数据中心解决方案安全技术.docx

数据中心解决方案安全技术m技术特色在这种咄咄逼人的安全形势下，数据中心需要一个全方位一体化的安全部署方式。H3C数据 中心安全解决方案秉承了 H3C 一贯倡导的“安全渗透理念”，将安全部署渗透到整个数据中 心的设计、部署、运维中，为数据中心搭建起一个立体的、无缝的安全平台，真正做到了使 安全贯穿数据链路层到网络应用层的目标，使安全保护无处不在。H3C数据中心安全解决方案的技术特色可用十二个字概括：三重保护、多层防御；分区规 划，分层部署。2.1三重保护，多层防御图3数据中心三重安全保护以数据中心服务器资源为核心向外延伸有三重保护功能。依拖具有丰富安全特性的交换机构 成数据中心网络的第一重保护；以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的 IPS提供对网络报文深度检测，构成对数据中心网络的第二重保护；第三重保护是凭借高性 能硬件防火墙构成的数据中心网络边界。用一个形象的比喻来说明数据的三重保护。数据中心就像一个欣欣向荣的国家，来往的商客 就像访问数据中心的报文；防火墙是驻守在国境线上的军队，一方面担负着守卫国土防御外 族攻击（DDOS）的重任，另一方面负责检查来往商客的身份（访问控制）；IPS是国家的警 察，随时准备捉拿虽然拥有合法身份，但仍在从事违法乱纪活动的商客（蠕虫病毒），以保 卫社会秩序；具有各种安全特性的交换机就像商铺雇佣的保安，提供最基本的安全监管，时 刻提防由内部人员造成的破坏（STP攻击）。图4数据中心多层安全防御三重保护的同时为数据中心网络提供了从链路层到应用层的多层防御体系，如图。交换机提 供的安全特性构成安全数据中心的网络基础，提供数据链路层的攻击防御。数据中心网络边 界安全定位在传输层与网络层的安全上，通过状态防火墙可以把安全信任网络和非安全网络 进行隔离，并提供对DDOS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析 与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻 断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行 有效管理，从而达到对网络应用层的保护。2.2分区规划，分层部署在网络中存在不同价值和易受攻击程度不同的设备，按照这些设备的情况制定不同的安全策 略和信任模型，将网络划分为不同区域，这就是所谓的分区思想。数据中心网络根据不同的 信任级别可以划分为：远程接入区、园区网、Internet服务器区、Extranet服务器区、 Intranet服务器区、管理区、核心区，如图。图5数据中心分区规划思想所谓多层思想（n-Tier）不仅体现在传统的网络三层部署（接入一汇聚一核心）上，更应该 关注数据中心服务器区（Server Farm）的设计部署上。服务器资源是数据中心的核心，多 层架构把应用服务器分解成可管理的、安全的层次。“多层”指数据中心可以有任意数据的 层次，但通常是3层。按照功能分层打破了将所有功能都驻留在单一服务器时带来的安全隐 患，增强了扩展性和高可用性。如图，第一层，Web服务器层，直接与接入设备相连，提供面向客户的应用；第二层，即应 用层，用来粘合面向用户的应用程序、后端的数据库服务器或存储服务器；第三层，即数据 库层，包含了所有的数据库、存储和被不同应用程序共享的原始数据。图6数据中心分层部署思想3关键技术说明本节将按照“三重保护、多层防御”的思想，详细说明每种安全技术的应用模式。本节的最 后还将介绍另一个不容忽视的问题一“数据中心网络管理安全技术”。3.1.1数据中心网络架构安全技术 网络基础架构的安全特性是数据中心中各部件产品基本安全特性的通称。架构安全特性涉及 服务器、接入交换机、负载均衡器、汇聚交换机、核心交换机等设备，部署点多、覆盖面 大，是构成整个安全数据中心的基石。H3C凭借基于COMWARE的具有丰富安全特性全系列智能交换机为数据中心打造坚实的基础构 架。COMWARE是由H3C推出的支持多种网络设备的网络操作系统，它以强大的IP转发引擎 为核心，通过完善的体系结构设计，把实时操作系统和网络管理、网络应用、网络安全等技 术完美的结合在一起。