网络自身安全威胁和问题Word格式.docx

1、等等。 由于在网络设计的初期，缺少对网络安全的整体考虑，特别是没有网络自身层面去规划安全的要素，导致“头痛医头，脚痛医脚”，完全是“救火式”网络安全保护，结果自然是： 网络安全各个部分相互独立，各行其事； 网络设备没有安全保护，只是区域的边界安全； 安全防范效果不明显，原有安全问题依然存在； 对于新出现的攻击、病毒和蠕虫不能适应，难以承受，被动响应； 即使发现问题，也缺乏跟踪定位，有效隔离，快速消除的能力因此，我们需要从网络自身基础架构的层面上，考虑安全，规划安全，部署安全和实施安全。安全已经不是网络中的一个选项，安全是网络中必不可少的重要组成部分，通过智能集成，分工协作，全局部署，做到真正融

2、于网络内部，真正成为网络规划的核心，真正确保整体网络的稳定、可靠、高效运营。3 思科网络自身安全解决方案思科网络自身安全解决方案，通过设备及网络两个层面的安全保护，各自分工，系统协作，全面部署，从网络到主机，从核心层到分布层、接入层，我们要采取全面的企业安全策略来保护整个网络基础构架和其所连接的系统，即使当攻击，蠕虫和病毒发生时，我们的网络基础设施要具备相当的抵抗和承受能力，在自动适应“变化”的基础上，充分利用网络基础平台的优势，协助专门的安全系统，定位问题，提供数据，有效隔离，快速清楚，确保整体网络的稳定运行。3.1 设备级保护设备级别保护，是要求设备自身具备多种安全保护的功能与能力，从控制

3、平面、管理平面和数据平面三个方面实现立体化全面安全防范机制，使得作为网络基本组成部分的每个元素都能够实现自我保护，自我安全。3.1.1 控制平面保护3.1.1.1 控制平台保护即使是最健全的软件设施和硬件架构面对拒绝服务（DoS）攻击也存在漏洞。DoS攻击属恶意行为，旨在用毫无价值的信息流充塞网络基础设施，使其陷入瘫痪，它们会伪装成某种控制分组，发往控制平面的处理器。为阻止这种以及类似的威胁网络核心的行为，通过收购防御DDos的专业安全公司Riverhead， Cisco IOS软件在路由器上增添了可编程监管功能 ，它可以限制目的地为控制平面的流量速率或监管该流量。此特性被称之为控制平面监管功

4、能（CPP），可以配置，用于识别某种类型流量，当其达到某种阈值水平时予以限制可进行全面限制。CPP可以在即使是在DDoS攻击发生的时候也确保对控制层面的访问。Cisco IOS软件允许就路由器的内存使用设置总体内存阈值，当达到阈值时系统将及时发布通知。通过预留CPU和内存，该特性使路由器在可能是由于攻击所造成的高负载情况下，依然能够保持运行。3.1.1.2 安全高效的交换转发机制CEFCisco快速转发（Cisco Express Forwarding，CEF）是一种高级的第三层IP交换技术。可以在网络的任何地方使用CEF，特别是在企业骨干网的交换方面。此外，CEF可以优化像Internet这

5、样带有大规模的、动态数据流的网络的性能和伸缩性。在网络核心中，骨干路由器上的CEF提供了高性能和伸缩性，用来对付网络规模的不断加大和稳定增长的数据流量。CEF是一种分散式交换机制，它随着接口卡数量和安装在路由器中带宽的变化而线性地变化。CEF的安全优势 CEF可以通过大规模的动态通讯方式优化网络的性能和伸缩性，它的安全优点如下。 高效转发处理 和常规的快速交换路由相比较，CEF可以使用较少的内存容量来实现数据包的转发，这样，就可以节省更多处理器的资源，使得处理器能够专用于第三层的服务，比如提高服务质量（QoS）和加密功能等。良好的伸缩能力当启用分散式CEF模式时，CEF的每个线路卡上维护着一个

