数据中心解决方案安全技术白皮书.docx
《数据中心解决方案安全技术白皮书.docx》由会员分享,可在线阅读,更多相关《数据中心解决方案安全技术白皮书.docx(27页珍藏版)》请在冰豆网上搜索。
数据中心解决方案安全技术白皮书
数据中心解决方案安全技术白皮书
1前言
数据集中是治理集约化、精细化的必定要求,是企业优化业务流程、治理流程的的必要手段。
目前,数据集中差不多成为国内电子政务、企业信息化建设的进展趋势。
数据中心的建设已成为数据大集中趋势下的必定要求。
做为网络中数据交换最频繁、资源最密集的地点,数据中心无疑是个充满着庞大的诱惑的数字城堡,任何防护上的疏漏必将会导致不可估量的缺失,因此构筑一道安全地防备体系将是这座数字城堡第一面对的问题。
2数据中心面对的安全挑战
随着Internet应用日益深化,数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转型,受其阻碍,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。
这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。
尽管大多数系统治理员差不多认识到来自网络的恶意行为对数据中心造成的严峻损害,而且许多数据中心差不多部署了依靠访问操纵防备来获得安全性的设备,但关于日趋成熟和危险的各类攻击手段,这些传统的防备措施仍旧显现的力不从心。
以下是当前数据中心面对的一些要紧安全挑战。
2.1面向应用层的攻击
常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等,最典型的应用攻击莫过于〝蠕虫〞。
蠕虫是指"通过运算机网络进行自我复制的恶意程序,泛滥时能够导致网络堵塞和瘫痪"。
从本质上讲,蠕虫和病毒的最大的区别在于蠕虫是通过网络进行主动传播的,而病毒需要人的手工干预〔如各种外部储备介质的读写〕。
蠕虫有多种形式,包括系统漏洞型蠕虫、群发邮件型蠕虫、共享型蠕虫、寄生型蠕虫和混和型蠕虫。
其中最常见,变种最多的蠕虫是群发邮件型蠕虫,它是通过EMAIL进行传播的,闻名的例子包括"求职信"、"网络天空NetSky"、"雏鹰BBeagle"等,2005年11月爆发的"Sober"蠕虫,是一个专门典型的群发邮件型蠕虫。
而传播最快,范畴最广、危害最大是系统漏洞型蠕虫,例如利用TCP445端口进行传播的windowsPnP服务漏洞到2006年第一季度还在肆虐它的余威。
图1应用协议攻击穿透防火墙
应用攻击的共同特点是利用了软件系统在设计上的缺陷,同时他们的传播都基于现有的业务端口,因此应用攻击能够毫不费劲的躲过那些传统的或者具有少许深度检测功能的防火墙。
国际运算机安全协会ICSA实验室调查的结果显示,2005年病毒攻击范畴提高了39%,重度被感染者提高了18%,造成的经济缺失提高了31%,尤为引人注意的是,跨防火墙的应用层(ISO7层)攻击提高了278%,即使在2004年,这一数字也高达249%。
摆在我们面前的大量证据说明,针对系统缺陷的应用攻击已成为数据中心面临的要紧威逼。
造成应用攻击的全然缘故在于软件开发人员编写程序时没有充分考虑专门情形的处理过程,当系统处理处理某些特定输入时引起内存溢出或流程专门,因此形成了系统漏洞。
黑客利用系统漏洞能够获得对系统非授权资源的访问。
来自CERT〔运算机紧急事件相应组〕报告指出,从1995年开到2004年已有超过12,000个漏洞被报告,而且自1999年以来,每年的数量都翻翻,增长如此迅猛,如以下图所示:
图21995-2005CERT/CC统计发觉的漏洞
如此多的漏洞,对数据中心意味着什么?
系统安全小组必须及时采取行动获得补丁程序、测试、最后将其部署在服务器上,什么缘故不直截了当给服务器打补丁呢?
因为不能保证补丁对应用系统没有阻碍,为了以防万一,必须对补丁程序进行测试和验证,然后才承诺将其投入生产系统。
从补丁程序获得、测试和验证,再到最终的部署,完成这一系列任务需要多长时刻?
