下載的常用工具。這些工具采用多種不同的機(jī)制，可以被惡意用戶利用來窺探其他員工、經(jīng)理或管理人員。這可導(dǎo)致機(jī)密信息的失竊以及違反保密政策。思科公司提供了一些特性，這些特性共同使用時可保護(hù)用戶的重要信息。DHCP 監(jiān)聽：多數(shù)企業(yè)網(wǎng)絡(luò)都是依靠 DHCP 來進(jìn)行 IP 地址分配的。而 DHCP 并不是安全的協(xié)議，因此就使得與某個網(wǎng)絡(luò)相連的錯誤配置或惡意設(shè)備能很容易地對 DHCP 請求作出響應(yīng)，并向 DHCP 客戶機(jī)提供錯誤或惡意的信息。此外，在互聯(lián)網(wǎng)上有一些工具會大量耗用某個 DHCP 范圍內(nèi)的所有可用 IP 地址，并可導(dǎo)致所有合法主機(jī)都不能獲取IP 地址，進(jìn)而導(dǎo)致網(wǎng)絡(luò)不可用。DHCP Snooping 可同時提供針對這兩種情況的保護(hù)。它可建立端口的可信/不可信狀態(tài)，因此可使網(wǎng)絡(luò)管理員能確定應(yīng)允許哪些端口（和相關(guān)設(shè)備）作為 DHCP 服務(wù)器，并拒絕所有其他端口上的 DHCP 服務(wù)器活動。此外，DHCP Snooping 可對 DHCP 分組進(jìn)行調(diào)查，并確保發(fā)送 DHCP 請求的設(shè)備相關(guān)的物理 MAC 地址能匹配該 DHCP 請求內(nèi)部的 MAC 地址。與端口安全相結(jié)合，DHCP Snooping 不允許耗用地址工具利用 DHCP 內(nèi)在的不安全。在很多情況下，DHCP Snooping 是與 DHCP Option 82 一起使用的，后者可使交換機(jī)在 DHCP 分組中插入有關(guān)它自己的信息?？梢圆迦氲淖畛Ｒ娦畔⒕褪?DHCP 請求的物理端口 ID。這可通過將 IP 地址關(guān)聯(lián)到某個具體交換機(jī)上的某個具體端口，為網(wǎng)絡(luò)提供很強(qiáng)的智能性，從而防止惡意設(shè)備和服務(wù)器的連接。動態(tài) ARP 檢測：ARP（地址解析協(xié)議）是另一種本身不安全的網(wǎng)絡(luò)服務(wù)。ARP 用于在主機(jī)的 IP 地址表中建立物理（MAC）地址。未經(jīng)請求的 ARP 是物理 MAC 地址向 IP 地址所有權(quán)信息的非請求廣播。同樣可從互聯(lián)網(wǎng)上下載的 ettercap 等工具可使惡意用戶利用這一行為并成為中間人，進(jìn)而訪問他們不應(yīng)訪問的機(jī)密信息。Ettercap 是一種“智能化嗅探器”，它可使有點或毫無技術(shù)能力的惡意用戶收集資源/用戶名/密碼信息。與 DHCP Snooping 一起使用時， Dynamic ARP Inspection 可防止某個主機(jī)在 DHCP服務(wù)器沒有為其分配的 IP 地址的情況下，發(fā)送未經(jīng)請求的 ARP。這種保護(hù)可防止ettercap 等工具利用 ARP 內(nèi)在的不安全。18IP Source Guard：某個主機(jī)還可通過意外錯誤配置或惡意企圖，從它所沒有或不應(yīng)擁有的某個 IP 地址獲得流量。IP Source Guard 與 DHCP Snooping 配合使用時，可防止某個主機(jī)在沒有從合法 DHCP 服務(wù)器獲得某個 IP 地址的情況下，獲得流量。IP Source Guard 會丟棄那些從某個不存在的來源發(fā)起的 DDOS 攻擊，即可防止它們利用某個主機(jī)從任何來源發(fā)送流量的能力，且只允許從通過 DHCP 獲得的 IP 地址得到的流量。 其他考慮因素在集中提供 IP 交換基礎(chǔ)設(shè)施的數(shù)據(jù)中心服務(wù)的核心，還有一些這里并未提出建議，比如有防火墻、內(nèi)容交換、SSL（安全套接層）、入侵檢測、網(wǎng)絡(luò)分析和高速緩存等很多數(shù)據(jù)中心服務(wù)可對數(shù)據(jù)中心進(jìn)行進(jìn)一步擴(kuò)展和保護(hù)。這些服務(wù)是由 Catalyst 6500服務(wù)模塊提供的，這些模塊集成在多層交換機(jī)或外部設(shè)備之中。對這些服務(wù)的需求是由應(yīng)用環(huán)境的要求來決定的。在此提及供今后考慮。接入層提供了對服務(wù)器本身的連接性。接入層必須能適應(yīng)快速擴(kuò)容，同時又要保持最大的服務(wù)器可用性。思科公司建議，將每個服務(wù)器雙連接到兩個接入層交換機(jī)，以避免服務(wù)器單點故障。這兩個接入層交換機(jī)反過來又雙連接到兩個匯聚層交換機(jī)。因為這些服務(wù)器都是在第二層上連接的，所以就需要使用生成樹。建議采用每個 VLAN快速生成樹協(xié)議，它可確保在至 STP 根的主路徑發(fā)生故障時，實現(xiàn)一秒內(nèi)的收斂時間。VLAN 也可用于隔離多層應(yīng)用環(huán)境的多個層。