計(jì)算機(jī)城域網(wǎng)安全技術(shù)

C

城域網(wǎng)安全

?2001,CiscoSystems,Inc.Allrightsreserved.1

PDFcreatedwithpdfFactoryProtrialversionwww.D

?城域網(wǎng)絡(luò)安全狀況及實(shí)施目標(biāo)

?思科城域網(wǎng)安全解決方案及部署

?總結(jié)

?2001,CiscoSystems,Inc.Allrightsreserved.2

PDFcreatedwithpdfFactoryProtrialversionwww.D

運(yùn)營(yíng)商寬帶城域網(wǎng)組網(wǎng)現(xiàn)狀

川I川川川IIIC

核心網(wǎng)絡(luò)

核心層5c

（核心路由器）

匯聚層

（匯聚路由器）

接入層

（業(yè)務(wù)接入BRASARBRAAR

控制點(diǎn).）.......

匯接交換機(jī)

廠接交換機(jī)

ATMCATV接入網(wǎng)

寬帶接入網(wǎng)

小區(qū)交換機(jī)

DSLAMIP

DSLAM樓道交換機(jī)

L小區(qū)用戶

個(gè)人用戶公共無(wú)線接入

3

網(wǎng)吧用戶企V?2001,CiscoSystems,Inc.Allrightsreserved.

PDFcreatedwithpdfFactoryProtrialversion

城域網(wǎng)組網(wǎng)現(xiàn)狀

C

?IP城域網(wǎng)的組網(wǎng)結(jié)構(gòu)

0A類：采用高速路由器為核心組建的IP城域網(wǎng)，即以高

速路由器為核心，路由器或交換機(jī)作為匯聚層設(shè)備（路

由+交換）的三層網(wǎng)絡(luò)設(shè)計(jì)。寬帶服務(wù)器一般掛接在網(wǎng)

絡(luò)的匯聚層，少數(shù)大容量的寬帶服務(wù)器直接掛接在網(wǎng)絡(luò)

的核心層。

0B類：采用高速LAN交換機(jī)為核心組建的IP城域網(wǎng)，即

以多層交換設(shè)備高速LAN交換機(jī)和容量適中的高速路由

器為核心，多層交換機(jī)作為匯聚層設(shè)備的二三層網(wǎng)絡(luò)設(shè)

計(jì)。有些交換型網(wǎng)絡(luò)采用POP點(diǎn)延伸組建的IP城域網(wǎng)，

即依托現(xiàn)有的POP點(diǎn)延伸來(lái)組建的IP城域網(wǎng)。

?2001,CiscoSystems,Inc.Allrightsreserved.4

PDFcreatedwithpdfFactoryProtrialversionwww.D

城域網(wǎng)主要安全問(wèn)題

C

?IP城域網(wǎng)安全已經(jīng)成為IP網(wǎng)絡(luò)業(yè)務(wù)發(fā)展的瓶頸

口眾多安全威脅發(fā)生在城域網(wǎng)，如網(wǎng)絡(luò)資源濫用，DDoS停止服務(wù)攻擊，蠕蟲泛濫等，導(dǎo)致

城域網(wǎng)不可用或網(wǎng)絡(luò)服務(wù)質(zhì)量下降

u使IP網(wǎng)絡(luò)達(dá)到電信級(jí)標(biāo)準(zhǔn)始終處于不確定中，無(wú)法對(duì)用戶提供SLA承諾

?城域網(wǎng)安全防護(hù)的復(fù)雜性

口城域網(wǎng)組網(wǎng)架構(gòu)不統(tǒng)一，設(shè)備不統(tǒng)一，安全防護(hù)能力各異，不利于安全策略的統(tǒng)一規(guī)劃

和配置

口二、三層交換型的城域網(wǎng)，對(duì)抗攻擊能力明顯不足

口城域網(wǎng)安全沒(méi)有形成相應(yīng)的安全規(guī)范，包括技術(shù)，產(chǎn)品，業(yè)務(wù)模式等，缺乏必要的指導(dǎo)

