数据中心解决方案安全技术白皮书模板.docx

1、数据中心处理方案安全技术白皮书数据中心处理方案安全技术白皮书1 序言数据集中是管理集约化、精细化肯定要求,是企业优化业务步骤、管理步骤必需手段。目前,数据集中已经成为中国电子政务、企业信息化建设发展趋势。数据中心建设已成为数据大集中趋势下肯定要求。做为网络中数据交换最频繁、资源最密集地方,数据中心无疑是个充满着巨大诱惑数字城堡,任何防护上疏漏必将会造成不可估量损失,所以构筑一道安全地防御体系将是这座数字城堡首先面正确问题。2 数据中心面正确安全挑战伴随Internet应用日益深化,数据中心运行环境正从传统用户机/服务器向网络连接中央服务器转型,受其影响,基础设施框架下多层应用程序和硬件、网络、

2、操作系统关系变得愈加复杂。这种复杂性也为数据中心安全体系引入很多不确定原因,部分未实施正确安全策略数据中心,黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络恶意行为对数据中心造成严重损害,而且很多数据中心已经布署了依靠访问控制防御来取得安全性设备,但对于日趋成熟和危险各类攻击手段,这些传统防御方法仍然显现力不从心。以下是目前数据中心面正确部分关键安全挑战。2.1 面向应用层攻击常见应用攻击包含恶意蠕虫、病毒、缓冲溢出代码、后门木马等,最经典应用攻击莫过于”蠕虫”。蠕虫是指经过计算机网络进行自我复制恶意程序,泛滥时能够造成网络阻塞和瘫痪。从本质上讲,蠕虫和病毒最大区分在于蠕虫是经过网

3、络进行主动传输,而病毒需要人手工干预(如多种外部存放介质读写)。蠕虫有多个形式,包含系统漏洞型蠕虫、群发邮件型蠕虫、共享型蠕虫、寄生型蠕虫和混和型蠕虫。其中最常见,变种最多蠕虫是群发邮件型蠕虫,它是经过EMAIL进行传输,著名例子包含求职信、网络天空NetSky、雏鹰 BBeagle等, 11月爆发Sober蠕虫,是一个很经典群发邮件型蠕虫。而传输最快,范围最广、危害最大是系统漏洞型蠕虫,比如利用TCP 445端口进行传输windows PnP服务漏洞到 第一季度还在肆虐它余威。图1 应用协议攻击穿透防火墙应用攻击共同特点是利用了软件系统在设计上缺点,而且她们传输全部基于现有业务端口,所以应用

4、攻击能够毫不费力躲过那些传统或含有少许深度检测功效防火墙。国际计算机安全协会 ICSA 试验室调查结果显示, 病毒攻击范围提升了39%,重度被感染者提升了18%,造成经济损失提升了31%,尤为引人注意是,跨防火墙应用层(ISO 7层)攻击提升了278%,即使在 ,这一数字也高达249%。摆在我们面前大量证据表明,针对系统缺点应用攻击已成为数据中心面临关键威胁。造成应用攻击根本原因在于软件开发人员编写程序时没有充足考虑异常情况处理过程,当系统处理处理一些特定输入时引发内存溢出或步骤异常,所以形成了系统漏洞。黑客利用系统漏洞能够取得对系统非授权资源访问。来自CERT(计算机紧急事件对应组)汇报指出

5、,从1995年开到 已经有超出12,000个漏洞被汇报,而且自1999年以来,每十二个月数量全部翻翻,增加如此迅猛,以下图所表示:图2 1995 CERT/CC统计发觉漏洞如此多漏洞,对数据中心意味着什么?系统安全小组必需立即采取行动取得补丁程序、测试、最终将其布署在服务器上,为何不直接给服务器打补丁呢?因为不能确保补丁对应用系统没有影响,为了以防万一,必需对补丁程序进行测试和验证,然后才许可将其投入生产系统。从补丁程序取得、测试和验证,再到最终布署,完成这一系列任务需要多长时间?答案是,可能需要多个小时到几天,而在此期间攻击可能已经发生,损失已无法挽回。这也就是所谓”零时差攻击”。以下表所表

