在傳統的園區網路建設中,一般認為園區內部是安全的,威脅主要來自外界。在園區邊界上,一般使用防火牆、IDS/IPS作為安全裝置。隨著安全挑戰的不斷升級,僅透過傳統的安全措施和獨立工作的形式進行邊界防禦已經遠遠不夠了,安全模型需要由被動模式向主動模式轉變,從根源-終端徹底解決網路安全問題,提高整個企業的資訊保安水平。
由於各層次業務模型和業務關注點不一樣,可基於各層次的業務需求,進行對應業務安全性設計。對於敏捷園區網路,各層次承載兩種不同的業務流量,一種是有線使用者接入流量,另一種是無線使用者業務流量。
本章從不同層次的維度和有線無線的維度,進行業務需求分析、業務安全設計以及最佳實踐。
1、有線業務安全性
1.1、接入層
1.1.1、廣播風暴控制
當裝置二層以太介面收到廣播、組播或未知單播報文時,如果根據報文的目的MAC地址裝置不能明確報文的出介面,裝置會向同一VLAN內的其他二層以太介面轉發這些報文,這樣可能導致廣播風暴,降低裝置轉發效能。
在接入層下行介面,部署廣播、組播、未知單播報文的抑制,可有效減少廣播風暴。
可以按照百分比來設定抑制速率
如果對風暴控制要求較高的話,還可以基於位元組速率和報文速率(小粒度控制)
廣播/組播/未知單播抑制的閾值根據實際需求進行設定,當網路中不涉及(或少量)廣播業務 時,可以將閾值設定為較小的值。
1.1.2、防攻擊
接入交換機建議配置DHCP Snooping,上行口配置成trust
配置DHCP Snooping功能,可有效防止DHCP Server仿冒者攻擊、DHCP Server的拒絕服務攻擊、仿冒DHCP報文攻擊等。為了使DHCP客戶端能透過合法的DHCP伺服器獲取IP地址,DHCP Snooping安全機制允許將介面設定為信任介面和非信任介面,信任介面正常轉發接收到的DHCP報文,非信任介面接收到DHCP伺服器響應的DHCP ACK和DHCP OFFER報文後,將丟棄該報文。
直接或間接連線管理員信任的DHCP伺服器的介面需要設定為信任介面,其他介面設定為非信任介面,從而保證DHCP客戶端只能從合法的DHCP伺服器獲取IP地址,私自架設的DHCP Server仿冒者無法為DHCP客戶端分配IP地址。
DHCP Snooping可以基於介面配置,也可以基於VLAN配置。
#
基於介面配置接入交換機的DHCP Snooping,上行口配置為信任介面。
# 基於VLAN配置。
[HUAWEI] dhcp enable[HUAWEI] dhcp snooping enable[HUAWEI] vlan 10[HUAWEI-vlan10] dhcp snooping enable[HUAWEI-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/1
如果網路中只有有線使用者,DHCP Snooping可以基於介面配置,也可以基於VLAN配 置。如果網路中同時存在有線使用者和無線使用者,交換機連線AP的介面不建議使能DHCP Snooping,可能會造成交換機使用者繫結表超規格,所以針對有線使用者,建議基於VLAN配置DHCP Snooping,針對無線使用者,建議在無線側VAP模板上配置。
建議在介面或VLAN下配置IP報文檢查和動態ARP檢測
在網路中經常出現利用仿冒合法使用者的源IP、MAC等資訊的報文訪問或攻擊網路的情況,導致合法使用者無法獲得穩定、安全的網路服務。配置IP源防攻擊功能,可以防範上述情況的發生。IP源防攻擊(IPSG)可以防止惡意主機偽造合法主機的IP地址來仿冒合法主機,還能確保非授權主機不能透過自己指定IP地址的方式來訪問網路或攻擊網路。
為了防禦中間人攻擊,避免合法使用者的資料被中間人竊取,可以使能動態ARP檢測功能。裝置會將ARP報文對應的源IP、源MAC、介面、VLAN資訊和繫結表中的資訊進行比較,如果資訊匹配,說明發送該ARP報文的使用者是合法使用者,允許此使用者的ARP報文透過,否則就認為是攻擊,丟棄該ARP報文。
可在介面檢視或VLAN檢視下使能動態ARP檢測功能。在介面檢視下使能時,則對該介面收到的所有ARP報文進行繫結表匹配檢查;在VLAN檢視下使能時,則對加入該VLAN的介面收到的屬於該VLAN的ARP報文進行繫結表匹配檢查。
# 使能介面GE1/0/1下的IP報文檢查功能和動態ARP檢測功能。
# 使能VLAN100下的動態ARP檢測功能。
這兩個功能都是要基於繫結表進行檢查的,繫結表可以是透過配置DHCP Snooping動態生成,也可以靜態配置。
建議配置 ARP/DHCP 限速
由於終端行為未知,且終端數量大,為防止突發性的大量ARP/DHCP報文湧向核心,對核心造成較大的壓力,可以在接入層裝置的上行口配置出方向ARP/DHCP限速。
# 建立ACL,分別匹配DHCP報文和ARP報文。
[HUAWEI] acl 3001[HUAWEI-acl-adv-3001] rule 5 permit udp destination-port eq bootps[HUAWEI] acl 4001[HUAWEI-acl-L2-4001] rule 5 permit l2-protocol arp destination-mac ffff-ffff-ffff[HUAWEI-acl-L2-4001] rule 10 permit l2-protocol arp
# 上行介面配置限速。
[HUAWEI] interface Eth-Trunk1[HUAWEI-Eth-Trunk1] traffic-limit outbound acl 3001 cir 192 pir 192 cbs 24000 pbs 24000 [HUAWEI-Eth-Trunk1] traffic-limit outbound acl 4001 cir 32 pir 32 cbs 4000 pbs 4000
接入交換機連線閘道器的上行介面建議配置為攻擊溯源的白名單
當希望某些使用者無論其是否存在攻擊都不對其進行攻擊溯源分析和攻擊溯源懲罰時, 則可以配置攻擊溯源的白名單。閘道器報文一般不丟棄,所以建議將接入交換機連線閘道器的上行介面新增到白名單。
# 在防攻擊策略test檢視下,將介面GE1/0/1加入攻擊溯源與埠防攻擊的白名單。
1.1.3、環路檢測
針對環路可以在下行介面配置環路檢測。
[HUAWEI] interface gigabitethernet 1/0/1[HUAWEI-GigabitEthernet1/0/1] loopback-detect enable
1.1.4、接入使用者限制
一般接入裝置介面所接使用者數固定,對於辦公位而言,一般就是IP Phone和PC兩類有線終端,對於宿舍而言,一般Hub擴充套件成4~8個使用者,可透過配置接入使用者限制,防止大量使用者攻擊湧入和非法使用者接入。
[HUAWEI] interface gigabitethernet 1/0/1[HUAWEI-GigabitEthernet1/0/1] mac-limit maximum 2
1.1.5、埠隔離
建議在接入交換機連線終端的介面上配置埠隔離,加強使用者通訊安全,同時避免無效的廣播報文影響使用者業務。
# 配置接入交換機介面GE1/0/1的埠隔離功能。
1.2、匯聚層
匯聚層裝置主要負責業務流量的二層轉發,例如VLAN報文或認證報文的透傳。通常不會在匯聚層直接下接終端裝置,所有一般只需要配置埠隔離即可。