作为一个不断发展、可持续升级的平台，它具有开放的接口，可灵活 支持大量的网络协议和安全特性。COMWARE可应用在分布式或集中式的网络设备构架之上， 也就是说，不仅可以运行在高端的交换机/路由器上，而且也可以运行在中低端的交换机/路 由器上，不向其它厂商，不同的软件运行在不同的设备上。COMWARE的这一特性可使网络中 各节点设备得到同一的安全特性，彻底避免了由于部件产品安全特性不一致、不统一造成的 安全“短木板效应”。图7数据中心基础架构安全相关架构1. 基于VLAN的端口隔离交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不 能实现二、三层互通。当相同VLAN中的服务器之间完全没有互访要求时，可以设置各自连 接的端口为隔离端口，如图。这样可以更好的保证相同安全区域内的服务器之间的安全：O即使非法用户利用后门控制了其中一台服务器，但也无法利用该服务器作为跳板攻击该安 全区域内的其他服务器。O可以有效的隔离蠕虫病毒的传播，减小受感染服务器可能造成的危害。比如：如果Web服 务器遭到了 Code-Red红色代码的破坏，即使其它Web服务器也在这个网段中，也不会被感 染。图8交换机Isolated Vlan技术2. STP Root/BPDU Guard基于Root/BPDU Guard方式的二层连接保护保证STP/RSTP稳定，防止攻击，保障可靠的二层 连接。如图。图 9 交换机 Root Guard/BPDU Guard 技术BPDU Guard对于接入层设备，接入端口一般直接与用户终端（如PC机）或文件服务器相连，此时接入 端口被设置为边缘端口以实现这些端口的快速迁移；当这些端口接受到配置消息（BPDU报 文）时系统会自动将这些端口设置为非边缘端口，重新计算生成树，引起网络拓扑的震荡。 这些端口正常情况下应该不会收到生成树协议的配置消息的。如果有人伪造配置消息恶意攻 击交换机，就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上启动了 BPDU保护功能以后，如果边缘端口收到了配置消息，系统就将这些端口 shutdown，同时通知网管。被shutdown的端口只能由网络管理人员恢复。推荐用户在配置 了边缘端口的交换机上配置BPDU保护功能。ROOT Guard由于维护人员的错误配置或网络中的恶意攻击，网络中的合法根交换机有可能会收到优先级 更高的配置消息，这样当前根交换机会失去根交换机的地位，引起网络拓扑结构的错误变 动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网 络拥塞。Root保护功能可以防止这种情况的发生。对于设置了 Root保护功能的端口，端口角色只能保持为指定端口。一旦这种端口上收到了 优先级高的配置消息，即其将被选择为非指定端口时，这些端口的状态将被设置为侦听状 态，不再转发报文（相当于将此端口相连的链路断开）。当在足够长的时间内没有收到更优 的配置消息时，端口会恢复原来的正常状态。LOOP PROTECTION交换机的根端口和其他阻塞端口的状态依靠不断接收上游交换机发送的BPDU来维持的。但 是由于链路拥塞或者单向链路故障，这些端口会收不到上游交换机的BPDU。此时交换机会 重新选择根端口，根端口会转变为指定端口，而阻塞端口会迁移到转发状态，从而交换网络 中会产生环路。环路保护功能会抑制这种环路的产生。在启动了环路保护功能后，根端口的 角色如果发生变化就会设置它为Discarding状态，阻塞端口会一直保持在Discarding状 态，不转发报文，从而不会在网络中形成环路。TC PROTECTION 根据IEEE 802.1w和IEEE 802.1s协议，交换机监测到拓扑变化或者接收到TC报文后会清 空MAC表。如果受到TC攻击(连续不断收到TC报文)交换机就会一直进行MAC删除操作，影 响正常的转发业务。使能TC PROTECTION功能后，将减少删除MAC的次数，保证业务的正常 运行。3. 端口安全端口安全(Port Security)的主要功能就是通过定义各种安全模式，让设备学习到合法的 源MAC地址，以达到相应的网络管理效果。