6、示,从系统漏洞被发觉到产生针对性应用攻击时间已从以年计算降至以天,以小时计算。表1 系统漏洞和应用攻击爆发速度关系:应用攻击系统漏洞和应用攻击爆发周期MS05-03924 小时Witty48小时 (2天)Blast1个月 (26天)Slammer6个月 (185天)Nimida11个月 (336天)试想一下,这是一个何等恐怖情况,数据中心庞大服务器群还未来得及做出任何反应即遭到黑客发动”闪击战”,大量敏感数据被盗用、网络险入瘫痪 |。所以,数据中心面临另一个严峻问题是怎样应对由应用攻击造成”零时差”效应。2.2 面向网络层攻击除了因为系统漏洞造成应用攻击外,数据中心还要面对拒绝服务攻击(DoS

7、)和分布式拒绝服务攻击(DDoS)挑战。DOS/DDOS是一个传统网络攻击方法,然而其破坏力却十分强劲。据 美国CSI/FBI计算机犯罪和安全调研分析,DOS和DDOS攻击已成为对企业损害最大犯罪行为,超出其它多种犯罪类型两倍。常见DDOS攻击方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。已发觉DOS攻击程序有ICMP Smurf、UDP 反弹,而经典DDOS攻击程序有Zombie、TFN2K、Trinoo 和 Stacheldraht等。DOS/DDoS攻击大行其道原因关键是利用了TCP/IP开放性

8、标准,从任意源地址向任意目标地址全部能够发送数据包。DOS/DDOS利用看似合理海量服务请求来耗尽网络和系统资源,从而使正当用户无法得到服务响应。早期DOS攻击由单机提议,在攻击目标CPU速度不高、内存有限、网络带宽窄情况下效果是显著。伴随网络和系统性能大幅提升,CPU主频已达数G,服务器内存通常在2G以上,另外网络吞吐能力已达万兆,单机提议DoS攻击好比孤狼斗猛虎,没有什么威胁。狼习性是群居,一只当然势单力薄,但假如群起而攻之,恐怕猛虎也难抵挡,这就是分布式拒绝服务攻击原理。用一台攻击机来攻击不再起作用话,攻击者使用10台攻击机、100台呢共同提议攻击呢?DDoS就是利用大量傀儡机来提议攻击

9、,积少成多超出网络和系统能力极限,最终击溃高性能网络和系统。数据中心绝不许可DOS/DDOS垃圾报文肆虐于网络之中,所以怎样实施边界安全策略,怎样”拒敌于国门之外”将是数据中心面临又一个挑战。2.3 对网络基础设施攻击数据中心象一座拥有巨大财富城堡,然而坚固堡垒最轻易从内部被攻破,来自数据中心内部攻击也更具破坏性。隐藏在企业内部黑客不仅能够经过应用攻击技术绕过防火墙,对数据中心网络造成损害,还能够凭借其网络构架充足了解,经过违规访问、嗅探网络系统、攻击路由器/交换机设备等手段,访问非授权资源,这些行将对企业造成更大损失。”木桶装水量取决于最短木板”,包含内网安全防护部件产品很多,从接入层设备到

10、汇聚层设备再到关键层设备,从服务器到交换机到路由器、防火墙,几乎每台网络设备全部将参与到系统安全建设中,任何布署点安全策略疏漏全部将成为整个安全体系短木板。”木桶装水量还取决于木板间紧密程度”,一个网络安全不仅依靠于单个部件产品安全特征,也依靠于各安全部件之间紧密协作。一个融合不一样工作模式安全部件产品无缝安全体系必需能够进行全方面、集中安全监管和维护。所以,数据中心安全防护体系不能仅依靠单独某个安全产品,还要依靠整个网络中各部件安全特征。3 技术特色在这种咄咄逼人安全形势下,数据中心需要一个全方位一体化安全布署方法。H3C数据中心安全处理方案秉承了H3C一贯提倡”安全渗透理念”,将安全布署渗

11、透到整个数据中心设计、布署、运维中,为数据中心搭建起一个立体、无缝安全平台,真正做到了使安全贯穿数据链路层到网络应用层目标,使安全保护无处不在。H3C数据中心安全处理方案技术特色可用十二个字概括:三重保护、多层防御;分区计划,分层布署。3.1 三重保护,多层防御图3 数据中心三重安全保护以数据中心服务器资源为关键向外延伸有三重保护功效。依拖含有丰富安全特征交换机组成数据中心网络第一重保护;以ASIC、FPGA和NP技术组成含有高性能正确检测引擎IPS提供对网络报文深度检测,组成对数据中心网络第二重保护;第三重保护是凭借高性能硬件防火墙组成数据中心网络边界。用一个形象比方来说明数据三重保护。数据

