【導讀】未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。

　　

【正文】 缺陷 定期檢測、加強配置管理、日志、審計 風險 安全對策 網(wǎng)絡設備物理安全缺陷 更新 網(wǎng)絡設備存在的陷門和隱通道 尚無相應的解決技術(shù)及產(chǎn)品 網(wǎng)絡設備實體的安全 防盜、防輻射、防雷擊 Xxx教育城域網(wǎng)在現(xiàn)有的網(wǎng)絡結(jié)構(gòu)及應用模式下，可能存在的主要安全風險： 1) 網(wǎng)絡設備節(jié)點自身安全風險： ? 網(wǎng)絡設備安全有效配置、管理和維護的風險：網(wǎng)絡設備是網(wǎng)絡數(shù)據(jù)傳輸?shù)暮诵模钦麄€網(wǎng)絡的基礎設施，各種網(wǎng)絡設備本身的安全與可靠性以及這些設備上應用策略的安全都需要進行合理的配置才能夠保證； ? 網(wǎng)絡設備提供安全特性合理有效的 利用風險：網(wǎng)絡設備由于處于網(wǎng)絡系統(tǒng)中基礎設施的特性，網(wǎng)絡設備選擇是必須考慮能夠提供足夠的網(wǎng)絡安全防范特性，以實現(xiàn)在網(wǎng)絡基礎設施層就能提供一定的安全特性； 2) 網(wǎng)絡結(jié)構(gòu)及線路冗余的風險： ? 隨著網(wǎng)絡節(jié)點間的連接密度的增加，整個網(wǎng)絡提供的線路冗余能力也會增加，提供的網(wǎng)絡數(shù)據(jù)的流動模式會更靈活，整個網(wǎng)絡可靠性和可用性也會大大的增加； 3) 網(wǎng)絡層有效的訪問控制的風險： ? 網(wǎng)絡結(jié)構(gòu)越來越復雜，接入網(wǎng)絡的用戶也越來越多，必須能夠在不同的網(wǎng)絡區(qū)域之間采取一定的控制措施，有效控制不同的網(wǎng)絡區(qū)域之間的網(wǎng)絡通信，以此來控制網(wǎng)絡元素間的互訪 能力，避免網(wǎng)絡濫用，同時實現(xiàn)安全風險的有效的隔離，把安全風險隔離在相對比較獨立以及比較小的網(wǎng)絡區(qū)域。 ? 為了實現(xiàn)對網(wǎng)絡應用的有效管理，必須加強對網(wǎng)絡用戶的網(wǎng)絡應用能力控制，首先，需要對用戶接入網(wǎng)絡的能力進行控制，嚴格控制只有經(jīng)過認證的用戶才能接入網(wǎng)絡；同時，需要更細粒度的訪問控制，尤其是對 Inter 資源的訪問控制，應該能夠控制內(nèi)部用戶訪問 Inter 的什么網(wǎng)站，實現(xiàn)一定程度的用戶應用行為的管理。 4) 網(wǎng)絡攻擊行為檢測和防范的風險： ? 由于 TCP/IP 協(xié)議的開放特性，帶來了非常大的安全風險，常見的 IP 地址竊取、 IP 地址假冒，網(wǎng)絡端口掃描以及危害非常大的拒絕服務攻擊（ DOS、DDOS）等，必須能夠提供對這些攻擊行為有效的檢測和防范能力的措施； ? 由于操作系統(tǒng)平臺、網(wǎng)絡應用平臺以及應用系統(tǒng)本身存在的很多安全漏洞，必須能夠有效的檢測到基于這些漏洞的病毒、木馬、蠕蟲和其他各種應用層攻擊，同時能夠組合已有的網(wǎng)絡設備和安全設備，針對這些攻擊行為，提供有效的防范能力； 5) 網(wǎng)絡數(shù)據(jù)傳輸中存在的安全風險： 網(wǎng)絡數(shù)據(jù)在傳輸?shù)倪^程中，很可能被通過各種方式竊取，因此在提供我們上面描述的網(wǎng)絡數(shù)據(jù)傳輸能力的前提下，必須能夠保證數(shù)據(jù)在傳輸?shù)倪^ 程中機密性（保證數(shù)據(jù)傳遞的信息不被第三方獲得）和完整性（保證數(shù)據(jù)在傳遞過程中不被人修改），尤其是在網(wǎng)絡傳遞的信息價值不斷提高情況下。 6）應用層威脅 2020年以前，當我們談及網(wǎng)絡安全的時候，還主要指防火墻，因為那時候的安全還主要以網(wǎng)絡層的訪問控制為主。的確，防火墻就像一個防盜門，給了我們基本的安全防護。但是，就像今天最好的防盜門也不能阻止“禽流感”病毒傳播一樣，防火墻也不能阻擋今天的網(wǎng)絡威脅的傳播。