,城域網(wǎng)安全整治缺乏前瞻性全局規(guī)劃

?城域網(wǎng)安全狀態(tài)的不可知性和不可控性

U沒(méi)有有效手段對(duì)城域網(wǎng)安全狀態(tài)時(shí)實(shí)監(jiān)控和評(píng)估及預(yù)警措施

U對(duì)城域網(wǎng)絡(luò)的流量種類及分布沒(méi)有了解，無(wú)法采取措施進(jìn)行有效的流量控制

U沒(méi)有專業(yè)的安全人員對(duì)安全進(jìn)行管理，還沒(méi)有明確的安全管理中心的概念

?2001,CiscoSystems,Inc.Allrightsreserved.5

PDFcreatedwithpdfFactoryProtrialversionwww.D

引起城域網(wǎng)安全的原因

C

?終端行為不可控，是攻擊的源泉

ii除了認(rèn)證計(jì)費(fèi)外，基本上是一個(gè)完全開(kāi)放的網(wǎng)絡(luò)，缺乏對(duì)終端有效的安全控制措施

寬帶接入服愛(ài)器作為業(yè)務(wù)匯聚的節(jié)點(diǎn)，其安全業(yè)務(wù)功能的配置有待加強(qiáng)，以實(shí)現(xiàn)

對(duì)ii用戶接入業(yè)券實(shí)B施RA更S嚴(yán)格的控制和管理

?城域網(wǎng)絡(luò)本身不夠安全

口部分以交換型組網(wǎng)作為網(wǎng)絡(luò)的匯聚或核心層的寬帶網(wǎng)絡(luò)抗攻擊的能力弱

u城域網(wǎng)層次結(jié)構(gòu)定義不夠清晰，安全策略沒(méi)有或模糊

U現(xiàn)網(wǎng)設(shè)備安全功能在一定程度上存在不同缺陷，如不支持反向地址查詢等

U對(duì)應(yīng)用流量控制的能力不夠

U對(duì)防DDoS攻擊沒(méi)有有效的辦法

?安全管理和預(yù)警系統(tǒng)不到位

口缺乏對(duì)城域網(wǎng)系統(tǒng)化的安全監(jiān)控手段

U對(duì)攻擊源的追溯沒(méi)有系統(tǒng)的方法，無(wú)法追查攻擊者，缺乏威懾力

?2001,CiscoSystems,Inc.Allrightsreserved.6

PDFcreatedwithpdfFactoryProtrialversionwww.D

城域網(wǎng)安全實(shí)施目標(biāo)

C

?保證業(yè)務(wù)的持續(xù)性，提高網(wǎng)絡(luò)設(shè)施的自我防護(hù)的能力，

提高城域網(wǎng)的整體穩(wěn)定性

?保證業(yè)務(wù)的可監(jiān)控性，使城域網(wǎng)具有安全預(yù)警和快速響

應(yīng)和恢復(fù)的能力

?保證業(yè)務(wù)的可控制性，降低城域網(wǎng)安全威脅，提高城域

網(wǎng)整體安全水平

?2001,CiscoSystems,Inc.Allrightsreserved.7

PDFcreatedwithpdfFactoryProtrialversionwww.D

城域網(wǎng)安全的關(guān)注點(diǎn)_

111山山IIIIIIIII”11111111II山I”IIII山11111II

MllllIHIIC

主要關(guān)注業(yè)務(wù)的可非信任域

中

持續(xù)性，可監(jiān)測(cè)性河

信

任

和可控制性域

C

業(yè)務(wù)的可持續(xù)，可監(jiān)測(cè)，可控制，可盈利o

r

應(yīng)用安全對(duì)象e

P

u

b

=

c

網(wǎng)絡(luò)服務(wù)安全對(duì)象—

0W

0L

BA

ON

S

網(wǎng)絡(luò)基礎(chǔ)設(shè)備安全對(duì)象S

管理平面控制平面數(shù)據(jù)平面

?2001,CiscoSystems,Inc.Allrightsreserved.8

PDFcreatedwithpdfFactoryProtrialversionwww.D

Agenda

C

?城域網(wǎng)絡(luò)安全狀況及實(shí)施目標(biāo)

?思科城域網(wǎng)安全解決方案及部署

。網(wǎng)絡(luò)設(shè)備層問(wèn)題及應(yīng)對(duì)

。網(wǎng)絡(luò)服務(wù)層問(wèn)題及應(yīng)對(duì)

。網(wǎng)路應(yīng)用層問(wèn)題及應(yīng)對(duì)

?城域網(wǎng)安全策略總結(jié)

?2001,CiscoSystems,Inc.Allrightsreserved.9

PDFcreatedwithpdfFactoryProtrialversionwww.D

C

網(wǎng)絡(luò)設(shè)備層問(wèn)題及應(yīng)對(duì)

PresentationJD?2003CiscoSystems,Inc.Allrightsreserved.?2001,CiscoSystems,Inc.Allrightsreserved.10

