IDC網(wǎng)絡(luò)安全建設(shè)方案

IDC網(wǎng)絡(luò)安全建設(shè)方案眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計算機連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視，以及在使用和管理上的無政府狀態(tài)，逐漸使Internet自身的安全受到嚴重威脅，與它有關(guān)的安全事故屢有發(fā)生。對網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：拒絕服務(wù)、非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等方面。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。IDC以Internet技術(shù)體系作為基礎(chǔ)，主要特點是以TCP/IP為傳輸協(xié)議和以瀏覽器/WEB為處理模式。所以我們在IDC的設(shè)計中必須充分重視安全問題，盡可能的減少安全漏洞。此外，我們還應(yīng)該根據(jù)IDC的客戶需求提供不同的安全服務(wù)，同時最大限度的保證IDC網(wǎng)絡(luò)管理中心（NOC）自身的安全。IDC的安全需求我們把對于IDC的安全需求分為三類：分別是IDC基本服務(wù)，IDC增值服務(wù)，IDCNOC。對于IDC基本服務(wù)的安全需求如下：AAA服務(wù)，提供認證，授權(quán)及審計的功能防Dos黑客攻擊功能線速ACL功能對于IDC增值服務(wù)的安全需求如下：AAA服務(wù)，提供認證，授權(quán)及審計的功能防Dos黑客攻擊功能線速ACL功能防火墻及防火墻平滑切換功能入侵檢測功能漏洞檢測功能線速NAT對于IDCNOC的安全需求如下：AAA服務(wù)，提供認證，授權(quán)及審計的功能防Dos黑客攻擊功能線速ACL功能防火墻及防火墻平滑切換功能入侵檢測功能漏洞檢測功能線速NATACL的策略管理安全元件的策略管理VPNAAA服務(wù)所謂AAA是（Authentication、Authorization、Accounting）的縮寫，即認證、授權(quán)、記帳功能，簡單的說：認證：用戶身份的確認，確定允許哪些用戶登錄，對用戶的身份的校驗。授權(quán)：當(dāng)用戶登錄后允許該用戶可以干什么，執(zhí)行哪些操作的授權(quán)。記帳：記錄用戶登錄后干了些什么。AAA功能的實施需要兩部分的配合：支持AAA的網(wǎng)絡(luò)設(shè)備、AAA服務(wù)器。RADIUS/TACACS+是實施AAA常用的協(xié)議，認證軟件需要有完整的記帳功能，并且可以將USER信息直接導(dǎo)入軟件的用戶數(shù)據(jù)庫，極大方便的AAA服務(wù)的用戶管理。在使用AAA的功能后用戶通過網(wǎng)絡(luò)遠程登錄到網(wǎng)絡(luò)設(shè)備上的基本過程如下：用戶執(zhí)行遠程登錄命令（例如：Telnet），網(wǎng)絡(luò)設(shè)備提示輸入用戶姓名、口令。用戶輸入口令后，網(wǎng)絡(luò)設(shè)備向AAA服務(wù)器查詢該用戶是否有權(quán)登錄。AAA服務(wù)器檢索用戶數(shù)據(jù)庫，如果該用戶允許登錄則向網(wǎng)絡(luò)設(shè)備返回PERMIT信息和該用戶在該網(wǎng)絡(luò)設(shè)備上可執(zhí)行的命令同時將用戶登錄的時間、IP作詳細記錄；若不能在用戶數(shù)據(jù)庫中檢索到該用戶的信息則返回DENY信息，并可以根據(jù)設(shè)置向網(wǎng)管工作站發(fā)送SNMP的警告消息。