今天的網(wǎng)絡安全現(xiàn)狀和 2020年以前相比，已經(jīng)發(fā)生了很大的改變，我們已經(jīng)進入了一個“應用層威脅”泛濫的時代。 今天，各種蠕蟲、間諜軟件、網(wǎng)絡釣魚等應用層威脅和 EMAIL、移動代碼結(jié)合，形成復合型威脅，使威脅更加危險和難以抵御。這些威脅直接攻擊企業(yè)核心服務器和應用，給企業(yè)帶來了重大損失；攻擊終端用戶計算機，給用戶帶來信息風險甚至財產(chǎn)損失；對網(wǎng)絡基礎設施進行 DoS/DDoS攻擊，造成基礎設施的癱瘓；更有甚者，像電驢、 BT等 P2P應用和 MSN、等即時通信軟件的普及，企業(yè)寶貴帶寬資源被業(yè)務無關流量浪費，形成巨大的資源損失。面對這些問題，傳統(tǒng)解決方案最大的問題是，防火墻工作在 TCP/IP 3～ 4層上，根本就“看”不到這些 威脅的存在，而 IDS作為一個旁路設備，對這些威脅又“看而不阻”，因此我們需要一個全新的安全解決方案。 . 統(tǒng)一安全設計原則 在規(guī)劃 XXX教育城域網(wǎng) 網(wǎng)絡安全系統(tǒng)時，我們將遵循以下原則，以這些原則為基礎，提供完善的體系化的整體網(wǎng)絡安全解決方案： ? 體系化設計原則 通過分析信息網(wǎng)絡的網(wǎng)絡層次關系、安全需求要素以及動態(tài)的實施過程，提出科學的安全體系和安全模型，并根據(jù)安全體系和安全模型分析網(wǎng)絡中可能存在的各種安全風險，針對這些風險以動態(tài)實施過程為基礎，提出整體網(wǎng)絡安全解決方案，從而最大限度地解決可能存在的安全問題。 ? 全 局性、均衡性原則 安全解決方案的設計從全局出發(fā)，綜合考慮信息資產(chǎn)的價值、所面臨的安全風險，平衡兩者之間的關系，根據(jù)信息資產(chǎn)價值的大小和面臨風險的大小，采取不同強度的安全措施，提供具有最優(yōu)的性能價格比的安全解決方案。 ? 可行性、可靠性原則 在采用全面的網(wǎng)絡安全措施之后，應該不會對原有的網(wǎng)絡，以及運行在此網(wǎng)絡上的應用系統(tǒng)有大的影響，實現(xiàn)在保證網(wǎng)絡和應用系統(tǒng)正常運轉(zhuǎn)的前提下，有效的提高網(wǎng)絡及應用的安全強度，保證整個信息資產(chǎn)的安全。 ? 可動態(tài)演進的原則 方案制定統(tǒng)一技術(shù)和管理方案，采取相同的技術(shù)路線，實現(xiàn)統(tǒng)一安全策略的 制定，并能實現(xiàn)整個網(wǎng)絡從基本防御的網(wǎng)絡，向深度防御的網(wǎng)絡以及智能防御的網(wǎng)絡演進，形成一個閉環(huán)的動態(tài)演進網(wǎng)絡安全系統(tǒng)。 . 網(wǎng)絡層安全解決方案 . 全面網(wǎng)絡基礎設施可靠性保證措施 首先，可取采取的措施為多種冗余備份能力，包括網(wǎng)絡線路的多層次冗余、網(wǎng)絡設備的多節(jié)點冗余、網(wǎng)絡設備自身組件的冗余，通過這些冗余能力，實現(xiàn)整個網(wǎng)絡全面的可靠性保證。網(wǎng)絡線路冗余主要包括如采用網(wǎng)狀或者盡量網(wǎng)狀連接來代替星形、樹形的連接結(jié)構(gòu)，在網(wǎng)絡改造建議方案中，我們設計了足夠的線路冗余能力。網(wǎng)絡設備多節(jié)點冗余主要是指在網(wǎng)絡中同一個設備節(jié)點部 署雙機設備，通過雙機進行實現(xiàn)相互備份和負載均衡，在網(wǎng)絡改造建議方案中，我們在關鍵的節(jié)點都進行了雙機配置。網(wǎng)絡設備可以采取的冗余配置措施主要包括冗余電源配置、冗余模塊配置、冗余引擎配置等，基于 H3C網(wǎng)絡設備豐富的冗余特性，可以有效的實現(xiàn)這些冗余配置模式。 其次，采取高安全性的網(wǎng)絡設備， 網(wǎng)絡與安全的融合是未來網(wǎng)絡發(fā)展的必然趨勢，隨著網(wǎng)絡設備特性的不斷更新， H3C系列網(wǎng)絡設備自身具備的安全能力也在不斷加強。 