12、中心就像一个欣欣向荣国家,来往商客就像访问数据中心报文;防火墙是驻守在国境线上军队,首先担负着守卫国土防御外族攻击(DDOS)重担,其次负责检验来往商客身份(访问控制);IPS是国家警察,随时准备捉拿即使拥有正当身份,但仍在从事违法乱纪活动商客(蠕虫病毒),以保卫社会秩序;含有多种安全特征交换机就像商铺雇佣保安,提供最基础安全监管,时刻提防由内部人员造成破坏(STP 攻击)。图4 数据中心多层安全防御三重保护同时为数据中心网络提供了从链路层到应用层多层防御体系,图。交换机提供安全特征组成安全数据中心网络基础,提供数据链路层攻击防御。数据中心网络边界安全定位在传输层和网络层安全上,经过状态防火墙

13、能够把安全信任网络和非安全网络进行隔离,并提供对DDOS和多个畸形报文攻击防御。IPS能够针对应用流量做深度分析和检测能力,同时配合以精心研究攻击特征知识库和用户规则,即能够有效检测并实时阻断隐藏在海量网络流量中病毒、攻击和滥用行为,也能够对分布在网络中多种流量进行有效管理,从而达成对网络应用层保护。3.2 分区计划,分层布署在网络中存在不一样价值和易受攻击程度不一样设备,根据这些设备情况制订不一样安全策略和信任模型,将网络划分为不一样区域,这就是所谓分区思想。数据中心网络依据不一样信任等级能够划分为:远程接入区、园区网、Internet服务器区、Extranet服务器区、Intranet服务

14、器区、管理区、关键区,图。图5 数据中心分区计划思想所谓多层思想(n-Tier)不仅表现在传统网络三层布署(接入汇聚关键)上,更应该关注数据中心服务器区(Server Farm)设计布署上。服务器资源是数据中心关键,多层架构把应用服务器分解成可管理、安全层次。”多层”指数据中心能够有任意数据层次,但通常是3层。根据功效分层打破了将全部功效全部驻留在单一服务器时带来安全隐患,增强了扩展性和高可用性。图,第一层,Web服务器层,直接和接入设备相连,提供面向用户应用;第二层,即应用层,用来粘合面向用户应用程序、后端数据库服务器或存放服务器;第三层,即数据库层,包含了全部数据库、存放和被不一样应用程序

15、共享原始数据。图6 数据中心分层布署思想4 关键技术说明本节将根据”三重保护、多层防御”思想,具体说明每种安全技术应用模式。本节最终还将介绍另一个不容忽略问题”数据中心网络管理安全技术”。4.1 数据中心网络架构安全技术网络基础架构安全特征是数据中心中各部件产品基础安全特征通称。架构安全特征包含服务器、接入交换机、负载均衡器、汇聚交换机、关键交换机等设备,布署点多、覆盖面大,是组成整个安全数据中心基石。H3C凭借基于COMWARE含有丰富安全特征全系列智能交换机为数据中心打造坚实基础构架。COMWARE是由H3C推出支持多个网络设备网络操作系统,它以强大IP转发引擎为关键,经过完善体系结构设计

16、,把实时操作系统和网络管理、网络应用、网络安全等技术完美结合在一起。作为一个不停发展、可连续升级平台,它含有开放接口,可灵活支持大量网络协议和安全特征。COMWARE可应用在分布式或集中式网络设备构架之上,也就是说,不仅能够运行在高端交换机/路由器上,而且也能够运行在中低端交换机/路由器上,不向其它厂商,不一样软件运行在不一样设备上。COMWARE这一特征可使网络中各节点设备得到同一安全特征,根本避免了因为部件产品安全特征不一致、不统一造成安全”短木板效应”。图7 数据中心基础架构安全相关架构4.2 基于VLAN端口隔离交换机能够由硬件实现相同VLAN中两个端口相互隔离。隔离后这两个端口在本设

17、备内不能实现二、三层互通。当相同VLAN中服务器之间完全没有互访要求时,能够设置各自连接端口为隔离端口,图。这么能够愈加好确保相同安全区域内服务器之间安全: 即使非法用户利用后门控制了其中一台服务器,但也无法利用该服务器作为跳板攻击该安全区域内其它服务器。 能够有效隔离蠕虫病毒传输,减小受感染服务器可能造成危害。比如:假如Web服务器遭到了Code-Red红色代码破坏,即使其它Web服务器也在这个网段中,也不会被感染。图8 交换机Isolated Vlan 技术4.3 STP Root/BPDU Guard基于Root/BPDU Guard方法二层连接保护确保STP/RSTP稳定,预防攻击,保