6、与转发信息库 （Forwarding Information Base，FIB）和邻接表相同的拷贝，它能独自提供完全的交换能力。可靠稳定运行 在大规模的动态网络中，CEF能提供了更好的交换的一致性和稳定性。在动态网络中，因为路由的改变会导致快速交换高速缓存条目频繁地失效，这些变化可能的结果就是要通过路由表对数据进行过程交换，而不是通过路由高速缓存进行快速交换。因为FIB查阅表中包含所有路由表中已知的路由，这样就不用维护路由高速缓存了，也不用采用快速交换和过程交换相互转换这种转发方案了。CEF能够比典型的高速缓存技术更稳定可靠地交换数据流。较强的抗攻击能力基于Flow的交换技术对于一个Flow的

7、第一个包必须由主控引擎以软件方式处理，然后建立Flow表项，后续包才能进行线速交换。曾经发生的几大网络病毒和蠕虫导致网络内Flow的数量爆炸性增长，通常基于Flow的核心交换机所提供的几十万条Flow的容量远远不能满足，主控引擎的CPU也不堪重负发生死机，最后整个局域网瘫痪。 只有CEF的先进交换技术不受Flow数量的影响，具备抵抗类似蠕虫网络病毒攻击的能力。3.1.2 管理平面保护3.1.2.1 “一键”保护设备安全Cisco AutoSecure在当前复杂的网络环境中，联网设备提供稳定的配置选件来满足不同业务的要求。为网络选择适当的配置参数是非常复杂的过程：设置正确的参数，创建适当的过滤方

8、式，启动或禁止服务分类，从而确保网络环境及设备的安全。安全配置是详细了解各个设置参数安全性的必要条件。参数配置的任何错误或过失都可能破坏网络安全，因为它可能导致安全漏洞，损害通过或连接到网络的信息的可用性、完整性和保密性。AutoSecure是Cisco IOS软件的一个特性，它简化了路由器安全配置，降低了错误配置的风险。AutoSecure的交互模式适用于拥有丰富经验的客户，用户可依此定制安全设置和路由器服务，为路由器安全功能提供了更强大的控制功能。如果未培训过的用户需在不采取过多人工干预的情况下迅速保护路由器，可采用AutoSecure的非交互模式。这种模式可以自动启用由思科设定的缺省路由

9、器安全功能 。一条指令就可以快速配置路由器安全状态，并使不必要的系统流程和服务被禁用，消除了潜在的网络安全威胁。3.1.2.2 基于角色权限的管理访问CLI/SDM基于角色的CLI接入特性使网络管理员可以定义“浏览权限”，即一组运行指令和配置功能，提供了对Cisco IOS软件的可选或部分接入限制。浏览权限限制了用户对Cisco IOS命令行界面 （CLI）和配置信息的访问，并可以定义可接受的指令和可视的配置信息。基于角色的CLI接入的应用包括网络管理员为安全人员提供对于某种功能的接入能力。此外，电信运营商可以利用该特性授予终端用户有限的接入能力，以帮助诊断网络故障。Cisco SDM还提供了

10、管理员浏览和只读浏览、防火墙策略和EzVPN远程出厂缺省设置。用户通过基于角色的特定接入功能登陆Cisco SDM， 只可以浏览限于其角色的GUI屏幕。每台Cisco 1800、2800和3800都带有在工厂中安装的思科路由器和安全设备管理器（SDM） 。Cisco SDM是一种直观的、基于Web的设备 管理器（GUI），用于思科路由器的部署和管理。Cisco SDM通过将启动向导用于快速部署和路由器锁定、有助于实施安全和路由功能的智能向导、思科技术支持中心 （TAC）批准的路由器配置，以及对象相关教育内容等，实现了路由器的简便配置和监控。Cisco SDM 2.0将路由、安全和管理结合，使用