对于不能通过安全模式学习到源MAC地址的报文 或802.1x认证失败的0当发现非法报文后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用 户的维护工作量，极大地提高了系统的安全性和可管理性。端口安全的特性包括：NTK： NTK(Need To Know)特性通过检测从端口发出的数据帧的目的MAC地址，保证数据帧 只能被发送到已经通过认证的设备上，从而防止非法设备窃听网络数据。Intrusion Protection：该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证 的用户名、密码，发现非法报文或非法事件，并采取相应的动作，包括暂时断开端口连接、 永久断开端口连接或是过滤此MAC地址的报文，保证了端口的安全性。Device Tracking:该特性是指当端口有特定的数据包(由非法入侵，用户不正常上下线等 原因引起)传送时，设备将会发送Trap信息，便于网络管理员对这些特殊的行为进行监 控。表2 端口的安全模式：安全模式类型描述特性说明禁止端口学习MAC地在左侧列出的模式下，址，只有源MAC为端口当设备发现非法报文secure上已经配置的静态MAC后，将触发NTK特性和的报文，才能通过该端Intrusion Protection特性此模式下NTK特性和 对接入用户采用基于端userloginIntrusion Protection 口的802.1x认证特性不会被触发接入用户必须先通过802.1x认证，认证成功后端口开启，但也只允许认证成功的用户报文通过；此模式下，端口最多只userlogin-secure允许接入一个经过802.1x认证的用户；当端口从正常模式进入此安全模式时，端口下原有的动态MAC地址表在左侧列出的模式下， 项和已认证的MAC地址当设备发现非法报文表项将被自动删除后，将触发Need ToKnow 特性和 Intrusion与 userlogin-secure 类,.t,Protection 特性似，端口最多只允许一个802.1x认证用户，但同时，端口还允许一个oui地址的报文通过；userlogin-withoui当用户从端口的正常模 式进入此模式时，端口 下原有的动态MAC地址 表项和已认证的MAC地 址表项将被自动删除mac-authentication基于MAC地址对接入用户进行认证表示mac-authentication 和userlogin-secure 模式userlogin-secure-or-下的认证可以同时进mac行，如果都认证通过的 话，userlogin-secure 的优先级高于mac- authentication 模式表示先进行mac- authentication 认证，userlogin-secure-如果成功则表明认证通else-mac过，如果失败则再进行userlogin-secure 认证与 userlogin-secure 类userlogin-secure-ext似，但端口下的802.1x 认证用户可以有多个与 userlogin-secure-userlogin-secure-or-or-mac类似，但端口下mac-ext的802.1x认证用户可以有多个与 mac-else-userlogin-secure-userlogin-secure 类else-mac-ext似，但端口下的802.1x认证用户可以有多个4. 防IP伪装 病毒和非法用户很多情况会伪装IP来实现攻击。伪装IP有三个用处:O本身就是攻击的直接功能体。比如smurf攻击。O麻痹网络中的安全设施。比如绕过利用源IP做的接入控制。O隐藏攻击源设备防止IP伪装的关键在于如何判定设备接收到的报文的源IP是经过伪装的。这种判定的 方式有三种。分别在内网和内外网的边界使用。在internet出口处过滤RFC3330和RFC1918所描述的不可能在内外网之间互访的IP地址。由于现今internet上的大多数攻击者都不具备很高的网络技术水平，其攻击手段仅仅是比 较机械利用现有的攻击工具。同时一些攻击工具虽然做到了使用方便，但其攻击方法设计也 相对简单，没有办法根据网络实际状况进行调整。因此，网络中大多数的攻击方式是带有盲 目性的。