PDFcreatedwithpdfFactoryProtrialversion

思科網(wǎng)絡(luò)自身安全一三平面立體安全

C

安全的網(wǎng)絡(luò)必須建立在安全的基礎(chǔ)架構(gòu)上

控制平面，產(chǎn)保護(hù)網(wǎng)絡(luò)設(shè)備核心控制平臺(tái)的業(yè)務(wù)處

?-+J-???<理轉(zhuǎn)發(fā)

3..工..I.,:，.；

，二*三;二T

:球崇海繁.娶懿，縷城

保護(hù)網(wǎng)絡(luò)亍平臺(tái)的安全訪問(wèn)和信

I

.?.■.i."息收集

保護(hù)網(wǎng)絡(luò)設(shè)備數(shù)據(jù)平臺(tái)信息數(shù)據(jù)安全轉(zhuǎn)

發(fā)

?2001,CiscoSystems,Inc.Allrightsreserved.11

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備管理安全

C

?設(shè)備本身潛在的安全威脅

?對(duì)設(shè)備的訪問(wèn)限制不嚴(yán)格，無(wú)密碼加密

?對(duì)網(wǎng)絡(luò)設(shè)備的越權(quán)訪問(wèn)和控制，造成設(shè)備故障

?沒(méi)有設(shè)備訪問(wèn)審計(jì)體系，無(wú)法確認(rèn)責(zé)任者

?管理信息（管理員密碼,SNMP信息，配置文件）泄漏

?2001,CiscoSystems,Inc.Allrightsreserved.12

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備基本管理安全最佳實(shí)踐

C

方法作用

關(guān)閉不必要的服務(wù)將網(wǎng)絡(luò)設(shè)備本身的安全威脅減少到最小

SNMPV3安全設(shè)置防止管理方面的信息泄漏，侵入

訪問(wèn)控制ACLVTY,console,access,SNMP

OOB帶外管理保證管理信息的安全保密和穩(wěn)定

訪問(wèn)認(rèn)證AAARadius,TACACS+,Kerberos認(rèn)證,授權(quán)和審計(jì)

HTTPS/SSH/SCP安全的連接，保證數(shù)據(jù)加密

訪問(wèn)授權(quán)分級(jí)分級(jí)授權(quán)，以控制不同的訪問(wèn)權(quán)限

Syslog送到SOC為安全信息分析提供原始數(shù)據(jù)

設(shè)置NTP保持時(shí)間同步，以利于安全信息分析和保證

CPU&MEM報(bào)警自動(dòng)報(bào)告設(shè)備的威脅

?2001,CiscoSystems,Inc.Allrightsreserved.13

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備控制安全問(wèn)題和應(yīng)對(duì)

C

?CPU達(dá)到100%,網(wǎng)絡(luò)故障，癱瘓

?路由動(dòng)蕩

?STP算法故障

?控制直接到CPU的數(shù)據(jù)流量，保證在任何情況下，設(shè)備均可

訪問(wèn)和控制

?加強(qiáng)路由認(rèn)證和控制，防止惡意的路由注入

?優(yōu)化二層SpanningTree的設(shè)計(jì)

?2001,CiscoSystems,Inc.Allrightsreserved.14

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備控制安全

■啟動(dòng)CEF快速轉(zhuǎn)發(fā)

.....................................................IIIIIIII||1川||||小111111口川111111川1111111111111111711山1C

CiscoExpressForwarding（CEF—思科快速轉(zhuǎn)發(fā)）是思科先進(jìn)的交換轉(zhuǎn)發(fā)結(jié)

構(gòu)機(jī)制，實(shí)現(xiàn)每個(gè)數(shù)據(jù)流每個(gè)數(shù)據(jù)包全硬件處理，避免控制平臺(tái)受到攻擊。

傳統(tǒng)流交換方式CEF方式

n---rr?ri?i?—-—-一???；r?▼T?；、；一?一■—?一二，?r

*m：“4—

I????aIIiIai

(I??aI(<?(??