18、障可靠二层连接。图。图9 交换机Root Guard/BPDU Guard 技术4.3.1 BPDU Guard对于接入层设备,接入端口通常直接和用户终端(如PC机)或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口快速迁移;当这些端口接收到配置消息(BPDU报文)时系统会自动将这些端口设置为非边缘端口,重新计算生成树,引发网络拓扑震荡。这些端口正常情况下应该不会收到生成树协议配置消息。假如有些人伪造配置消息恶意攻击交换机,就会引发网络震荡。BPDU保护功效能够预防这种网络攻击。交换机上开启了BPDU保护功效以后,假如边缘端口收到了配置消息,系统就将这些端口shutdown,同时通知

19、网管。被shutdown端口只能由网络管理人员恢复。推荐用户在配置了边缘端口交换机上配置BPDU保护功效。4.3.2 ROOT Guard因为维护人员错误配置或网络中恶意攻击,网络中正当根交换机有可能会收到优先级更高配置消息,这么目前根交换机会失去根交换机地位,引发网络拓扑结构错误变动。这种不正当变动,会造成原来应该经过高速链路流量被牵引到低速链路上,造成网络拥塞。Root保护功效能够预防这种情况发生。对于设置了Root保护功效端口,端口角色只能保持为指定端口。一旦这种端口上收到了优先级高配置消息,即其将被选择为非指定端口时,这些端口状态将被设置为侦听状态,不再转发报文(相当于将此端口相连链路

20、断开)。当在足够长时间内没有收到更优配置消息时,端口会恢复原来正常状态。4.3.3 LOOP PROTECTION交换机根端口和其它阻塞端口状态依靠不停接收上游交换机发送BPDU来维持。可是因为链路拥塞或单向链路故障,这些端口会收不到上游交换机BPDU。此时交换机会重新选择根端口,根端口会转变为指定端口,而阻塞端口会迁移到转发状态,从而交换网络中会产生环路。环路保护功效会抑制这种环路产生。在开启了环路保护功效后,根端口角色假如发生改变就会设置它为Discarding状态,阻塞端口会一直保持在Discarding状态,不转发报文,从而不会在网络中形成环路。4.3.4 TC PROTECTION依

21、据IEEE 802.1w和IEEE 802.1s协议,交换机监测到拓扑改变或接收到TC报文后会清空MAC表。假如受到TC攻击(连续不停收到TC报文)交换机就会一直进行MAC删除操作,影响正常转发业务。使能TC PROTECTION功效后,将降低删除MAC次数,确保业务正常运行。4.3.5 端口安全端口安全(Port Security)关键功效就是经过定义多种安全模式,让设备学习到正当源MAC地址,以达成对应网络管理效果。对于不能经过安全模式学习到源MAC地址报文或802.1x认证失败0当发觉非法报文后,系统将触发对应特征,并根据预先指定方法自动进行处理,降低了用户维护工作量,极大地提升了系统安

22、全性和可管理性。端口安全特征包含:NTK:NTK(Need To Know)特征经过检测从端口发出数据帧目标MAC地址,确保数据帧只能被发送到已经经过认证设备上,从而预防非法设备窃听网络数据。Intrusion Protection:该特征经过检测端口接收到数据帧源MAC地址或802.1x认证用户名、密码,发觉非法报文或非法事件,并采取对应动作,包含临时断开端口连接、永久断开端口连接或是过滤此MAC地址报文,确保了端口安全性。Device Tracking:该特征是指当端口有特定数据包(由非法入侵,用户不正常上下线等原因引发)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊行为进行监

23、控。表2 端口安全模式:安全模式类型描述特征说明secure严禁端口学习MAC地址,只有源MAC为端口上已经配置静态MAC报文,才能经过该端口在左侧列出模式下,当设备发觉非法报文后,将触发NTK特征和Intrusion Protection特征userlogin对接入用户采取基于端口802.1x认证此模式下NTK特征和Intrusion Protection特征不会被触发userlogin-secure接入用户必需先经过802.1x认证,认证成功后端口开启,但也只许可认证成功用户报文经过;此模式下,端口最多只许可接入一个经过802.1x认证用户;当端口从正常模式进入此安全模式时,端口下原有动态

24、MAC地址表项和已认证MAC地址表项将被自动删除在左侧列出模式下,当设备发觉非法报文后,将触发Need To Know特征和Intrusion Protection特征userlogin-withoui和userlogin-secure类似,端口最多只许可一个802.1x认证用户,但同时,端口还许可一个oui地址报文经过;当用户从端口正常模式进入此模式时,端口下原有动态MAC地址表项和已认证MAC地址表项将被自动删除mac-authentication基于MAC地址对接入用户进行认证userlogin-secure-or-mac表示mac-authentication和userlogin-se