常用的選擇是，將萬維網(wǎng)、應(yīng)用程序和數(shù)據(jù)庫等層部署在不同的 VLAN 上，并在 VLAN 邊界上使用一些策略。這些策略的范圍包括用于 VLAN 流量的基本防火墻規(guī)則、內(nèi)容交換、SSL 和監(jiān)控等。這些策略的目的在于，同時控制客戶機(jī)至服務(wù)器以及服務(wù)器至服務(wù)器的流量。其中一些服務(wù)器，如數(shù)據(jù)庫服務(wù)器等，為雙連接。一方面，它們可支持至 IP 網(wǎng)絡(luò)的連接；另一方面，可通過光纖通道或 iSCSI（IP 上的 SCSI）來支持存儲網(wǎng)絡(luò)。高性能的 IPMulticast 支持隨著 MicrosoftNetShow 和 NetMeeting 等組播應(yīng)用被越來越廣泛地使用，作為端到端組播解決方案一部分的組播路由協(xié)議變得越來越重要了。思科三層交換機(jī)同時支持獨(dú)立組播路由協(xié)議（PIM）的松散式和密集式兩種模式，并具有用于傳統(tǒng)應(yīng)用的距離矢量組播路由協(xié)議（DVRMP）的互操作能力。支持 IGMP 的第一版和第二版，并具有19CGMP 服務(wù)器能力，將組播 IP 和交換機(jī)集成在一起。這些協(xié)議不僅對于 IP 組播客戶加入工作組是必需的，而且對于高效的退網(wǎng)處理－這對節(jié)市帶寬和終端 CPU 周期十分重要－也是必需的。20第四章、未來網(wǎng)絡(luò)安全策略的考慮安全策略越來越成為企業(yè)網(wǎng)絡(luò)尤其是企業(yè)企業(yè)網(wǎng)絡(luò)的關(guān)鍵因素。特別是隨著多協(xié)議新業(yè)務(wù)的發(fā)展、電子商務(wù)、網(wǎng)上銀行、各種中間業(yè)務(wù)的應(yīng)用，用戶網(wǎng)絡(luò)不再是一個封閉的網(wǎng)絡(luò)，而是 Intra、Extra、Inter 互聯(lián)的網(wǎng)絡(luò)。這些新應(yīng)用的出現(xiàn)，極大地擴(kuò)展了客戶的業(yè)務(wù)，提高了客戶的競爭力，但同時也帶來網(wǎng)絡(luò)安全的風(fēng)險。網(wǎng)絡(luò)設(shè)計中必須制定網(wǎng)絡(luò)安全策略，保證內(nèi)部網(wǎng)絡(luò)的完整性和安全性。CiscoSAFE(SecurityArchitectureforEnterprise 企業(yè)安全體系結(jié)構(gòu))為企業(yè)客戶提供整體的、可擴(kuò)展的、高性能的、靈活的安全解決方案。SAFE 采用模塊化的方法根據(jù)用戶需求制定安全的設(shè)計、實施和管理。在設(shè)計 SAFE 的每個模塊時，Cisco 都考慮到一些關(guān)鍵的因素，包括潛在可能的威脅或侵入及相應(yīng)的對策、性能（不能因為安全控制帶來不可接受的性能下降）、可擴(kuò)展性、可管理性、服務(wù)質(zhì)量和語音的支持等。SAFE 體系結(jié)構(gòu)中采用了 Cisco 的安全技術(shù)和產(chǎn)品。本次網(wǎng)絡(luò)建設(shè)所建議的網(wǎng)絡(luò)安全策略正是基于 SAFE 企業(yè)安全體系結(jié)構(gòu)，可充分滿足客戶今后對網(wǎng)絡(luò)安全的要求。Cisco 安全 IDS 系統(tǒng)是企業(yè)級的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，針對 DoS 保護(hù)、電子商務(wù)防護(hù)等方面提供了實時的動態(tài)的安全監(jiān)控和響應(yīng)解決方案。IDS 系統(tǒng)包括一個或多個IDS 感應(yīng)器和一個或多個管理控制臺。IDS 感應(yīng)器是高速的安全分析設(shè)備，實時地分析網(wǎng)絡(luò)上傳送的數(shù)據(jù)包，確定是經(jīng)授權(quán)的還是惡意攻擊的。如果發(fā)現(xiàn)數(shù)據(jù)流是未經(jīng)授權(quán)的或有可疑行為，IDS 感應(yīng)器能偵測到入侵，終止這個會話，并向管理控制臺發(fā)送告警。管理控制臺是高性能的基于軟件的管理系統(tǒng)，可以集中地監(jiān)控網(wǎng)絡(luò)中多個感應(yīng)器（對于大型的分布式網(wǎng)絡(luò)也可以部署多個管理控制臺），提供可視化的告警顯示，也可以對入侵作出響應(yīng)，例如對設(shè)備進(jìn)行遠(yuǎn)程配置。有了 IDS 系統(tǒng)，用戶就可以實時檢測到并終止來自外部和內(nèi)部的非授權(quán)的行為。CiscoIDS 系統(tǒng)是 CiscoSAFE 藍(lán)圖中的動態(tài)安全組件，具有市場領(lǐng)先地位的技術(shù)，攻擊檢測和反攻擊保護(hù)。其透明的操作對網(wǎng)絡(luò)的性能沒有影響，具有功能強(qiáng)大的管理軟件。IDS 通常部署在以下的網(wǎng)絡(luò)