答案是,可能需要几个小时到几天,而在此期间攻击可能差不多发生,缺失已无法挽回。
这也确实是所谓的〝零时差攻击〞。
如下表所示,从系统漏洞被发觉到产生针对性应用攻击的时刻已从以年运算降至以天,以小时运算。
表1系统漏洞与应用攻击爆发速度关系:
应用攻击
系统漏洞与应用攻击爆发周期
MS05-039
24小时
Witty
48小时 〔2天〕
Blast
1个月〔26天〕
Slammer
6个月 〔185天〕
Nimida
11个月 〔336天〕
试想一下,这是一个何等恐惧的情形,数据中心庞大的服务器群还以后得及做出任何反应即遭到黑客发动的〝闪击战〞,大量敏锐数据被盗用、网络险入瘫痪…|…。
因此,数据中心面临的另一个严肃问题是如何应对由应用攻击造成的〝零时差〞效应。
2.2面向网络层的攻击
除了由于系统漏洞造成的应用攻击外,数据中心还要面对拒绝服务攻击〔DoS〕和分布式拒绝服务攻击〔DDoS〕的挑战。
DOS/DDOS是一种传统的网络攻击方式,然而其破坏力却十分强劲。
据2004美国CSI/FBI的运算机犯罪和安全调研分析,DOS和DDOS攻击已成为对企业损害最大的犯罪行为,超出其他各种犯罪类型两倍。
常见的DDOS攻击方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。
已发觉的DOS攻击程序有ICMPSmurf、UDP反弹,而典型的DDOS攻击程序有Zombie、TFN2K、Trinoo和Stacheldraht等。
DOS/DDoS攻击大行其道的缘故要紧是利用了TCP/IP的开放性原那么,从任意源地址向任意目标地址都能够发送数据包。
DOS/DDOS利用看似合理的海量服务要求来耗尽网络和系统的资源,从而使合法用户无法得到服务的响应。
早期的DOS攻击由单机发起,在攻击目标的CPU速度不高、内存有限、网络带宽窄的情形下成效是明显的。
随着网络和系统性能的大幅提高,CPU的主频已达数G,服务器的内存通常在2G以上,此外网络的吞吐能力已达万兆,单机发起的DoS攻击好比孤狼斗猛虎,没有什么威逼。
狼的习性是群居,一只因此势单力薄,但假如群起而攻之,可能猛虎也难抵挡,这确实是分布式拒绝服务攻击的原理。
用一台攻击机来攻击不再起作用的话,攻击者使用10台攻击机、100台呢共同发起攻击呢?
DDoS确实是利用大量的傀儡机来发起攻击,积少成多超过网络和系统的能力的极限,最终击败高性能的网络和系统。
数据中心绝不承诺DOS/DDOS垃圾报文肆虐于网络之中,因此如何实施边界安全策略,如何〝拒敌于国门之外〞将是数据中心面临的又一个挑战。
2.3对网络基础设施的攻击
数据中心象一座拥有庞大财宝的城堡,然而牢固的堡垒最容易从内部被攻破,来自数据中心内部的攻击也更具破坏性。
隐藏在企业内部的黑客不仅能够通过应用攻击技术绕过防火墙,对数据中心的网络造成损害,还能够凭借其网络构架的充分了解,通过违规访问、嗅探网络系统、攻击路由器/交换机设备等手段,访问非授权资源,这些行将对企业造成更大的缺失。
〝木桶的装水量取决于最短的木板〞,涉及内网安全防护的部件产品专门多,从接入层设备到汇聚层设备再到核心层设备,从服务器到交换机到路由器、防火墙,几乎每台网络设备都将参与到系统安全的建设中,任何部署点安全策略的疏漏都将成为整个安全体系的短木板。
〝木桶的装水量还取决于木板间的紧密程度〞,一个网络的安全不仅依靠于单个部件产品的安全特性,也依靠于各安全部件之间的紧密协作。
一个融合不同工作模式的安全部件产品的无缝安全体系必须能够进行全面、集中的安全监管与爱护。
因此,数据中心的安全防护体系不能仅依靠单独的某个安全产品,还要依靠整个网络中各部件的安全特性。
3技术特色
在这种咄咄逼人的安全形势下,数据中心需要一个全方位一体化的安全部署方式。