局域网在其internet出入口处过滤掉不可能出现的IP地址，可以缓解非法用户简 单的随机伪装IP所带来的危害。利用IP和MAC的绑定关系O网关防御利用DHCP relay特性，网关可以形成本网段下主机的IP、MAC映射表。当网关收到一个 ARP报文时，会先在映射表中查找是否匹配现有的映射关系。如果找到则正常学习，否则不 学习该ARP。这样伪装IP的设备没有办法进行正常的跨网段通信。O接入设备防御利用DHCP SNOOPING特性，接入设备通过监控其端口接收到的DHCP request、ACK、 release报文，也可以形成一张端口下IP、MAC的映射表。设备可以根据IP、MAC、端口的 对应关系，下发ACL规则限制从该端口通过的报文源IP必须为其从DHCP服务器获取的IP 地址。UPRFUPRF会检测接收到的报文中的源地址是否和其接收报文的接口相匹配。其实现机制如下： 设备接收到报文后，UPRF会比较该报文的源地址在路由表中对应的出接口是否和接收该报 文的接口一致。如果两者不一致，则将报文丢弃。5. 路由协议认证 攻击者也可以向网络中的设备发送错误的路由更新报文，使路由表中出现错误的路由，从而 引导用户的流量流向攻击者的设备。为了防止这种攻击最有效的方法就是使用局域网常用路 由协议时，必须启用路由协议的认证。O OSPF协议，支持邻居路由器之间的明文/MD5认证和OSPF区域内的明文/MD5认证；O RIPv2协议，支持邻居路由器之间的明文/MD5认证另外，在不应该出现路由信息的端口过滤掉所有路由报文也是解决方法之一。但这种方法会 消耗掉许多ACL资源。3.1.2数据中心网络边界安全技术边界安全的一项主要功能是实现网络隔离，通过防火墙可以把安全信任网络和非安全网络进 行隔离。H3C SecPath系列防火墙以其高效可靠的防攻击手段，和灵活多变的安全区域配置 策略担负起是守护数据中心边界安全的的重任。1. 状态防火墙实现网络隔离的基本技术是IP包过滤，ACL是一种简单可靠的技术，应用在路由器或交换 机上可实现最基本的IP包过滤，但单纯的ACL包过滤缺乏一定的灵活性。对于类似于应用 FTP协议进行通信的多通道协议来说，配置ACL则是困难的。FTP包含一个预知端口的TCP 控制通道和一个动态协商的TCP数据通道，对于一般的ACL来说，配置安全策略时无法预知 数据通道的端口号，因此无法确定数据通道的入口。状态防火墙设备将状态检测技术应用在ACL技术上，通过对连接状态的状态的检测，动态的 发现应该打开的端口，保证在通信的过程中动态的决定哪些数据包可以通过防火墙。状态防 火墙还采用基于流的状态检测技术可以提供更高的转发性能，因为基于ACL的包过滤技术是 逐包检测的，这样当规则非常多的时候包过滤防火墙的性能会变得比较低下，而基于流的状 态防火墙可以根据流的信息决定数据包是否可以通过防火墙，这样就可以利用流的状态信息 决定对数据包的处理结果加快了转发性能。2. 防火墙安全区域管理 边界安全的一项主要功能是网络隔离，并且这种网络隔离技术不是简单的依靠网络接口来划 分的，因为网络的实际拓扑是千差万别的，使用固定接口来进行网络隔离不能适应网络的实 际要求。SecPath防火墙提供了基于安全区域的隔离模型，每个安全区域可以按照网络的实 际组网加入任意的接口，因此SecPath的安全管理模型是不会受到网络拓扑的影响。业界很多防火墙一般都提供受信安全区域（trust）、非受信安全区域（untrust）、非军事 化区域（DMZ）三个独立的安全区域，这样的保护模型可以适应大部分的组网要求，但是在 一些安全策略要求较高的场合，这样的保护模型还是不能满足要求。SecPath防火墙默认提供四个安全区域：trust、untrust、DMZ、local，在提供三个最常用 的安全逻辑区域的基础上还新增加了本地逻辑安全区域，本地安全区域可以定义到防火墙本 身的报文，保证了防火墙本身的安全防护，使得对防火墙本身的安全保护得到加强。例如， 通过对本地安全区域的报文控制，可以很容易的防止不安全区域对防火墙本身的Telnet、 ftp等访问。SecPath防火墙还提供自定义安全区域，可以最大定义16个安全区域，每个安 全区域都可以加入独立的接口。SecPath系列防火墙支持根据不同的安全区域之间的访问设计不同的安全策略组，每条安全 策略组支持若干个独立的规则。