基础网络保护策略NFPP技术白皮书.docx

基础网络保护策略NFPP技术白皮书 前言 摘要 NFPP (Network Foundation Protection Policy基础网络保护策略)是用来增强交换机安全的一种保护体系，通过对攻击源头采取隔离措施，可以使交换机的处理器和信道带宽资源得到保护，从而保证报文的正常转发以及协议状态的正常。文章阐述了NFPP的开发背景和基本技术原理，以及锐捷网络在该项技术中的应用特点和配置实例。 关键词 NFPP、攻击、保护、隔离 缩略语清单 缩略语 英文全名 中文解释 NFPP Network Foundation Protection Policy 基础网络保护策略 URPF Unchaste Reverse Path Forwarding 单播路径转发 QOS Quality of Service 服务质量 CPP Control Plane Policy 控制平台策略 ACL Access Control List 访问控制列表 目录 TOC \o 1-3 \h \z \u 1 前言 1 2 NFPP技术框架 2 2.1 交换机体系结构 2 2.2 NFPP技术 2 2.2.1 攻击检测的技术 3 2.2.2 实施保护的技术 3 2.2.3 检测、保护的过程 4 3 NFPP工作原理 5 3.1 NFPP保护策略 5 3.1.1 分类 5 3.1.2 入队 5 3.1.3 策略 6 3.2 NFPP的工作流程 7 4 锐捷NFPP技术特点 9 5 NFPP应用 10 5.1 设置策略 10 5.2 识别攻击 11 5.3 隔离用户 11 5.4 实例解析 11 6 结束语 13 前言 由于计算机网络体系结构的复杂性及其开放性等特征，使得网络设备及数据的安全成为影响网络正常运行的重要问题。分析当前网络设备受到的攻击主要表现如下： 拒绝服务攻击可能导致到大量消耗内存等资源，使用系统无法继续服务。 大量的报文流送向CPU，占用了整个送CPU的报文通路的带宽，导致正常的控制流和管理流无法达到CPU，从而带来协议振荡无法管理，进而影响到数据面的转发。如果是核心设备将导致整个网络无法正常运行。由于大量的报文导致控制的处理消耗了大量的CPU资源，从而影响用户通过CLI对设备进行管理。 在发现有攻击现象时，即使能采取一些简单的安全防护措施（如广播风暴控制）减缓设备压力，但无法及时定位发现攻击源，然后由整网设备协作制定安全策略，防止异常攻击数据影响到全网，无法从根本上杜绝网络中存在的安全问题。 目前业界已开发了一些用于防攻击的功能模块(比如：ACL、QOS、URPF、SysGuard 、CPP等等)，通过这些功能模块自行建立攻击检测和保护的机制，并提供对外的管理接口。但实现得不够系统，基本是针对一个问题解决一个问题，在体系上没有统一的框架。从现有的数据帧实现的流程来看，缺乏从流的主干上考虑实施防攻击保护。为了在这个日益重视安全性的环境中应对日益复杂的攻击，锐捷网络致力开发出一套完整的网络基础保护体系，称之为基础网络保护策略(Network Foundation Protection Policy)，简称NFPP。NFPP技术能够对设备本身实施保护，通过对报文流进行限制、隔离，以保证设备及网络可靠、安全、有效地运行。 NFPP技术框架 交换机体系结构 交换机的功能在逻辑上可以划分为三个层面：数据面、管理面、控制面。 数据面(Data Plane)：负责处理和转发不同端口上各种类型的数据，对交换机的性能表现起决定作用，如IP报文。 控制面(Control Plane)：控制面负责控制和管理所有网络协议的运行，它通过网络协议提供给交换机对整个网络环境中网络设备、连接链路和交互状态的准确了解，并在网络状况发生改变时做出及时的调整以维护网络的正常运行。 管理面(Management Plane)：管理面是提供给网络管理人员，使其能够以TELNET、WEB、SSH、SNMP、RMON等方式来管理设备，并支持、理解和执行管理人员对于网络设备各种网络协议的设置操作。 针对交换机设备而言，数据的路由和交换过程主要由硬件来完成，而CPU主要对控制流、管理流和部分交换芯片无法处理的数据流进行处理，并同时提供交互界面供用户进行本地管理配置。 NFPP技术 大量的报文流送向CPU，占用了整个送CPU的报文通路的带宽，导致正常的控制流和管理流无法达到CPU，从而带来协议振荡无法管理，进而影响到数据面的转发，如果是核心设备将导致整个网络无法正常运行。 NFPP接受报文的端口或者发送到CPU通过对送往CPU的报文进行攻击检测，的场景进行安全检测，采取相