H3C数据中心安全解决方案秉承了H3C一贯倡导的〝安全渗透理念〞,将安全部署渗透到整个数据中心的设计、部署、运维中,为数据中心搭建起一个立体的、无缝的安全平台,真正做到了使安全贯穿数据链路层到网络应用层的目标,使安全爱护无处不在。
H3C数据中心安全解决方案的技术特色可用十二个字概括:
三重爱护、多层防备;分区规划,分层部署。
3.1三重爱护,多层防备
图3数据中心三重安全爱护
以数据中心服务器资源为核心向外延伸有三重爱护功能。
依拖具有丰富安全特性的交换机构成数据中心网络的第一重爱护;以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的IPS提供对网络报文深度检测,构成对数据中心网络的第二重爱护;第三重爱护是凭借高性能硬件防火墙构成的数据中心网络边界。
用一个形象的比喻来说明数据的三重爱护。
数据中心就像一个繁荣昌盛的国家,来往的商客就像访问数据中心的报文;防火墙是驻守在国境线上的军队,一方面担负着守卫国土防备外族攻击〔DDOS〕的重任,另一方面负责检查来往商客的身份〔访问操纵〕;IPS是国家的警察,随时预备捉拿尽管拥有合法身份,但仍在从事违法乱纪活动的商客〔蠕虫病毒〕,以保卫社会秩序;具有各种安全特性的交换机就像商铺雇佣的保安,提供最差不多的安全监管,时刻提防由内部人员造成的破坏〔STP攻击〕。
图4数据中心多层安全防备
三重爱护的同时为数据中心网络提供了从链路层到应用层的多层防备体系,如图。
交换机提供的安全特性构成安全数据中心的网络基础,提供数据链路层的攻击防备。
数据中心网络边界安全定位在传输层与网络层的安全上,通过状态防火墙能够把安全信任网络和非安全网络进行隔离,并提供对DDOS和多种畸形报文攻击的防备。
IPS能够针对应用流量做深度分析与检测能力,同时配合以精心研究的攻击特点知识库和用户规那么,即能够有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也能够对分布在网络中的各种流量进行有效治理,从而达到对网络应用层的爱护。
3.2分区规划,分层部署
在网络中存在不同价值和易受攻击程度不同的设备,按照这些设备的情形制定不同的安全策略和信任模型,将网络划分为不同区域,这确实是所谓的分区思想。
数据中心网络依照不同的信任级别能够划分为:
远程接入区、园区网、Internet服务器区、Extranet服务器区、Intranet服务器区、治理区、核心区,如图。
图5数据中心分区规划思想
所谓多层思想〔n-Tier〕不仅表达在传统的网络三层部署〔接入-汇聚-核心〕上,更应该关注数据中心服务器区〔ServerFarm〕的设计部署上。
服务器资源是数据中心的核心,多层架构把应用服务器分解成可治理的、安全的层次。
〝多层〞指数据中心能够有任意数据的层次,但通常是3层。
按照功能分层打破了将所有功能都驻留在单一服务器时带来的安全隐患,增强了扩展性和高可用性。
如图,第一层,Web服务器层,直截了当与接入设备相连,提供面向客户的应用;第二层,即应用层,用来粘合面向用户的应用程序、后端的数据库服务器或储备服务器;第三层,即数据库层,包含了所有的数据库、储备和被不同应用程序共享的原始数据。
图6数据中心分层部署思想
4关键技术说明
本节将按照〝三重爱护、多层防备〞的思想,详细说明每种安全技术的应用模式。
本节的最后还将介绍另一个不容忽视的问题-〝数据中心网络治理安全技术〞。
4.1数据中心网络架构安全技术
网络基础架构的安全特性是数据中心中各部件产品差不多安全特性的通称。
架构安全特性涉及服务器、接入交换机、负载均衡器、汇聚交换机、核心交换机等设备,部署点多、覆盖面大,是构成整个安全数据中心的基石。
H3C凭借基于COMWARE的具有丰富安全特性全系列智能交换机为数据中心打造坚实的基础构架。
COMWARE是由H3C推出的支持多种网络设备的网络操作系统,它以强大的IP转发引擎为核心,通过完善的体系结构设计,把实时操作系统和网络治理、网络应用、网络安全等技术完美的结合在一起。