这样的规则体系使得防火墙的策略十分容易管理，方面用户 对各种逻辑安全区域的独立管理。部分防火墙还是采用基于接口的安全策略管理机制，如 图。图10防火墙安全区域管理两个接口： trust接口和DMZ接口共享untrust接口访问internet，如果在接口上使用安全 策略进行控制，则会导致策略混乱。因为在untrust接口流量中，即有从DMZ和internet 之间的流量，也有从trust和internet之间的流量。这样的策略控制模型不适合用户进行 策略配置。而基于安全区域的策略控制模型，可以清晰的分别定义从trust到untrust、从 DMZ到untrust之间的各种访问，这样的策略控制模型使得SecPath防火墙的网络隔离功能 具有很好的管理能力。3. 防火墙DOS/DDOS防御Dos （Deny of service）是一类攻击方式的统称（DDos也是Dos的一种），其攻击的基本 原理就是通过发送各种垃圾报文导致网络的阻塞、服务的瘫痪。Dos攻击方式其利用IP无 连接的特点，可以制造各种不同的攻击手段，而且攻击方式非常简单。在Internet 上非常流行，对企业网、甚至骨干网都造成了非常严重的影响，引发很大的 网络事故，因此优秀的Dos攻击防范功能是防火墙的必备功能。现在几乎所有的防火墙设备 都宣传具有Dos攻击防御功能，但是那么为什么Dos攻击导致网络瘫痪的攻击事件为什么还 是层出不穷呢？ 一个优秀的Dos攻击防御体系，应该具有如下最基本的特征： 防御手段的健全和丰富。因为Dos攻击手段种类比较多，因此必须具有丰富的防御手段，才 可以保证真正的抵御Dos攻击。优秀的处理性能。因为Dos攻击伴随这一个重要特征就是网络流量突然增大，如果防火墙本 身不具有优秀的处理能力，则防火墙在处理Dos攻击的同时本身就成为了网络的瓶颈，根本 就不可能抵御Dos攻击。因为Dos攻击的一个重要目的就是使得网络瘫痪，网络上的关键设 备点发生了阻塞，则Dos攻击的目的就达到了。防火墙设备不但要注重转发性能，同时一定 要保证对业务的处理能力。在进行Dos攻击防御的过程中，防火墙的每秒新建能力就成为保 证网络通畅的一个重要指标，Dos攻击的过程中，攻击者都是在随机变化源地址因此所有的 连接都是新建连接。准确的识别攻击能力。很多防火墙在处理Dos攻击的时候，仅仅能保证防火墙后端的流量趋 于网络可以接受的范围，但是不能保证准确的识别攻击报文。这样处理虽然可以保证网络流 量的正常，可以保证服务器不会瘫痪，但是这样处理还是会阻挡正常用户上网、访问等的报 文，因此虽然网络层面是正常的，但是真正的服务还是被拒绝了，因此还是不能达到真正的 Dos攻击防御的目的。SecPath系列防火墙产品，在对上述各个方面都做了详尽的考虑，因 此Dos防御的综合性能、功能等方面在同类防火墙产品中都具有很强的优势。4. 防火墙TCP代理Tcp代理是SecPath系列防火墙为防止SYN Flood类的Dos攻击，而专门开发的一个安全特 性。SYN Flood攻击可以很快的消耗服务器资源，导致服务器崩溃。在一般的Dos防范技术中， 在攻击发生的时候不能准确的识别哪些是合法用户，哪些是攻击报文。Eudemon防火墙采用 了 TCP透明代理的方式实现了对这种攻击的防范，Eudemon防火墙通过精确的验证可以准确 的发现攻击报文，对正常报文依然可以通过允许这些报文访问防火墙资源，而攻击报文则被 Eudemon防火墙丢弃。有些攻击是建立一个完整的TCP连接用来消耗服务器的资源。Eudemon系列防火墙可以实现增强代理的功能，在客户端与防火墙建立连接以后察看客户是 否有数据报文发送，如果有数据报文发送防火墙再与服务器端建立连接否则丢弃客户端的报 文。这样可以保证即使采用完成TCP三次握手的方式消耗服务器资源，也可以被Eudemon防 火墙发现。图11防火墙TCP代理5. 防火墙在数据中心的部署点1) ServerFarm网络边界上的状态防火墙园区网络通常包括园区核心网、边界网络、内部网络、分支结构网络、数据中心 (ServerFarm)网络。核心网络是所有网络区域的中心，内部网络、数据中心、边界网络以星 状连接在核心周围，边界网的另一端还与Internet相连，可以为园区提供Internet出口， 并且作为分支网络的接入点，如图所示。