當(dāng)網(wǎng)絡(luò)設(shè)備得到AAA的應(yīng)答后，可以根據(jù)應(yīng)答的內(nèi)容作出相應(yīng)的操作，如果應(yīng)答為DENY則關(guān)閉掉當(dāng)前的SESSION進程；如果為PERMIT則根據(jù)AAA服務(wù)器返回的用戶權(quán)限為該用戶開啟SESSION進程，并將用戶所執(zhí)行的操作向AAA服務(wù)器進行報告。通過AAA的實施我們可以方便的控制網(wǎng)絡(luò)設(shè)備的安全性，同時結(jié)合ACL的設(shè)置限制能夠進行遠程登錄的工作站的數(shù)量、IP地址降低網(wǎng)絡(luò)設(shè)備受到攻擊的可能性。防DoS黑客攻擊在拒絕服務(wù)（DoS）攻擊中，惡意用戶向服務(wù)器發(fā)送多個認證請求，使其滿負載，并且所有請求的返回地址都是偽造的。當(dāng)服務(wù)器企圖將認證結(jié)果返回給用戶時，它將無法找到這些用戶。在這種情況下，服務(wù)器只好等待，有時甚至?xí)却?分鐘才能關(guān)閉此次連接。當(dāng)服務(wù)器關(guān)閉連接之后，攻擊者又發(fā)送新的一批虛假請求，以上過程又重復(fù)發(fā)生，直到服務(wù)器因過載而拒絕提供服務(wù)。分布式拒絕服務(wù)（DDOS）把DoS又向前發(fā)展了一步。DoS攻擊需要攻擊者手工操作，而DDOS則將這種攻擊行為自動化。與其他分布式概念類似，分布式拒絕服務(wù)可以方便地協(xié)調(diào)從多臺計算機上啟動的進程。在這種情況下，就會有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，并使其因過載而崩潰。DDOS工作的基本概念如圖所示。黒客（client）在不同的主機（handler）上安裝大量的DoS服務(wù)程序，它們等待來自中央客戶端（client）的命令，中央客戶端隨后通知全體受控服務(wù)程序（agent），并指示它們對一個特定目標發(fā)送盡可能多的網(wǎng)絡(luò)訪問請求。該工具將攻擊一個目標的任務(wù)分配給所有可能的DoS服務(wù)程序，這就是它被叫做分布式DoS的原因。實際的攻擊并不僅僅是簡單地發(fā)送海量信息，而是采用DDOS的變種工具，這些工具可以利用網(wǎng)絡(luò)協(xié)議的缺陷使攻擊力更強大或者使追蹤攻擊者變得更困難。首先，現(xiàn)在的DDOS工具基本上都可以偽裝源地址。它們發(fā)送原始的IP包（rawIPpacket），由于Internet協(xié)議本身的缺陷，IP包中包括的源地址是可以偽裝的，這也是追蹤DDOS攻擊者很困難的主要原因。其次，DDOS也可以利用協(xié)議的缺陷，例如，它可以通過SYN打開半開的TCP連接，這是一個很老且早已為人所熟知的協(xié)議缺陷。為了使攻擊力更強，DDOS通常會利用任何一種通過發(fā)送單獨的數(shù)據(jù)包就能探測到的協(xié)議缺陷，并利用這些缺陷進行攻擊。防范攻擊的措施1。過濾進網(wǎng)和出網(wǎng)的流量網(wǎng)絡(luò)服務(wù)提供商應(yīng)該實施進網(wǎng)流量過濾措施，目的是阻止任何偽造IP地址的數(shù)據(jù)包進入網(wǎng)絡(luò)，從而從源頭阻止諸如DDOS這樣的分布式網(wǎng)絡(luò)攻擊的發(fā)生或削弱其攻擊效果。2。采用網(wǎng)絡(luò)入侵檢測系統(tǒng)IDS當(dāng)系統(tǒng)收到來自奇怪或未知地址的可疑流量時，網(wǎng)絡(luò)入侵檢測系統(tǒng)IDS（IntrusionDetectionSystems）能夠給系統(tǒng)管理人員發(fā)出報警信號，提醒他們及時采取應(yīng)對措施，如切斷連接或反向跟蹤等。3。