交换机防攻击功能整理.pdfVIP

数据中心交换机安全部署最佳实践 杭州华三通信技术有限公司 杭州华三通信技术有限公司 数据中心交换机安全部署最佳实践 1.1 数据中心安全模型 —— 三重保护，多层防御 华为 3COM 数据中心安全解决方案秉承了华为 3COM 一贯倡导的 安全渗透理念 ，将安全部署渗透 到整个数据中心的设计、部署、运维中，为数据中心搭建起一个立体的、无缝的安全平台，真正做到了 使安全贯穿数据链路层到网络应用层的目标，使安全保护无处不在。 华为 3COM 数据中心安全解决方案的技术特色可用十二个字概括： 三重保护、 多层防御； 分区规划， 分层部署。 图1-1 三重保护、多层防御模型 以数据中心服务器资源为核心向外延伸有三重保护功能。依拖具有丰富安全特性的交换机构成数据 中心网络的第一重保护；以 ASIC 、FPGA 和 NP 技术组成的具有高性能精确检测引擎的 IPS 提供对网络 报文深度检测，构成对数据中心网络的第二重保护；第三重保护是凭借高性能硬件防火墙构成的数据中 心网络边界。 用一个形象的比喻来说明数据的三重保护。数据中心就像一个欣欣向荣的国家，来往的商客就像访 问数据中心的报文；防火墙是驻守在国境线上的军队，一方面担负着守卫国土防御外族攻击（ DDOS）的 重任，另一方面负责检查来往商客的身份（访问控制） ；IPS 是国家的警察，随时准备捉拿虽然拥有合法 身份， 但仍在从事违法乱纪活动的商客 （蠕虫病毒），以保卫社会秩序； 具有各种安全特性的交换机就像 商铺雇佣的保安，提供最基本的安全监管，时刻提防由内部人员造成的破坏（ STP 攻击）。 第 2 页, 共 19 页 杭州华三通信技术有限公司 图1 数据中心多层安全防御 三重保护的同时为数据中心网络提供了从链路层到应用层的多层防御体系，如图。交换机提供的安 全特性构成安全数据中心的网络基础，提供数据链路层的攻击防御。数据中心网络边界安全定位在传输 层与网络层的安全上，通过状态防火墙可以把安全信任网络和非安全网络进行隔离，并提供对 DDOS 和 多种畸形报文攻击的防御。 IPS 可以针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击 特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为， 也可以对分布在网络中的各种流量进行有效管理，从而达到对网络应用层的保护。 1.2 交换机二层安全部署最佳实践 第二层的攻击通常在园区网环境中作为一个讨论的话题， 但当我们在讨论数据中心网络安全的时候， 这也是一个重要的部分。有计划的设计和实施一个安全策略来保护第二层的安全攻击是数据中心安全设 计非常重要的一方面。有很多防攻击的特性同样可以确保一个微小的配置改动或者一个非恶意事件不至 于导致数据中心不必要的当机时间。本节我们讨论一些常见的第二层攻击和缓解这些攻击的可用特性。 1.2.1 MAC 泛洪 MAC 泛洪是指以假冒的源 MAC 地址和目的 MAC 地址将数据包从攻击者的系统发送到以太网网络 上。由于交换机的 CAM 表容量是有限的， 如果 CAM 表被填满了， 发送到 CAM 表中没有其条目的 MAC 地址的帧将被泛洪到本地 VLAN 的所有端口上，以确保将这些帧发送给正确的主机。这就使得攻击者 可以对这些数据帧进行嗅探，交换机就像一个 HUB 一样工作，而交换式网络也像是一个共享的网络一 样。这类攻击不仅造成安全性破坏，同时大量的广播报文还严重影响交换机性能。