作为一个不断进展、可连续升级的平台,它具有开放的接口,可灵活支持大量的网络协议和安全特性。
COMWARE可应用在分布式或集中式的网络设备构架之上,也确实是说,不仅能够运行在高端的交换机/路由器上,而且也能够运行在中低端的交换机/路由器上,不向其它厂商,不同的软件运行在不同的设备上。
COMWARE的这一特性可使网络中各节点设备得到同一的安全特性,完全幸免了由于部件产品安全特性不一致、不统一造成的安全〝短木板效应〞。
图7数据中心基础架构安全相关架构
4.2基于VLAN的端口隔离
交换机能够由硬件实现相同VLAN中的两个端口互相隔离。
隔离后这两个端口在本设备内不能实现二、三层互通。
当相同VLAN中的服务器之间完全没有互访要求时,能够设置各自连接的端口为隔离端口,如图。
如此能够更好的保证相同安全区域内的服务器之间的安全:
Ø 即使非法用户利用后门操纵了其中一台服务器,但也无法利用该服务器作为跳板攻击该安全区域内的其他服务器。
Ø 能够有效的隔离蠕虫病毒的传播,减小受感染服务器可能造成的危害。
比如:
假如Web服务器遭到了Code-Red红色代码的破坏,即使其它Web服务器也在那个网段中,也可不能被感染。
图8交换机IsolatedVlan技术
4.3STPRoot/BPDUGuard
基于Root/BPDUGuard方式的二层连接爱护保证STP/RSTP稳固,防止攻击,保证可靠的二层连接。
如图。
图9交换机RootGuard/BPDUGuard技术
4.3.1BPDUGuard
关于接入层设备,接入端口一样直截了当与用户终端〔如PC机〕或文件服务器相连,现在接入端口被设置为边缘端口以实现这些端口的快速迁移;当这些端口同意到配置消息〔BPDU报文〕时系统会自动将这些端口设置为非边缘端口,重新运算生成树,引起网络拓扑的震荡。
这些端口正常情形下应该可不能收到生成树协议的配置消息的。
假如有人伪造配置消息恶意攻击交换机,就会引起网络震荡。
BPDU爱护功能能够防止这种网络攻击。
交换机上启动了BPDU爱护功能以后,假如边缘端口收到了配置消息,系统就将这些端口shutdown,同时通知网管。
被shutdown的端口只能由网络治理人员复原。
举荐用户在配置了边缘端口的交换机上配置BPDU爱护功能。
4.3.2ROOTGuard
由于爱护人员的错误配置或网络中的恶意攻击,网络中的合法根交换机有可能会收到优先级更高的配置消息,如此当前根交换机会失去根交换机的地位,引起网络拓扑结构的错误变动。
这种不合法的变动,会导致原先应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞。
Root爱护功能能够防止这种情形的发生。
关于设置了Root爱护功能的端口,端口角色只能保持为指定端口。
一旦这种端口上收到了优先级高的配置消息,即其将被选择为非指定端口时,这些端口的状态将被设置为侦听状态,不再转发报文〔相当于将此端口相连的链路断开〕。
当在足够长的时刻内没有收到更优的配置消息时,端口会复原原先的正常状态。
4.3.3LOOPPROTECTION
交换机的根端口和其他堵塞端口的状态依靠不断接收上游交换机发送的BPDU来坚持的。
然而由于链路拥塞或者单向链路故障,这些端口会收不到上游交换机的BPDU。
现在交换机会重新选择根端口,根端口会转变为指定端口,而堵塞端口会迁移到转发状态,从而交换网络中会产生环路。
环路爱护功能会抑制这种环路的产生。
在启动了环路爱护功能后,根端口的角色假如发生变化就会设置它为Discarding状态,堵塞端口会一直保持在Discarding状态,不转发报文,从而可不能在网络中形成环路。
4.3.4TCPROTECTION
依照IEEE802.1w和IEEE802.1s协议,交换机监测到拓扑变化或者接收到TC报文后会清空MAC表。