具體措施在路由器和Web交換機上，它將丟棄下列類型的數(shù)據(jù)幀：長度太短；幀被分段；源地址與目的地址相同；源地址為我們的內(nèi)部地址，或源地址為子網(wǎng)廣播地址；源地址不是單播地址；源地址是環(huán)回地址；目的地址是環(huán)回地址；目的地址不是有效的單播或組播地址此外，對于HTTP數(shù)據(jù)流，WEB交換機必須在HTTP流啟動后的16秒內(nèi)接受一個有效的幀，否則它將丟棄這個幀并中斷這個流；對于TCP數(shù)據(jù)流，WEB交換機必須在16秒內(nèi)接受一個返回的ack，否則它將終止這個TCP流；對于任意嘗試過8次以上SYN的數(shù)據(jù)流，WEB交換機將終止這個流，并且停止處理同樣SYN，源地址，目的地址及端口號對的數(shù)據(jù)流。在核心交換機上我們可以用線速的ACL來達到上述類似的幀丟棄策略，我們還可以用CAR的方法對ping及SYN的數(shù)據(jù)流進行帶寬控制，以預(yù)防DDOS的攻擊。漏洞檢測漏洞檢測（VulnerabilityScanner）就是對重要計算機信息系統(tǒng)進行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。漏洞檢測的結(jié)果實際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。安全掃描服務(wù)器可以對網(wǎng)絡(luò)設(shè)備進行自動的安全漏洞檢測和分析，并且在實行過程中支持基于策略的安全風(fēng)險管理過程。另外，互聯(lián)網(wǎng)掃描執(zhí)行預(yù)定的或事件驅(qū)動的網(wǎng)絡(luò)探測，包括對網(wǎng)絡(luò)通信服務(wù)、操作系統(tǒng)、路由器、電子郵件、Web服務(wù)器、防火墻和應(yīng)用程序的檢測，從而去識別能被入侵者利用來進入網(wǎng)絡(luò)的漏洞。安全掃描服務(wù)器同時能進行系統(tǒng)掃描。系統(tǒng)掃描通過對企業(yè)內(nèi)部操作系統(tǒng)安全弱點的完全的分析，幫助組織管理安全風(fēng)險。系統(tǒng)掃描通過比較規(guī)定的安全策略和實際的主機配置來發(fā)現(xiàn)潛在的安全風(fēng)險，包括缺少安全補丁、詞典中可猜的口令、不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng)登錄權(quán)限、不安全的服務(wù)配置和代表攻擊的可疑的行為。系統(tǒng)安全掃描還可以修復(fù)有問題的系統(tǒng)，自動產(chǎn)生文件所有權(quán)和文件權(quán)限的修復(fù)腳本。安全掃描服務(wù)器能提供實時入侵檢測和實時報警。當(dāng)收到安全性消息時，圖形用戶界面上相應(yīng)的主機狀態(tài)顏色和安全性消息組的圖標都應(yīng)有相應(yīng)變化，以幫助操作人員快速地確定報警的原因和范疇。入侵檢測入侵檢測（IntrudeDetection）具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進行統(tǒng)計、自動地收集和系統(tǒng)相關(guān)的補丁、進行審計跟蹤識別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。實時入侵檢測系統(tǒng)解決方案，用于檢測、報告和終止整個網(wǎng)絡(luò)中未經(jīng)授權(quán)的活動。它可以在Internet和內(nèi)部網(wǎng)環(huán)境中操作，保護整個網(wǎng)絡(luò)。入侵檢測系統(tǒng)包括兩個部件：Sensor和Director。Sensor不影響網(wǎng)絡(luò)性能，它分析各個數(shù)據(jù)包的內(nèi)容和上下文，決定流量是否未經(jīng)授權(quán)。