25、cure模式下认证能够同时进行,假如全部认证经过话,userlogin-secure优先级高于mac-authentication模式userlogin-secure-else-mac表示优异行mac-authentication认证,假如成功则表明认证经过,如果失败则再进行userlogin-secure认证userlogin-secure-ext和userlogin-secure类似,但端口下802.1x认证用户能够有多个userlogin-secure-or-mac-ext和userlogin-secure-or-mac类似,但端口下802.1x认证用户能够有多个userlogin-se

26、cure-else-mac-ext和mac-else-userlogin-secure类似,但端口下802.1x认证用户能够有多个4.3.6 防IP伪装病毒和非法用户很多情况会伪装IP来实现攻击。伪装IP有三个用处: 本身就是攻击直接功效体。比如smurf攻击。 麻痹网络中安全设施。比如绕过利用源IP做接入控制。 隐藏攻击源设备预防IP伪装关键在于怎样判定设备接收到报文源IP是经过伪装。这种判定方法有三种。分别在内网和内外网边界使用。 在internet出口处过滤RFC3330和RFC1918所描述不可能在内外网之间互访IP地址。因为现今internet上大多数攻击者全部不含有很高网络技术水平

27、,其攻击手段仅仅是比较机械利用现有攻击工具。同时部分攻击工具即使做到了使用方便,但其攻击方法设计也相对简单,没有措施依据网络实际情况进行调整。所以,网络中大多数攻击方法是带有盲目性。局域网在其internet出入口处过滤掉不可能出现IP地址,能够缓解非法用户简单随机伪装IP所带来危害。 利用IP和MAC绑定关系 网关防御利用DHCP relay特征,网关能够形成本网段下主机IP、MAC映射表。当网关收到一个ARP报文时,会先在映射表中查找是否匹配现有映射关系。假如找到则正常学习,不然不学习该ARP。这么伪装IP设备没有措施进行正常跨网段通信。 接入设备防御利用DHCP SNOOPING特征,接

28、入设备经过监控其端口接收到DHCP request、ACK、release报文,也能够形成一张端口下IP、MAC映射表。设备能够依据IP、MAC、端口对应关系,下发ACL规则限制从该端口经过报文源IP必需为其从DHCP 服务器获取IP地址。 UPRFUPRF会检测接收到报文中源地址是否和其接收报文接口相匹配。其实现机制以下:设备接收到报文后,UPRF会比较该报文源地址在路由表中对应出接口是否和接收该报文接口一致。假如二者不一致,则将报文丢弃。4.3.7 路由协议认证攻击者也能够向网络中设备发送错误路由更新报文,使路由表中出现错误路由,从而引导用户流量流向攻击者设备。为了预防这种攻击最有效方法就

29、是使用局域网常见路由协议时,必需启用路由协议认证。 OSPF协议,支持邻居路由器之间明文/MD5认证和OSPF区域内明文/MD5认证; RIPv2协议,支持邻居路由器之间明文/MD5认证另外,在不应该出现路由信息端口过滤掉全部路由报文也是处理方法之一。但这种方法会消耗掉很多ACL资源。4.4 数据中心网络边界安全技术边界安全一项关键功效是实现网络隔离,经过防火墙能够把安全信任网络和非安全网络进行隔离。H3C SecPath系列防火墙以其高效可靠防攻击手段,和灵活多变安全区域配置策略担负起是守护数据中心边界安全重担。4.4.1 状态防火墙实现网络隔离基础技术是IP包过滤,ACL是一个简单可靠技术

30、,应用在路由器或交换机上可实现最基础IP包过滤,但单纯ACL包过滤缺乏一定灵活性。对于类似于应用FTP协议进行通信多通道协议来说,配置ACL则是困难。FTP包含一个预知端口TCP控制通道和一个动态协商TCP数据通道,对于通常ACL来说,配置安全策略时无法预知数据通道端口号,所以无法确定数据通道入口。状态防火墙设备将状态检测技术应用在ACL技术上,经过对连接状态状态检测,动态发觉应该打开端口,确保在通信过程中动态决定哪些数据包能够经过防火墙。状态防火墙还采取基于流状态检测技术能够提供更高转发性能,因为基于ACL包过滤技术是逐包检测,这么当规则很多时候包过滤防火墙性能会变得比较低下,而基于流状态防