图12防火墙在数据中心的部署点防火墙应该部署在信任与非信任网络的邻接点上，避免不安全因素的扩散。上述园区网络模 型中存在两个这样的邻接点，一是边界网络与Internet的接入点上，这个位置部署放火墙 可以隔离来自Internet或外部网络的有害数据；另一个在数据中心(ServerFarm)汇聚交 换机与核心网交换机的接的接入点上，在此部署防火墙可避免来自内部网络的威胁，这种威 胁可能是内网员工恶意攻击造成的，也可能是一些不恰当的操作对网络造成的。2) 多层服务器区内部的状态防火墙在ServerFarm内部多层服务器区的各层之间也可以部署防火墙以增强不同层次之间的安全 性，如图。由于web服务器直接面对访问者，通常来说是网络中的薄弱环节，使用分层防御 可以将重要的服务器通过防火墙进行保护，即使web服务器被攻陷，也不会造成应用服务器 与数据库服务器的进一步破坏。3.1.3数据中心应用防护技术ips可以针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用 户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可 以对分布在网络中的各种流量进行有效管理，从而达到对网络上应用的保护、网络基础设施 的保护和网络性能的保护。以下介绍H3C H3C IPS应用防护功能的几项关键技术：1. IPS in-line部署方式H3C IPS可以被“in-line”地部署到网络当中去，对所有流经的流量进行深度分析与检 测，从而具备了实时阻断攻击的能力，同时对正常流量不产生任何影响。基于其高速和可扩 展的硬件平台，H3C IPS不断优化检测性能，使其能够达到与交换机同等级别的高吞吐量和 低延时，同时可以对所有主要网络应用进行分析，精确鉴别和阻断攻击。H3C IPS的出现使 得应用层威胁问题迎刃而解。2. 硬件引擎H3C 基于 ASIC、FPGA 和 NP 技术开发的威胁抑制引擎(TSE，Threat Suppression Engine) 是高性能和精确检测的基础。TSE的核心架构由以下部件有机融合而成：图13 IPS的基于硬件的威胁抑止引擎定制的ASICFPGA(现场可编程门阵列)20G高带宽背板高性能网络处理器该核心架构提供的大规模并行处理机制，使得H3C IPS对一个报文从2层到7层所有信息的 检测可以在215微秒内完成，并且保证处理时间与检测特征数量无线性关系。采用流水线与 大规模并行处理融合技术的TSE可以对一个报文同时进行几千种检测，从而将整体的处理性 能提高到空前水平。在具备高速检测功能的同时，TSE还提供增值的流量分类、流量管理和流量整形功能。TSE 可以自动统计和计算正常状况下网络内各种应用流量的分布，并且基于该统计形成流量框架 模型；当短时间内大规模爆发的病毒导致网络内流量发生异常时，TSE将根据已经建立的流 量框架模型限制或者丢弃异常流量，保证关键业务的可达性和通畅性。此外，为防止大量的P2P、IM流量侵占带宽，TSE还支持对100多种点到点应用的限速功能，保证关键应用所需 的带宽。3. 应用防护能力H3C IPS在跟踪流状态的基础上，对报文进应用层信息的深度检测，可以在蠕虫、病毒、木 马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻 断。图14 IPS的应用防护能力H3C IPS还支持以下检测机制：基于访问控制列表（ACL）的检测基于统计的检测基于协议跟踪的检测基于应用异常的检测报文规范检测（Normalization）IP报文重组TCP流恢复以上机制协同工作，H3C IPS可以对应用流量进行细微粒度的识别与控制，有效检测流量激 增、缓冲区溢出、漏洞探测、IPS规避等一些已知的、甚至未知的攻击。H3C的安全威胁分析团队也处于业界领先的地位。该团队是安全威胁快讯SANS Risk的主 要撰稿人，SANS Risk每周定期向其全球范围内30万专业订阅者摘要披露最新安全威胁的 公告，内容包含最新发现的漏洞、漏洞所带来的影响、表现形式，而且指导用户如何采取防 范措施。4. “零时差攻击”防御H3C实时更新、发布的数字疫苗（DV，Digital Vaccine）是网络免疫的保障与基础。