H3C系列 網(wǎng)絡 設備 包括路由器 、 交換機 ， 都統(tǒng)一采用 H3C自主研發(fā)的 Comware軟件平臺 。 . 骨干網(wǎng)關鍵設備 SR8800 強大的 安全特性 地址掃描攻擊防護能力 地址掃描攻擊是攻擊者向攻擊目標網(wǎng)絡發(fā)送大量的目的地址不斷變化的 IP報文。 當攻擊者掃描網(wǎng)絡設備的直連網(wǎng)段時，網(wǎng)絡設備會給該網(wǎng)段下的每個地址發(fā)送 ARP報文，地址不存在的話，還需要發(fā)送目的主機不可達報文。如果直連網(wǎng)段較大，攻擊流量足夠大時，會消耗網(wǎng)絡設備較多的 CPU和內(nèi)存資源，可能引起網(wǎng)絡中斷。 SR8800實現(xiàn)了地址掃描攻擊的防護能力 。 當 SR8800交換機收到目的 IP是直連網(wǎng)段的報文時，如果該目的地址的路由不存在，會發(fā)送一個 ARP請求報文，并針對目的地址下一條丟棄 表項，以防止后續(xù)報文持續(xù)沖擊 CPU。如果有 ARP應答，則立即刪除相應的丟棄表項，并添加正常的路由表項。否則，經(jīng)過一段時間后丟棄表項自動老化。這樣，既防止直連網(wǎng)段掃描攻擊對交換機造成影響，又保證正常業(yè)務流程的暢通。 SR8800還提供了相應的配置命令，用于控制地址掃描攻擊防護功能是否啟用。 DoS/DDoS攻擊防護能力 DoS攻擊，即拒絕服務攻擊（ DoS， Denial of Service）， 是指向設備發(fā)送大量的連接請求，占用設備本身的資源，嚴重的情況會造成設備癱機，一般情況下也會使設備的功能無法正常運行。因 為主要是針對服務器的，目的是使服務器拒絕合法用戶的請求，所以叫拒絕服務攻擊。 隨著攻擊技術(shù)的發(fā)展， Dos攻擊也出現(xiàn)了升級，攻擊者控制多臺主機同時發(fā)起 DoS攻擊，也就是所謂的分布式拒絕服務攻擊（ DDoS， Distributed Denial of Service）攻擊，它的規(guī)模更大，破壞性更強。 SR8800能夠抵御 IP Spoofing、 Land、 Smurf等常見 DoS攻擊，確保某種協(xié)議遭受攻擊時不會影響到其他協(xié)議的正常運行和業(yè)務的正常轉(zhuǎn)發(fā)。同時，當攻擊源對下掛在網(wǎng)絡設備的服務器進行 DoS攻擊時，可以利用 SR8800的 ACL功能，下發(fā)特定的 ACL規(guī)則對攻擊報文進行過濾，保障下掛的主機和服務器正常運行。 廣播 /組播報文速率限制 網(wǎng)絡中存在大量的廣播或者組播報文，會占用寶貴的網(wǎng)絡帶寬，從而嚴重影響網(wǎng)絡設備的轉(zhuǎn)發(fā)性能。而且當網(wǎng)絡中某臺設備存在環(huán)路時，廣播和組播報文會在網(wǎng)絡中泛濫，導致整網(wǎng)的癱瘓。 SR8800具有強大的廣播和組播報文過濾功能?？梢园凑战^對數(shù)值限制端口允許通過的廣播和組播報文速率，也可以按照端口速率的百分比來限制端口允許通過的廣播和組播報文速率。同時，還可以通過 ACL規(guī)則設置特定端口廣播、組播和未知單 播報文允許通過的速率。 MAC地址表容量攻擊防護能力 所謂 MAC地址表容量攻擊，是指攻擊源發(fā)送源 MAC地址不斷變化的報文，網(wǎng)絡設備在收到這種報文后，會進行源 MAC地址學習。由于 MAC地址表容量是有限的，當 MAC地址表項達到最大容量后，正常報文的 MAC地址學習將無法完成。在進行二層轉(zhuǎn)發(fā)時，這些報文將會在 VLAN內(nèi)廣播，嚴重影響網(wǎng)絡帶寬，同時也會對網(wǎng)絡設備下掛主機造成沖擊。 SR8800提供設置單個端口或者單個 VLAN允許學習的最大 MAC地址數(shù)目的功能。用戶可以根據(jù)端口或者 VLAN下掛的主機數(shù)目來設置該端口或者 VLAN最大允許學習的 MAC地址數(shù)目，防止一個端口或者 VLAN就把系統(tǒng)的 MAC地址表項耗盡。在設置端口 MAC地址最大學習數(shù)目時，還可以選擇超過部分是否轉(zhuǎn)發(fā)，防止未知單播報文 VLAN內(nèi)廣播，對其他設備造成沖擊。 