>rrti^***-rr

--r...一???-f

J....tL1JZ2.LI

Sw玳由Process。

MLSFlowCache

相比較傳統(tǒng)流交換轉(zhuǎn)發(fā)機(jī)制，

CEF天生具備抵抗惡意攻擊的安全交換轉(zhuǎn)發(fā)能力

?2001,CiscoSystems,Inc.Allrightsreserved.15

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備控制安全

■思科網(wǎng)絡(luò)設(shè)備控制平臺(tái)保護(hù)RPRateLimiters

C

?采用控制平面速率限制，可以限制

流向中心處理器的流量速率，保證

CPU的工作狀態(tài)

UnicastRPRateLimitersIPmcRPRateLimiters

ACLInputICMPRedirectFIBMiss

ACLOutputICMPUnreachablePartial

ACLVACLLogRPFFailureConnected

CEFGleanLayer2PDU

CEFReceiveL2ProtocolTunneling

IPErrorsTTLFailure

IPFeaturesMTUFailure

UnicastRPRateLimitersIPmcRPRateLimiters

?2001,CiscoSystems,Inc.Allrightsreserved.16

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備控制安全

■思科網(wǎng)絡(luò)設(shè)備控制平臺(tái)保護(hù)手段

?2001,CiscoSystems,Inc.Allrightsreserved.17

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備控制安全

■思科網(wǎng)絡(luò)設(shè)備路由協(xié)議認(rèn)證

C

OSPF/BGP

RouterA路由交換RouterB

路由協(xié)議認(rèn)證

7Signature

SignatureRoutingUpdateRoutingUpdate

?確保自身路由設(shè)備

之間路由信息正確

傳遞，路由表計(jì)算

OSPF/BGP路由信息正確

?避免網(wǎng)絡(luò)路由信息

泄露

?保護(hù)網(wǎng)絡(luò)架構(gòu)免受

干擾，穩(wěn)定運(yùn)行

?2001,CiscoSystems,Inc.Allrightsreserved.18

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備控制安全

■網(wǎng)絡(luò)設(shè)備路由控制

HITmrnrnnTnTrn

■■■■m---C

?2001,CiscoSystems,Inc.Allrightsreserved.19

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備控制安全

-BPDU/RootGuard阻擋不明交換設(shè)備的接入

WllMlMIlllIlMlllll川lllllllllllllMlC

造成網(wǎng)絡(luò)

交換機(jī)BPDUGuard功能確保

非信任端口一旦受到其它交換機(jī)的

BPDU信息，此端口立刻

Shutdown,以防止接入“非法”

交換機(jī)。

非授權(quán)交換設(shè)備

UserAccess的端口只允許

計(jì)算機(jī)接入，阻止Hub接入

Enterprise

Server交換機(jī)ROOTGuard則是防

止新加入的交換機(jī)成為root,保

證STP樹(shù)的穩(wěn)定性

RootGuard

?2001,CiscoSystems,Inc.Allrightsreserved.20

PDFcreatedwithpdfFactoryProtrialversionwww.D

思科城域網(wǎng)設(shè)備對(duì)安全控制的支持

C

CEF交換中心處理器保路由認(rèn)證控制STP保護(hù)

護(hù)

樓層和匯聚交換機(jī)支持CPUQueue,RIP2,OSPFBPDU/Root

29xx/35xx/45xxStormControlGuard,RSTP

匯聚寬帶服務(wù)器支持RPRateRIP2,OSPF,

73xx/10KLimiters,BGP,路由過(guò)

Queue濾

核心交換機(jī)/路由支持CoPP,RPRateRIP2,OSPF,BPDU/Root

器(CAT6K,OSR)LimitersBGP,路由過(guò)Guard,RSTP

濾

核心路由器(GSR)支持CoPP,rACLRIP2,OSPF,

BGP,路由過(guò)

濾

?2001,CiscoSystems,Inc.Allrightsreserved.21

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備用戶數(shù)據(jù)安全控制

lllllllllllllllllC

動(dòng)態(tài)ARP檢測(cè)DHCP月艮務(wù)器

查看輸入APRN

條目的MAC-IP

動(dòng)態(tài)查看信息（來(lái)

匹配關(guān)系的正確DHCP

自于DHCP監(jiān)聽(tīng)），驗(yàn)證

性。

□50D輸入DHCP響應(yīng)的正確性

ARP、一

ARP檢測(cè)DHCP

Snooping

VACL

<::：：|>.-j<,:「.：wJ:><:::：=：PrivateVLAN防護(hù)

APRSpoof,控制

PrivateVLAN

PortSecurity同一子網(wǎng)的用戶相

A互訪問(wèn)

口MAC的BPDUGuard/

‘綁定，可接ROOTGuard,防止對(duì)SPT的攻擊

受的MAC數(shù)802.1W

量，預(yù)防

MAC攻擊防止對(duì)跨VLAN的

BOPert攻擊

風(fēng)暴控制防止瞬間

pIlow)StormControl超大大數(shù)據(jù)流量

22

Cnt組加期3297。?2001,CiscoSystems,Inc.Allrightsreserved.