在撰 写SANS Risk公告的同时，H3C的专业团队同时跟踪其它知名安全组织和厂商发布的安全 公告；经过跟踪、分析、验证所有这些威胁，生成供H3C IPS使用的可以保护这些漏洞的特 征知识库-数字疫苗，它针对漏洞的本质进行保护，而不是根据特定的攻击特征进行防 御。数字疫苗以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并且能够通 过内容发布网络自动地分发到用户驻地的IPS设备中，从而使得用户的IPS设备在漏洞被公 布的同时立刻具备防御零时差攻击的能力。H3C还与全球著名的系统软件厂商，如 Microsoft. Oracle等，保持了良好的合作关系。在某个漏洞被发现后，H3C能够在第一时 间（即厂商公布安全公告之前）获得该漏洞的详细信息，并且利用这一时间差及时制作可以 防御该漏洞的数字疫苗，使得用户的网络免遭这种“零时差攻击”（Zero-day Attack）。图15 IPS的数字疫苗系统3.1.4数据中心网络管理安全技术1. SSH由于Telnet没有提供安全的认证方式，且通过TCP传输的通信内容都是明文的，即使启用 了 AAA认证，输入的用户名和密码也可以通过抓包分析来获得；由于系统对Telnet用户不 进行复杂的验证，DoS攻击、主机IP欺骗、路由欺骗等攻击都可能给服务器带来致命威 胁，因此存在着相当大的安全隐患。图16基于SSH管理交换机SSH （Secure Shell）是在Telnet基础上发展起来的一种安全的远程登录协议，协议号 22，它支持password和RSA认证，对数据进行DES和3DES等加密（由于DES的安全性不 高，SSH2中已不支持DES），有效防止了对密码的窃听，保护了数据的完整性和可靠性，保 证了数据的安全传输。特别是对于RSA认证的支持，对称加密和非对称加密的混合应用，密 钥的安全交换，最终实现了安全的会话过程。在不安全的网络上直接进行远程登陆和文件传输是不安全的，用户名、密码、数据都可能被 非法人员截获。SSH使用认证和加密来保护不安全的网络上的通信，SSH分为客户端和服务端，服务端的知名端口号为22。SSH是Secure Shell的简称，中文可叫做安全外壳，目前有 stelnet(secure telnet)和 SFTP(Secure FTP)两种应用。Stelnet 完成远程登陆，SFTP 完 成文件传输，与telnet和FTP的功能相同，但是协议的处理完全不同。2. SNMPV3由于SNMP承载于UDP之上，因而SNMP很容易被非法用户利用伪装IP进行攻击。特别是当 攻击者先捕获到合法SNMP流量后，SNMP对其几乎不设防。也正因为如此，SNMP 一直未能得 到大规模的使用。在这种前提下。SNMP V3应运而生。SNMP V3支持MD5或SHA认证和DES 或AES加密。从而为SNMP协议提供了合理的安全特性。3. 常见协议的信任源控制设备支持对SNMP、TELNET/SSH设定软件ACL，来限定只有合法的网段或者IP才能访问设备 的这些协议。4. 端口镜像由于现阶段网络对人们的工作、生活都有极其深远的影响。高可用的网络也越来越受到关 注。高可用包含两层含义：一是网络本身不出现异常；二是网络出现异常后能够迅速恢复。 因此，现阶段对网络管理维护人员迅速定位问题的能力提出了很高的要求。端口镜像作为网 络管理维护人员很好的网络状况监控手段成为网络管理维护人员定位问题的一个重要组成部 分。端口镜像有两类：远程端口镜像和本地镜像。本地镜像是指将交换机的1个或多个端口的报文复制到本交换机的一个监控端口，用于报文 的分析和监视。例如：可以将Ethernet0/1端口上的报文复制到指定监控口 Ethernet0/2， 通过监控口 Ethernet0/2上连接的协议分析仪进行测试和记录。目前我司所有的可管理交换 机都实现了这个功能。但本地镜像在实际应用中存在一定的缺陷，例如：当交换机不是集中放置在一个中心机房中 时，为了检测分散在不同地域的交换机上的端口需要维护人员跑到现场进行镜像观测。为了 降低维护人员的维护工作量，远程镜像的功能随即在一些厂商的交换机上产生了。远程镜像 突破了被镜像端口和镜像端口必须在同一台交换机上的限制，使被镜像端口和镜像端口间可 以跨越多个网络设备，这样维护人员就可以坐在中心机房以通过分析仪观测远端被镜像端口 的数据报文了。