31、火墙能够依据流信息决定数据包是否能够经过防火墙,这么就能够利用流状态信息决定对数据包处理结果加紧了转发性能。4.4.2 防火墙安全区域管理边界安全一项关键功效是网络隔离,而且这种网络隔离技术不是简单依靠网络接口来划分,因为网络实际拓扑是千差万别,使用固定接口来进行网络隔离不能适应网络实际要求。SecPath防火墙提供了基于安全区域隔离模型,每个安全区域能够根据网络实际组网加入任意接口,所以SecPath安全管理模型是不会受到网络拓扑影响。业界很多防火墙通常全部提供受信安全区域(trust)、非受信安全区域(untrust)、非军事化区域(DMZ)三个独立安全区域,这么保护模型能够适应大部分组网

32、要求,可是在部分安全策略要求较高场所,这么保护模型还是不能满足要求。SecPath防火墙默认提供四个安全区域:trust、untrust、DMZ、local,在提供三个最常见安全逻辑区域基础上还新增加了当地逻辑安全区域,当地安全区域能够定义到防火墙本身报文,确保了防火墙本身安全防护,使得对防火墙本身安全保护得到加强。比如,经过对当地安全区域报文控制,能够很轻易预防不安全区域对防火墙本身Telnet、ftp等访问。SecPath防火墙还提供自定义安全区域,能够最大定义16个安全区域,每个安全区域全部能够加入独立接口。SecPath系列防火墙支持依据不一样安全区域之间访问设计不一样安全策略组,每条

33、安全策略组支持若干个独立规则。这么规则体系使得防火墙策略十分轻易管理,方面用户对多种逻辑安全区域独立管理。部分防火墙还是采取基于接口安全策略管理机制,图。图10 防火墙安全区域管理两个接口:trust接口和DMZ接口共享untrust接口访问internet,假如在接口上使用安全策略进行控制,则会造成策略混乱。因为在untrust接口流量中,即有从DMZ和internet之间流量,也有从trust和internet之间流量。这么策略控制模型不适适用户进行策略配置。而基于安全区域策略控制模型,能够清楚分别定义从trust到untrust、从DMZ到untrust之间多种访问,这么策略控制模型使得

34、SecPath防火墙网络隔离功效含有很好管理能力。4.4.3 防火墙DOS/DDOS防御Dos(Deny of service)是一类攻击方法统称(DDos也是Dos一个),其攻击基础原理就是经过发送多种垃圾报文造成网络阻塞、服务瘫痪。Dos攻击方法其利用IP无连接特点,能够制造多种不一样攻击手段,而且攻击方法很简单。在Internet上很流行,对企业网、甚至骨干网全部造成了很严重影响,引发很大网络事故,所以优异Dos攻击防范功效是防火墙必备功效。现在几乎全部防火墙设备全部宣传含有Dos攻击防御功效,可是那么为何Dos攻击造成网络瘫痪攻击事件为何还是层出不穷呢?一个优异Dos攻击防御体系,应该

35、含有以下最基础特征: 防御手段健全和丰富。因为Dos攻击手段种类比较多,所以必需含有丰富防御手段,才能够确保真正抵御Dos攻击。 优异处理性能。因为Dos攻击伴随这一个关键特征就是网络流量忽然增大,假如防火墙本身不含有优异处理能力,则防火墙在处理Dos攻击同时本身就成为了网络瓶颈,根本就不可能抵御Dos攻击。因为Dos攻击一个关键目标就是使得网络瘫痪,网络上关键设备点发生了阻塞,则Dos攻击目标就达成了。防火墙设备不仅要重视转发性能,同时一定要确保对业务处理能力。在进行Dos攻击防御过程中,防火墙每秒新建能力就成为确保网络通畅一个关键指标,Dos攻击过程中,攻击者全部是在随机改变源地址所以全部

36、连接全部是新建连接。正确识别攻击能力。很多防火墙在处理Dos攻击时候,仅仅能确保防火墙后端流量趋于网络能够接收范围,可是不能确保正确识别攻击报文。这么处理即使能够确保网络流量正常,能够确保服务器不会瘫痪,可是这么处理还是会阻挡正常见户上网、访问等报文,所以即使网络层面是正常,可是真正服务还是被拒绝了,所以还是不能达成真正Dos攻击防御目标。SecPath系列防火墙产品,在对上述各个方面全部做了详尽考虑,所以Dos防御综合性能、功效等方面在同类防火墙产品中全部含有很强优势。4.4.4 防火墙TCP代理Tcp代理是SecPath系列防火墙为预防SYN Flood类Dos攻击,而专门开发一个安全特征