靜態(tài) MAC地址表項和 ARP表項綁定能力 SR8800提供配置靜態(tài) MAC地址表項和靜態(tài) ARP表項的功能。用戶可以通過配置靜態(tài)MAC地址表項，保證二層數(shù)據(jù)報文正確的轉(zhuǎn)發(fā)；用戶還可以通過配置靜態(tài) ARP表項，綁定MAC地址和 IP地址，確保 IP地址不會被偽用戶盜用。 強大的 ACL能力 在復雜的網(wǎng)絡環(huán)境中，存在各 種各樣的攻擊報文，可能攻擊網(wǎng)絡設備，也可能攻擊網(wǎng)絡設備下掛的主機。 SR8800提供強大而豐富 的 ACL功能 ，能夠 對報文 的 數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層各字段 進行 識別 、限流和 過濾。 通過 ACL功能，管理者可以對非法流量進行有效的過濾 。管理者可以在端口、 VLAN或 者全局模式下設置相應的 ACL規(guī)則， 以滿足不同的需要。 SR8800的 ACL規(guī)則，不但可以根據(jù) ICMP、 IGMP、 TCP端口號、 UDP端口號、 IP地址、 MAC地址等常用字段對報文進行過濾或者限流，還可以根據(jù) TTL、 BTFLAG、 VLAN_ID、 EXP等字段 對報文進行過濾和限流。 URPF（單播反向路徑查找）檢查能力 所謂 URPF，即單播反向路徑查找，主要用于 防止基于源地址欺騙的網(wǎng)絡攻擊行為 。 一般情況下，路由交換機針對目的地址查找路由，如果找到了就轉(zhuǎn)發(fā)報文，否則丟棄該報文。在 URPF功能啟動后，通過獲取報文的源地址和入接口，交換機以源地址為目的地址在轉(zhuǎn)發(fā)表中查找路由，如果查到的路由出接口和接收該報文的入接口不匹配，交換機認為該報文的源地址是偽裝的，丟棄該報文。通過 URPF特性，交換機就能有效地防范網(wǎng)絡中通過修改源地址而進行的惡意攻擊 行為 。 ARP協(xié)議攻擊防護 能力 ARP協(xié)議沒有任何驗證方式，而 ARP在數(shù)據(jù)轉(zhuǎn)發(fā)中又是至關重要的，攻擊者常偽造 ARP報文進行攻擊。 SR8800能夠檢測并且防范 ARP報文的攻擊。當攻擊者采用某個或者某幾個固定的攻擊源，向設備發(fā)送大量的 ARP報文進行攻擊時， SR8800能夠檢測并且防范這種 ARP協(xié)議報文的攻擊。 當 SR8800收到 ARP報文時，會根據(jù)報文源 MAC地址進行 HASH，并且記錄單位時間收到的 ARP報文數(shù)目。當檢測到單位時間內(nèi) CPU收包出現(xiàn)丟包且某些固定源 MAC地址的主機超出一定限度，認為該主機在進行 ARP攻擊。如果用戶啟用 ARP防攻擊功能，則會打印提示信息并記錄到日志信息中，且下發(fā)一條源 MAC地址丟棄的表項，對該攻擊源進行屏蔽。 地址沖突檢測能力 所謂地址沖突，是指網(wǎng)絡設備下掛的主機或者對接的其他網(wǎng)絡設備設置的 IP地址和該網(wǎng)絡設備的接口 IP地址沖突，網(wǎng)絡設備如果無法檢測到地址沖突，該網(wǎng)絡設備下掛的其他主機的網(wǎng)關 ARP地址有可能會被更新，導致下掛主機無法正常上網(wǎng) 。 SR8800支持地址沖突檢測功能。當 SR8800收到 ARP報文時，會判斷該報文的源 IP地址和本網(wǎng)段接口 IP地址是否相同。如果發(fā)現(xiàn)地址相同，則 SR8800會立即發(fā)送一個地 址沖突 報文和免費 ARP廣播報文。地址沖突報文是通知對端主機或者設備，該地址已經(jīng)被占用；免費 ARP廣播報文，是通知本網(wǎng)段內(nèi)其他主機和網(wǎng)絡設備，糾正本網(wǎng)段內(nèi)其他主機或者網(wǎng)絡設備的 ARP表項，防止 ARP表項指向錯誤的 MAC地址。同時， SR8800會上報地址沖突的告警信息并同時記錄日志 ，以便維護人員能夠及時了解設備遭受的攻擊。 TC/TCN攻擊防護能力 在啟用 STP情況下，當網(wǎng)絡中某臺設備端口的 STP