图17交换机的端口镜像理想状态下被镜像的数据报文应该能够穿越三层网络到达远端的镜像端口，但由于目前被镜 像的端口所在的交换机多为低端二层交换机，出于成本和实现难度的考虑，目前厂家实现的 远程镜像功能都无法穿越三层网络。远程镜像功能简称为RSPAN。RSPAN实现的功能为将所有的被镜像报文通过一个特殊的 RSPAN VLAN传递到远端的镜像端口。图18交换机远程镜像技术在整个功能实现上主要由以下设备来参与完成：Source switch需要被监测的端口所在的交换机，在该交换机上存在三种端口：Source port被检测的用户端口，通过在ASIC中设置镜像bit属性将用户数据报文复制到指定的 Reflector port。source port可以有多个，对于低端交换机只能实现入方向报文的镜像， 对于复杂的交换机可以实现端口双向报文的镜像。Reflector port该端口的Pvid为专用的RSPAN vlan id，且为untag端口，同时该端口处于内部自环状 态。从source port镜像来的TAG报文从该端口输出时tag被剥离，同时由于该端口自环， 因此所有报文又被重新从该端口输入，由于该端口的Pvid为RSPAN vlan id，因此所有的 镜像报文会以新的RSPAN vlan在所有vlan trunk端口上进行广播（目的MAC永远学习不 到，所以永远为所有端口广播）。Trunk 端口将镜像报文发送到中间交换机或者目的交换机。Intermediate switch该设备上只存在Trunk端口，是中间交换机专为RSPAN vlan开辟的一条通路。在所有的vlan trunk端口上广播RSPAN vlan的报文，为了减少不必要的垃圾广播，需要在 中间交换机上对于vlan trunk端口进行RSPAN vlan的裁减，使中间交换机和接监测设备的 交换机相连的vlan trunk端口才具备RSPAN vlan的通过的能力。Destination switch连接监测设备的交换机，在该交换机上存在两种端口：Destination port远程镜像报文的监控端口。源端口的报文经过RSPAN vlan的巧妙转发，最终可以在 Destination port 上接收到。Trunk 端口接收远程镜像报文。Remote-probe VLAN即上文所说的RSPAN vlan。为了实现远程端口管理功能，在三类交换机上需要定义一个特 殊的VLAN，这个VLAN称之为Remote-probe VLAN。所有的被镜像的报文通过该VLAN从源交 换机传递到目的交换机的镜像端口，实现从目的交换机对源交换机的远程端口的报文进行监 控。Remote-probe VLAN具有以下特点：该 VLAN 内的所有端口的 PVID(Port VLAN ID)都不能为 Remote-probe VLAN ID；该VLAN中的所有端口都必须是Trunk端口或Fabric端口，不能包含Access端口和Hybrid 端口；对于缺省 VLAN、管理 VLAN、Fabric VLAN、协议 VLAN 不能配成 Remote-probe VLAN；该VLAN中不能包含远程镜像源端口。5. 用户的分级管理对登录用户采取分级机制，权限从低到高分为四级，依次为：访问级、监视级、系统级、管 理级。对用户密码采用加密算法进行保存，并限制一次连接登录不成功的次数来防止口令被 穷举得到，并在设备上设置警示性的登录提示。6. 用户视图保护 当管理员有事走开时可以锁定当前用户视图。防止非法人员乘机盗用管理员的权限。同时设 备还提供超时锁定功能。4典型组网方案4.1数据中心综合组网图图19数据中心综合组网图4.2 Server farm 组网图图20服务器区(Server Farm)典型组网图5综述H3C数据中心安全解决方案为数据中心提供了建立在全线速网络基础上的防护攻击所需的边 界安全、深度防御及构架安全解决之道。它可保护数据中心中关键应用和保密数据；增强数 据中心的运营效率，并迅速创建新的安全应用环境来支持新的业务流程。通过拥有一个高度永续、有效、可调整的数据中心网络，企业可缓解竞争压力、拓展市场范 围、加速新服务的面世，面向未来提供一条高效安全的可持续发展之路。-全文完-