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備用戶數(shù)據(jù)安全控制

■端口安全PortSecurity

-C

保證交換機(jī)穩(wěn)定工作SwitchA

?"IIII”

SwitchB

:每秒1萬(wàn)個(gè)MAC包

限制單個(gè)端口所連接MAC地址的數(shù)目可以保護(hù)交換機(jī)CAM地址表不

被惡意填滿,有效防止類似macof工具和SQL蠕蟲病毒發(fā)起的攻擊。

?2001,CiscoSystems,Inc.Allrightsreserved.23

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備用戶數(shù)據(jù)安全控制

■端口安全防止ARP欺騙

C

HiY,我是網(wǎng)關(guān)

HiG,我是YARP

ARPArp表

Mac

MacIPJP

xxxx-xxxx-xxxxx.x.x.x

yyyy-yyyy-yyyyY.Y.Y.Y

gggg-gggg-ggggG.G.G.G

xxxx-xxxx-xxxx

動(dòng)態(tài)ARP檢測(cè)可以利用DHCPSnooping監(jiān)聽(tīng)綁定表（包括IP地址與

MAC地址的綁定信息并將其與特定的交換機(jī)端口相關(guān)聯(lián)）檢查所有

非信任端口的ARP請(qǐng)求和應(yīng)答（主動(dòng)式ARP和非主動(dòng)式ARP）,確保

應(yīng)答來(lái)自真正的ARP所有者。

?2001,CiscoSystems,Inc.Allrightsreserved.24

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備用戶數(shù)據(jù)安全控制

■端口安全防止DHCP欺騙

C

DHCPSnooping功能啟用DHCP

服務(wù)器

7乙

Trusted

在城域網(wǎng)采用DHCP的

情況下，交換機(jī)通過(guò)建

立和維護(hù)DHCP

Snooping綁定表過(guò)濾

不可信任的DHCP信息

O所有用戶端口除非特

別設(shè)置，被認(rèn)為不可信

任端口，不應(yīng)該作出任

DHCP何DHCP響應(yīng)。

客戶端虛假DHCP

服務(wù)器

?2001,CiscoSystems,Inc.Allrightsreserved.25

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備用戶數(shù)據(jù)安全控制

■端口安全I(xiàn)PSourceGuard防止地址欺騙

C

程序制造IP哄騙流量

交換機(jī)IP源地址保護(hù)功能可以才艮據(jù)DHCPSnooping的IP綁定表動(dòng)態(tài)產(chǎn)

生PVACL,強(qiáng)制來(lái)自此端口流量的源地址符合DHCPSnooping綁定

表的記錄，防止攻擊者通過(guò)假定一個(gè)合法用戶IP地址來(lái)實(shí)施攻擊。

?2001,CiscoSystems,Inc.Allrightsreserved.26

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備用戶數(shù)據(jù)安全控制

■端口安全PVAL防止用戶間直接通訊

IIIIIIIC

PromiscuousPromiscuous

PortPort

CommunityCommunityIsolated

'A''B'Ports

PrimaryVLANCommunityVLAN

CommunityVLANIsolatedVLAN

PVLAN的應(yīng)用可以防止用戶之間直接通訊，特別是當(dāng)惡意代碼傳

播的時(shí)候，可以有效的防止快速泛濫，提高控制能力

?2001,CiscoSystems,Inc.Allrightsreserved.27

PDFcreatedwithpdfFactoryProtrialversionwww.D

城域網(wǎng)交換機(jī)的安全控制

C

0EnhancedPasswordrecovery

0UNI/NNI(DefaultUNIportdown)

0UNIportstillprocess802,lxandIGMP

packets

0CPUProtection

0Nolocalswitching

0DAI/IPSG,DHCPSnooping

0......

?2001,CiscoSystems,Inc.Allrightsreserved.28

PDFcreatedwithpdfFactoryProtrialversionwww.D

網(wǎng)絡(luò)設(shè)備用戶數(shù)據(jù)安全控制

■全面的ACL提供安全控制能力

C

?2001,CiscoSystems,Inc.Allrightsreserved.

PDFcreatedwithpdfFactoryProtrialversionwww.D

以太網(wǎng)接入的網(wǎng)絡(luò)安全

Cisco.com

用戶,保證物理安全一不被用戶更改配置

_

_

_

一in_

_防止DDOS攻擊