11、方便的智能向导和深入排障功能，提供了将服务集成到路由器之上的简便工具。目前，客户可以在整个网络内将路由和安全策略同步化，拥有更全面的路由器服务状态浏览能力，并降低了运营成本。Cisco SDM 2.0的全新关键特性包括： 嵌入的IPS，可更新特征和自定制特征 动态特征更新及特征定制 基于角色的路由器访问 Easy VPN服务器和AAA 用于IPSec VPN的数字证书 VPN和WAN连接排障 QoS策略配置和基于NBAR的应用流量监控 3.1.2.3 Console 和Telnet 的安全管理AAACisco IOS软件具备对于Console，Telnet管理访问验证、授权和记帐 （AAA）网

12、络安全服务，提供了在路由器或接入服务器上设置接入控制的主要架构。AAA允许管理员利用应用于特定服务或接口的方式列表，在每行（每位用户）或每项服务（如IP、IPX或VPDN）的基础上，动态配置所需要的验证和授权类型。3.1.2.4 SNMP版本3安全管理协议SNMP V3 简单网络管理协议 3 （SNMPv3）是一种基于标准的互操作网络管理协议。SNMPv3将网络分组的验证和加密功能相结合，提供了安全的设备接入能力。SNMPv3提供的安全特性如下： 信息完整性 - 确保了分组在传输中不受干扰 验证 - 确定信息来源的可靠性 加密 - 保护分组内容，使其免受未授权设备窥视 3.1.2.5 安全Sh

13、ell管理保护Secure ShellSecure Shell 2 （SSHv2）提供了强大的全新验证和加密功能。目前，有更多的选项可用于在加密连接上传其他流量类型，包括文件拷贝和电子邮件协议。由于验证功能日趋广泛，包括数字证书和更多双因素验证选项，使网络安全得以增强。3.1.2.6 USB 安全令牌和Flash存储设备板载 USB 1.1 端口被集成入所有Cisco 1800、2800和3800路由器，与可选USB令牌共用，进行安全配置分发和VPN证书平台外存储。通过将USB令牌用于安全证书，网络管理员可以分别订购路由器和令牌，以确保安全的管理。3.1.3 数据平面保护3.1.3.1 端口安

14、全控制合理MAC地址Port SecurityMAC泛滥攻击的原理和危害交换机主动学习客户端的MAC地址，并建立和维护端口和MAC地址的对应表以此建立交换路径，这个表就是通常我们所说的CAM表。CAM表的大小是固定的，不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC，快速填满CAM表，交换机CAM表被填满。黑客发送大量带有随机源MAC地址的数据包，这些新MAC地址被交换机CAM学习，很快塞满MAC地址表，这时新目的MAC地址的数据包就会广播到交换机所有端口，交换机就像共享HUB一样工作，黑客可以用sniffer工具监听所有端口的流量。此类攻击不仅造成安全性的破坏，同

15、时大量的广播包降低了交换机的性能。防范方法限制单个端口所连接MAC地址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击，macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包，可以在不到10秒的时间内填满交换机的CAM表。Cisco Catalyst交换机的端口安全（Port Security）和动态端口安全功能可被用来阻止MAC泛滥攻击。例如交换机连接单台工作站的端口，可以限制所学MAC地址数为1；连接IP电话和工作站的端口可限制所学MAC地址数为3：IP电话、工作站和IP电话内的交换机。通过端口安全功能，网络管理员也可以静态设置每个端口所允许连接的合法MA

16、C地址，实现设备级的安全授权。动态端口安全则设置端口允许合法MAC地址的数目，并以一定时间内所学习到的地址作为合法MAC地址。通过配置Port Security可以控制： 端口上最大可以通过的MAC地址数量 端口上学习或通过哪些MAC地址 对于超过规定数量的MAC处理进行违背处理端口上学习或通过哪些MAC地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口MAC，直到指定的MAC地址数量，交换机关机后重新学习。目前较新的技术是Sticky Port Security，交换机将学到的mac地址写到端口配置中，交换机重启后配置仍然存在。对于超过规定数量的MAC处理进行处理一般有三