37、。SYN Flood攻击能够很快消耗服务器资源,造成服务器瓦解。在通常Dos防范技术中,在攻击发生时候不能正确识别哪些是正当用户,哪些是攻击报文。Eudemon防火墙采取了TCP透明代理方法实现了对这种攻击防范,Eudemon防火墙经过正确验证能够正确发觉攻击报文,对正常报文仍然能够经过许可这些报文访问防火墙资源,而攻击报文则被Eudemon防火墙丢弃。有些攻击是建立一个完整TCP连接用来消耗服务器资源。Eudemon系列防火墙能够实现增强代理功效,在用户端和防火墙建立连接以后察看用户是否有数据报文发送,假如有数据报文发送防火墙再和服务器端建立连接不然丢弃用户端报文。这么能够确保即使采取完成T

38、CP三次握手方法消耗服务器资源,也能够被Eudemon防火墙发觉。图11 防火墙TCP代理4.5 防火墙在数据中心布署点4.5.1 ServerFarm 网络边界上状态防火墙园区网络通常包含园区关键网、边界网络、内部网络、分支结构网络、数据中心(ServerFarm)网络。关键网络是全部网络区域中心,内部网络、数据中心、边界网络以星状连接在关键周围,边界网另一端还和Internet相连,能够为园区提供Internet出口,而且作为分支网络接入点,图所表示。图12 防火墙在数据中心布署点防火墙应该布署在信任和非信任网络邻接点上,避免不安全原因扩散。上述园区网络模型中存在两个这么邻接点,一是边界网

39、络和Internet接入点上,这个位置布署放火墙能够隔离来自Internet或外部网络有害数据;另一个在数据中心(ServerFarm)汇聚交换机和关键网交换机接接入点上,在此布署防火墙可避免来自内部网络威胁,这种威胁可能是内网职员恶意攻击造成,也可能是部分不合适操作对网络造成。4.5.2 多层服务器区内部状态防火墙在ServerFarm内部多层服务器区各层之间也能够布署防火墙以增强不一样层次之间安全性,图。因为web服务器直接面对访问者,通常来说是网络中微弱步骤,使用分层防御能够将关键服务器经过防火墙进行保护,即使web服务器被攻陷,也不会造成应用服务器和数据库服务器深入破坏。4.5.3 数

40、据中心应用防护技术IPS能够针对应用流量做深度分析和检测能力,同时配合以精心研究攻击特征知识库和用户规则,即能够有效检测并实时阻断隐藏在海量网络流量中病毒、攻击和滥用行为,也能够对分布在网络中多种流量进行有效管理,从而达成对网络上应用保护、网络基础设施保护和网络性能保护。以下介绍H3C H3C IPS应用防护功效几项关键技术:4.5.3.1 IPS in-line 布署方法H3C IPS能够被”in-line”地布署到网络当中去,对全部流经流量进行深度分析和检测,从而含有了实时阻断攻击能力,同时对正常流量不产生任何影响。基于其高速和可扩展硬件平台,H3C IPS不停优化检测性能,使其能够达成和

41、交换机相同等级高吞吐量和低延时,同时能够对全部关键网络应用进行分析,正确判别和阻断攻击。H3C IPS出现使得应用层威胁问题迎刃而解。4.5.3.2 硬件引擎H3C基于ASIC、FPGA和NP技术开发威胁抑制引擎(TSE,Threat Suppression Engine)是高性能和正确检测基础。TSE关键架构由以下部件有机融合而成:图13 IPS 基于硬件威胁抑止引擎定制ASICFPGA(现场可编程门阵列)20G高带宽背板高性能网络处理器该关键架构提供大规模并行处理机制,使得H3C IPS对一个报文从2层到7层全部信息检测能够在215微秒内完成,而且确保处理时间和检测特征数量无线性关系。采取

42、流水线和大规模并行处理融合技术TSE能够对一个报文同时进行几千种检测,从而将整体处理性能提升到空前水平。在含有高速检测功效同时,TSE还提供增值流量分类、流量管理和流量整形功效。TSE能够自动统计和计算正常情况下网络内多种应用流量分布,而且基于该统计形成流量框架模型;当短时间内大规模爆发病毒造成网络内流量发生异常时,TSE将依据已经建立流量框架模型限制或丢弃异常流量,确保关键业务可达性和通畅性。另外,为预防大量P2P、IM流量侵占带宽,TSE还支持对100多个点到点应用限速功效,确保关键应用所需带宽。4.5.3.3 应用防护能力H3C IPS在跟踪流状态基础上,对报文进应用层信息深度检测,能够