假如受到TC攻击(连续不断收到TC报文)交换机就会一直进行MAC删除操作,阻碍正常的转发业务。
使能TCPROTECTION功能后,将减少删除MAC的次数,保证业务的正常运行。
4.3.5端口安全
端口安全〔PortSecurity〕的要紧功能确实是通过定义各种安全模式,让设备学习到合法的源MAC地址,以达到相应的网络治理成效。
关于不能通过安全模式学习到源MAC地址的报文或802.1x认证失败的0
当发觉非法报文后,系统将触发相应特性,并按照预先指定的方式自动进行处理,减少了用户的爱护工作量,极大地提高了系统的安全性和可治理性。
端口安全的特性包括:
NTK:
NTK〔NeedToKnow〕特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到差不多通过认证的设备上,从而防止非法设备窃听网络数据。
IntrusionProtection:
该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码,发觉非法报文或非法事件,并采取相应的动作,包括临时断开端口连接、永久断开端口连接或是过滤此MAC地址的报文,保证了端口的安全性。
DeviceTracking:
该特性是指当端口有特定的数据包〔由非法入侵,用户不正常上下线等缘故引起〕传送时,设备将会发送Trap信息,便于网络治理员对这些专门的行为进行监控。
表2端口的安全模式:
安全模式类型
描述
特性说明
secure
禁止端口学习MAC地址,只有源
MAC为端口上差不多配置的静态MAC的报文,才能通过该端口
在左侧列出的模式下,当设
备发觉非法报文后,将触发
NTK特性和Intrusion
Protection特性
userlogin
对接入用户采纳基于端口的
802.1x认证
此模式下NTK特性和
IntrusionProtection特性可不能被触发
userlogin-secure
接入用户必须先通过802.1x认证,
认证成功后端口开启,但也只承诺
认证成功的用户报文通过;
此模式下,端口最多只承诺接入一
个通过802.1x认证的用户;
当端口从正常模式进入此安全模
式时,端口下原有的动态MAC地
址表项和已认证的MAC地址表项
将被自动删除
在左侧列出的模式下,当设
备发觉非法报文后,将触发
NeedToKnow特性和
IntrusionProtection特性
userlogin-withoui
与userlogin-secure类似,端口最多
只承诺一个802.1x认证用户,但同
时,端口还承诺一个oui地址的报
文通过;当用户从端口的正常模式
进入此模式时,端口下原有的动态
MAC地址表项和已认证的MAC
地址表项将被自动删除
mac-authentication
基于MAC地址对接入用户进行认
证
userlogin-secure-or-mac
表示mac-authentication和
userlogin-secure模式下的认证能够
同时进行,假如都认证通过的话,
userlogin-secure的优先级高于
mac-authentication模式
userlogin-secure-else-mac
表示先进行mac-authentication认
证,假如成功那么说明认证通过,如
果失败那么再进行userlogin-secure
认证
userlogin-secure-ext
与userlogin-secure类似,但端口下
的802.1x认证用户能够有多个
userlogin-secure-or-mac-ext
与userlogin-secure-or-mac类似,但
端口下的802.1x认证用户能够有
多个
userlogin-secure-else-mac-ext
与mac-else-userlogin-secure类似,
但端口下的802.1x认证用户能够
有多个
4.3.6防IP假装