17、种方式（针对交换机型号会有所不同）： Shutdown：端口关闭。 Protect：丢弃非法流量，不报警。 Restrict：丢弃非法流量，报警。3.1.3.2 DHCP窥探保护DHCP服务正常工作DHCP Snooping采用DHCP管理的常见问题采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，简化了用户网络设置，提高了管理效率。但在DHCP管理使用上也存在着一些另网管人员比较问题，常见的有： DHCP server 的冒充。 DHCP server的DOS攻击。 有些用户随便指定地址，造成网络地址冲突。 由于DHCP 的运作机制，通常服务器

18、和客户端没有认证机制，如果网络上存在多台DHCP服务器将会给网络照成混乱。 由于不小心配置了DHCP服务器引起的网络混乱也非常常见。黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求，直到DHCP服务器对应网段的所有地址被占用，此类攻击既可以造成DOS的破坏，也可和DHCP服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。DHCP服务器欺诈可能是故意的，也可能是无意启动DHCP服务器功能，恶意用户发放错误的IP地址、DNS服务器信息或默认网关信息，以此来实现流量的截取。DHCP Snooping技术DHCP Snooping技术是DHCP安全特性，通过建立和维护

19、DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。通过截取一个虚拟局域网内的DHCP信息，交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色，“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表，并将该表存贮在交换机里。在没有DHCP的环境中，如数据中心，绑定条目可能被静态定义，每个DHCP绑定条目包含客户端地址（一个静态地址或者一个从DHCP服务器上获取的地址）、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型（静态的或者动态的）。如下表所示：cat4507#sh ip dhcp snooping bin

20、dingMacAddress IpAddress Lease（sec） Type VLAN Interface- - - - - -00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7这张表不仅解决了DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测（DAI）和IP Source Guard使用。为了防止这种类型的攻击，Catalyst DHCP侦听（DHCP Snooping）功能可有效阻止此类攻击，当打开此功能，所有用户端口除非特别设置，被认为不可信任端口，不应

21、该作出任何DHCP响应，因此欺诈DHCP响应包被交换机阻断，合法的DHCP服务器端口或上连端口应被设置为信任端口。首先定义交换机上的信任端口和不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，DROP掉来自这些端口的非正常DHCP响应应报文，如下图所示：3.1.3.3 动态ARP检查确保“合法”ARP信息传递 DAIARP欺骗攻击原理ARP是用来实现MAC地址和IP地址的绑定，这样两个工作站才可以通讯，通讯发起方的工作站以MAC广播方式发送ARP请求，拥有此IP地址的工作站给予ARP应答，送回自己的IP和MAC地址。ARP协议同时支持一种无请求ARP功能，局域网段上的所有工作站收到主动A

22、RP广播，会将发送者的MAC地址和其宣布的IP地址保存，覆盖以前cache的同一IP地址和对应的MAC地址，主动式ARP合法的用途是用来以备份的工作站替换失败的工作站。由于ARP无任何身份真实校验机制，黑客程序发送误导的主动式ARP使网络流量重指经过恶意攻击者的计算机，变成某个局域网段IP会话的中间人，达到窃取甚至篡改正常传输的功效。黑客程序发送的主动式ARP采用发送方私有MAC地址而非广播地址，通讯接收方根本不会知道自己的IP地址被取代。为了保持ARP欺骗的持续有效，黑客程序每隔30秒重发此私有主动式ARP。这些攻击都可以通过动态ARP检查（DAI，Dynamic ARP Inspectio

23、n）来防止，它可以帮助保证接入交换机只传递“合法的”的ARP请求和应答信息。DHCP Snooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联，动态ARP检测（DAIDynamic ARP Inspection）可以用来检查所有非信任端口的ARP请求和应答（主动式ARP和非主动式ARP），确保应答来自真正的ARP所有者。Catalyst交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者，不合法的ARP包将被删除。DAI配置针对VLAN，对于同一VLAN内的接口可以开启DAI也可以关闭，如果ARP包从一个可信任的接口接受到，