如果一個網(wǎng)絡(luò)的數(shù)據(jù)流遇到未經(jīng)授權(quán)的活動，例如SATAN攻擊、PING攻擊或秘密的研究項目代碼字，Sensor可以實時檢測政策違規(guī)，給Director管理控制臺轉(zhuǎn)發(fā)告警，并從網(wǎng)絡(luò)刪除入侵者?；诰W(wǎng)絡(luò)的實時入侵檢測系統(tǒng)，能夠監(jiān)控整個數(shù)據(jù)網(wǎng)絡(luò)，需要是具備最新攻擊檢測功能的穩(wěn)健的全天候監(jiān)控和應(yīng)答系統(tǒng)，能在本地、地區(qū)和總部監(jiān)視控制臺之間指導(dǎo)和轉(zhuǎn)發(fā)告警的分布式入侵檢測系統(tǒng)。同時需要能夠允許部署大量Sensor和Director的可伸縮的體系結(jié)構(gòu)，在大型網(wǎng)絡(luò)環(huán)境中提供全面的覆蓋面，與現(xiàn)有網(wǎng)絡(luò)管理工具和實踐平滑集成的入侵檢測系統(tǒng)。入侵檢測系統(tǒng)通常具有的關(guān)鍵特性包括：對合法流量/網(wǎng)絡(luò)使用透明的實時入侵檢測對未經(jīng)授權(quán)活動的實時應(yīng)對可以阻止黑客訪問網(wǎng)絡(luò)或終止違規(guī)會話全面的攻擊簽名目錄可以檢測廣泛的攻擊，檢測基于內(nèi)容和上下文的攻擊支持廣泛的速度和接口類型，包括10/100Mbps以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI告警包括攻擊者和目的地IP地址、目的地端口、攻擊介紹以及捕獲的攻擊前鍵入的字符適合特大規(guī)模分布式網(wǎng)絡(luò)的可伸縮性專用VLANIDC環(huán)境是一個典型的多客戶的服務(wù)器群結(jié)構(gòu)，每個托管客戶從一個公共的數(shù)據(jù)中心中的一系列服務(wù)器上提供Web服務(wù)。這樣，屬于不同客戶的服務(wù)器之間的安全就顯得至關(guān)重要。一個保證托管客戶之間安全的通用方法就是給每個客戶分配一個VLAN和相關(guān)的IP子網(wǎng)。通過使用VLAN，每個客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。然而，這種分配每個客戶單一VLAN和IP子網(wǎng)的模型造成了巨大的擴展方面的局限。這些局限主要有以下幾方面：VLAN的限制：LAN交換機固有的VLAN數(shù)目的限制復(fù)雜的STP：對于每個VLAN，一個相關(guān)的Spanning-tree的拓撲都需要管理IP地址的緊缺：IP子網(wǎng)的劃分勢必造成一些地址的浪費路由的限制：如果使用HSRP，每個子網(wǎng)都需相應(yīng)的缺省網(wǎng)關(guān)的配置在一個IDC中，流量的流向幾乎都是在服務(wù)器與客戶之間，而服務(wù)器間的橫向的通信幾乎沒有。Cisco在IP地址管理方案中引入了一種新的VLAN機制，服務(wù)器同在一個子網(wǎng)中，但服務(wù)器只能與自己的缺省網(wǎng)關(guān)通信。這一新的VLAN特性就是專用VLAN（privateVLAN，pVLAN）。這種特性是Cisco公司的專有技術(shù)，但特別適用于IDC。 專用VLAN是第2層的機制，在同一個2層域中有兩類不同安全級別的訪問端口。與服務(wù)器連接的端口稱作專用端口（privateport），一個專用端口限定在第2層，它只能發(fā)送流量到混雜端口，也只能檢測從混雜端口來的流量?；祀s端口（promiscuousport）沒有專用端口的限定，它與路由器或第3層交換機接口相連。簡單地說，在一個專用VLAN內(nèi)，專用端口收到的流量只能發(fā)往混雜端口