病毒和非法用户专门多情形会假装IP来实现攻击。
假装IP有三个用处:
Ø 本身确实是攻击的直截了当功能体。
比如smurf攻击。
Ø 麻痹网络中的安全设施。
比如绕过利用源IP做的接入操纵。
Ø 隐藏攻击源
设备防止IP假装的关键在于如何判定设备接收到的报文的源IP是通过假装的。
这种判定的方式有三种。
分别在内网和内外网的边界使用。
在internet出口处过滤RFC3330和RFC1918所描述的不可能在内外网之间互访的IP地址。
由于现今internet上的大多数攻击者都不具备专门高的网络技术水平,其攻击手段仅仅是比较机械利用现有的攻击工具。
同时一些攻击工具尽管做到了使用方便,但其攻击方法设计也相对简单,没有方法依照网络实际状况进行调整。
因此,网络中大多数的攻击方式是带有盲目性的。
局域网在其internet出入口处过滤掉不可能显现的IP地址,能够缓解非法用户简单的随机假装IP所带来的危害。
利用IP和MAC的绑定关系
Ø 网关防备
利用DHCPrelay特性,网关能够形成本网段下主机的IP、MAC映射表。
当网关收到一个ARP报文时,会先在映射表中查找是否匹配现有的映射关系。
假如找到那么正常学习,否那么不学习该ARP。
如此假装IP的设备没有方法进行正常的跨网段通信。
Ø 接入设备防备
利用DHCPSNOOPING特性,接入设备通过监控其端口接收到的DHCPrequest、ACK、release报文,也能够形成一张端口下IP、MAC的映射表。
设备能够依照IP、MAC、端口的对应关系,下发ACL规那么限制从该端口通过的报文源IP必须为其从DHCP服务器猎取的IP地址。
UPRF
UPRF会检测接收到的报文中的源地址是否和其接收报文的接口相匹配。
事实上现机制如下:
设备接收到报文后,UPRF会比较该报文的源地址在路由表中对应的出接口是否和接收该报文的接口一致。
假如两者不一致,那么将报文丢弃。
4.3.7路由协议认证
攻击者也能够向网络中的设备发送错误的路由更新报文,使路由表中显现错误的路由,从而引导用户的流量流向攻击者的设备。
为了防止这种攻击最有效的方法确实是使用局域网常用路由协议时,必须启用路由协议的认证。
Ø OSPF协议,支持邻居路由器之间的明文/MD5认证和OSPF区域内的明文/MD5认证;
Ø RIPv2协议,支持邻居路由器之间的明文/MD5认证
另外,在不应该显现路由信息的端口过滤掉所有路由报文也是解决方法之一。
但这种方法会消耗掉许多ACL资源。
4.4数据中心网络边界安全技术
边界安全的一项要紧功能是实现网络隔离,通过防火墙能够把安全信任网络和非安全网络进行隔离。
H3CSecPath系列防火墙以其高效可靠的防攻击手段,和灵活多变的安全区域配置策略担负起是守护数据中心边界安全的的重任。
4.4.1状态防火墙
实现网络隔离的差不多技术是IP包过滤,ACL是一种简单可靠的技术,应用在路由器或交换机上可实现最差不多的IP包过滤,但单纯的ACL包过滤缺乏一定的灵活性。
关于类似于应用FTP协议进行通信的多通道协议来说,配置ACL那么是困难的。
FTP包含一个预知端口的TCP操纵通道和一个动态协商的TCP数据通道,关于一样的ACL来说,配置安全策略时无法预知数据通道的端口号,因此无法确定数据通道的入口。
状态防火墙设备将状态检测技术应用在ACL技术上,通过对连接状态的状态的检测,动态的发觉应该打开的端口,保证在通信的过程中动态的决定哪些数据包能够通过防火墙。
状态防火墙还采纳基于流的状态检测技术能够提供更高的转发性能,因为基于ACL的包过滤技术是逐包检测的,如此当规那么专门多的时候包过滤防火墙的性能会变得比较低下,而基于流的状态防火墙能够依照流的信息决定数据包是否能够通过防火墙,如此就能够利用流的状态信息决定对数据包的处理结果加快了转发性能。
4.4.2防火墙安全区域治理
边界安全的一项要紧功能是网络隔离,同时
升级会员 