43、在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断。图14 IPS 应用防护能力H3C IPS还支持以下检测机制:基于访问控制列表(ACL)检测基于统计检测基于协议跟踪检测基于应用异常检测报文规范检测(Normalization)IP报文重组TCP流恢复以上机制协同工作,H3C IPS能够对应用流量进行细微粒度识别和控制,有效检测流量激增、缓冲区溢出、漏洞探测、IPS规避等部分已知、甚至未知攻击。H3C安全威胁分析团体也处于业界领先地位。该团体是安全威胁快讯SANS Risk关键撰稿人,SANS Risk每七天定时向其全球范围内30万

44、专业订阅者摘要披露最新安全威胁公告,内容包含最新发觉漏洞、漏洞所带来影响、表现形式,而且指导用户怎样采取防范方法。4.5.3.4 ”零时差攻击”防御H3C实时更新、公布数字疫苗(DV,Digital Vaccine)是网络免疫保障和基础。在撰写SANS Risk公告同时,H3C专业团体同时跟踪其它著名安全组织和厂商公布安全公告;经过跟踪、分析、验证全部这些威胁,生成供H3C IPS使用能够保护这些漏洞特征知识库 数字疫苗,它针对漏洞本质进行保护,而不是依据特定攻击特征进行防御。数字疫苗以定时(每七天)和紧急(当重大安全漏洞被发觉)两种方法公布,而且能够经过内容公布网络自动地分发到用户驻地IPS

45、设备中,从而使得用户IPS设备在漏洞被公布同时立即含有防御零时差攻击能力。H3C还和全球著名系统软件厂商,如Microsoft、Oracle等,保持了良好合作关系。在某个漏洞被发觉后,H3C能够在第一时间(即厂商公布安全公告之前)取得该漏洞具体信息,而且利用这一时间差立即制作能够防御该漏洞数字疫苗,使得用户网络免遭这种”零时差攻击”(Zero-day Attack)。图15 IPS数字疫苗系统4.6 数据中心网络管理安全技术4.6.1 SSH因为Telnet没有提供安全认证方法,且经过TCP传输通信内容全部是明文,即使启用了AAA认证,输入用户名和密码也能够经过抓包分析来取得;因为系统对Tel

46、net用户不进行复杂验证,DoS攻击、主机IP欺骗、路由欺骗等攻击全部可能给服务器带来致命威胁,所以存在着相当大安全隐患。图16 基于SSH管理交换机SSH(Secure Shell)是在Telnet基础上发展起来一个安全远程登录协议,协议号22,它支持password和RSA认证,对数据进行DES和3DES等加密(因为DES安全性不高,SSH2中已不支持DES),有效预防了对密码窃听,保护了数据完整性和可靠性,确保了数据安全传输。尤其是对于RSA认证支持,对称加密和非对称加密混合应用,密钥安全交换,最终实现了安全会话过程。在不安全网络上直接进行远程登陆和文件传输是不安全,用户名、密码、数据全

47、部可能被非法人员截获。SSH使用认证和加密来保护不安全网络上通信,SSH分为用户端和服务端,服务端著名端口号为22。SSH是Secure Shell简称,汉字可叫做安全外壳,目前有stelnet(secure telnet)和SFTP(Secure FTP)两种应用。Stelnet完成远程登陆,SFTP完成文件传输,和telnet和FTP功效相同,可是协议处理完全不一样。4.6.2 SNMPV3因为SNMP承载于UDP之上,所以SNMP很轻易被非法用户利用伪装IP进行攻击。尤其是当攻击者先捕捉到正当SNMP流量后,SNMP对其几乎不设防。也正因为如此,SNMP一直未能得到大规模使用。在这种前提下。SNMP V3应运而生。SNMP V3支持MD5或SHA认证和DES或AES加密。从而为SNMP协议提供了合理安全特征。4.6.3 常见协议信任源控制设备支持对SNMP、TELNET/SSH设定软件ACL,来限定只有正当网段或IP才能访问设备这些协议。4.6.4 端口镜像因为现阶段网络对大家工作、生活全部有极其深远影响。高可用网络也越来越受到关注。高可用包含两层含义:一是网络本身不出现异常;二是网络出现异常后能够快速恢复。所以,现阶段对网