24、就不需要做任何检查，如果ARP包在一个不可信任的接口上接受到，该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样，DHCP Snooping对于DAI来说也成为必不可少的，DAI是动态使用的，相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器个别机器可以采用静态添加DHCP绑定表或ARP access-list实现。另外，通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率的频率超过预先设定的阈值，立即关闭该端口。该功能可以阻止网络扫描工具的使用，同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。3.1.3.4 IP源地址保护阻止DoS、蠕虫

25、和木马攻击IP Source Guard常见的欺骗攻击的种类和目的除了ARP欺骗外，黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗，其目的一般为伪造身份或者获取针对IP/MAC的特权。此方法也被广泛用作DOS攻击，目前较多的攻击是：Ping Of Death、Syn flood、ICMP Unreacheable Storm。如黑客冒用A地址对B地址发出大量的ping包，所有ping应答都会返回到B地址，通过这种方式来实施拒绝服务（DoS）攻击，这样可以掩盖攻击系统的真实身份。富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址，它是利用T

26、CP三次握手会话对服务器进行颠覆的又一种攻击方式。一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。另外病毒和木马的攻击也会使用欺骗的源IP地址。互联网上的蠕虫病毒也往往利用欺骗技术来掩盖它们真实的源头主机。Catalyst IP源地址保护（IP Source Guard）功能打开后，可以根据DHCP侦听记录的IP绑定表动态产生PVACL，强制来自此端口流量的源地址符合DHCP绑定表的记录，这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了，这个功能将只允许对拥有合法源地址的数据保进行转发，合法源地址是与IP地址绑定表保持一致的，它也是来源于D

27、HCP Snooping绑定表。因此，DHCP Snooping功能对于这个功能的动态实现也是必不可少的，对于那些没有用到DHCP的网络环境来说，该绑定表也可以静态配置。IP Source Guard不但可以配置成对IP地址的过滤也可以配置成对MAC地址的过滤，这样，就只有IP地址和MAC地址都于DHCP Snooping绑定表匹配的通信包才能够被允许传输。此时，必须将 IP源地址保护IP Source Guard与端口安全Port Security功能共同使用，并且需要DHCP服务器支持Option 82时，才可以抵御IP地址MAC地址的欺骗。3.1.3.5 阻挡不明交换设备的接入BPDU/

28、Root Guard在实际网络环境中，经常有些用户有意或无意将未经允许的交换设备串接至用户端口，新增交换机的BPDU信息可能会导致整个网络第二层网络逻辑拓朴结构变化，引起网络架构震荡；更为严重的是，黑客可能假冒第二层SPT信息包冲击甚至改变整个网络二层结构，夺取网络SPT中Root的位置，使得网络无法正常工作。因此对于SPT BPDU信息和SPT Root的保护，是避免不明交换设备任意接入的根本保障。思科交换机的BPDU Guard功能在端口上启用后，一旦受到其它交换机的BPDU信息，此端口立刻Shutdown（防止接口连入交换机），必须有网络管理员手工恢复。而思科交换机的ROOT Guard

29、，则是在在DP端口上实现，该端口就不会改变，只会是DP了，这样可以防止新加入的交换机成为root，该端口就变成了永久的DP了，若新加入的交换机想成为root，则它的端口将不能工作，直到这个新交换机委曲求全做RP为止。这两个简单的二层SPT保护功能，完全防范了不明交换设备的“非法”接入，保证了整个网络交换架构的稳定可靠，是网络自身安全的重要保护手段。3.1.3.6 丰富的访问控制Access Control Lists访问控制列表（ACL）是思科IOS操作系统中提供的访问控制技术，对于所有思科系列的各种交换设备，ACL都能够提供全面和高效的支持。ACL采用的是包过滤技术，能够在交换设备上读取第二

30、/三/四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。网络中的节点类型主要分为资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。思科全系列交换设备具有丰富的ACL访问控制能力，诸如Router ACL，VLAN ACL，Time-based ACL，Port-based ACL等等，其中有很多是针对园区交换网络专门设计应用的，同时很多ACL都是通过硬件机制（如专用芯片）实现处理转发的，进一步确保的在高速交换网络中的传输性能，真正做到了安全、高效、可靠。当然，由于