数据中心解决方案安全技术.docx
《数据中心解决方案安全技术.docx》由会员分享,可在线阅读,更多相关《数据中心解决方案安全技术.docx(20页珍藏版)》请在三一办公上搜索。
1、数据中心解决方案安全技术m技术特色在这种咄咄逼人的安全形势下,数据中心需要一个全方位一体化的安全部署方式。H3C数据 中心安全解决方案秉承了 H3C 一贯倡导的“安全渗透理念”,将安全部署渗透到整个数据中 心的设计、部署、运维中,为数据中心搭建起一个立体的、无缝的安全平台,真正做到了使 安全贯穿数据链路层到网络应用层的目标,使安全保护无处不在。H3C数据中心安全解决方案的技术特色可用十二个字概括:三重保护、多层防御;分区规 划,分层部署。2.1三重保护,多层防御图3数据中心三重安全保护以数据中心服务器资源为核心向外延伸有三重保护功能。依拖具有丰富安全特性的交换机构 成数据中心网络的第一重保护;
2、以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的 IPS提供对网络报文深度检测,构成对数据中心网络的第二重保护;第三重保护是凭借高性 能硬件防火墙构成的数据中心网络边界。用一个形象的比喻来说明数据的三重保护。数据中心就像一个欣欣向荣的国家,来往的商客 就像访问数据中心的报文;防火墙是驻守在国境线上的军队,一方面担负着守卫国土防御外 族攻击(DDOS)的重任,另一方面负责检查来往商客的身份(访问控制);IPS是国家的警 察,随时准备捉拿虽然拥有合法身份,但仍在从事违法乱纪活动的商客(蠕虫病毒),以保 卫社会秩序;具有各种安全特性的交换机就像商铺雇佣的保安,提供最基本的安全监管,时 刻
3、提防由内部人员造成的破坏(STP攻击)。图4数据中心多层安全防御三重保护的同时为数据中心网络提供了从链路层到应用层的多层防御体系,如图。交换机提 供的安全特性构成安全数据中心的网络基础,提供数据链路层的攻击防御。数据中心网络边 界安全定位在传输层与网络层的安全上,通过状态防火墙可以把安全信任网络和非安全网络 进行隔离,并提供对DDOS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析 与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,即可以有效检测并实时阻 断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行 有效管理,从而达到对网络应用层的保护。2
4、.2分区规划,分层部署在网络中存在不同价值和易受攻击程度不同的设备,按照这些设备的情况制定不同的安全策 略和信任模型,将网络划分为不同区域,这就是所谓的分区思想。数据中心网络根据不同的 信任级别可以划分为:远程接入区、园区网、Internet服务器区、Extranet服务器区、 Intranet服务器区、管理区、核心区,如图。图5数据中心分区规划思想所谓多层思想(n-Tier)不仅体现在传统的网络三层部署(接入一汇聚一核心)上,更应该 关注数据中心服务器区(Server Farm)的设计部署上。服务器资源是数据中心的核心,多 层架构把应用服务器分解成可管理的、安全的层次。“多层”指数据中心可以
5、有任意数据的 层次,但通常是3层。按照功能分层打破了将所有功能都驻留在单一服务器时带来的安全隐 患,增强了扩展性和高可用性。如图,第一层,Web服务器层,直接与接入设备相连,提供面向客户的应用;第二层,即应 用层,用来粘合面向用户的应用程序、后端的数据库服务器或存储服务器;第三层,即数据 库层,包含了所有的数据库、存储和被不同应用程序共享的原始数据。图6数据中心分层部署思想3关键技术说明本节将按照“三重保护、多层防御”的思想,详细说明每种安全技术的应用模式。本节的最 后还将介绍另一个不容忽视的问题一“数据中心网络管理安全技术”。3.1.1数据中心网络架构安全技术 网络基础架构的安全特性是数据中
6、心中各部件产品基本安全特性的通称。架构安全特性涉及 服务器、接入交换机、负载均衡器、汇聚交换机、核心交换机等设备,部署点多、覆盖面 大,是构成整个安全数据中心的基石。H3C凭借基于COMWARE的具有丰富安全特性全系列智能交换机为数据中心打造坚实的基础构 架。COMWARE是由H3C推出的支持多种网络设备的网络操作系统,它以强大的IP转发引擎 为核心,通过完善的体系结构设计,把实时操作系统和网络管理、网络应用、网络安全等技 术完美的结合在一起。作为一个不断发展、可持续升级的平台,它具有开放的接口,可灵活 支持大量的网络协议和安全特性。COMWARE可应用在分布式或集中式的网络设备构架之上, 也
7、就是说,不仅可以运行在高端的交换机/路由器上,而且也可以运行在中低端的交换机/路 由器上,不向其它厂商,不同的软件运行在不同的设备上。COMWARE的这一特性可使网络中 各节点设备得到同一的安全特性,彻底避免了由于部件产品安全特性不一致、不统一造成的 安全“短木板效应”。图7数据中心基础架构安全相关架构1. 基于VLAN的端口隔离交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不 能实现二、三层互通。当相同VLAN中的服务器之间完全没有互访要求时,可以设置各自连 接的端口为隔离端口,如图。这样可以更好的保证相同安全区域内的服务器之间的安全:O即使非法用户利用后门
8、控制了其中一台服务器,但也无法利用该服务器作为跳板攻击该安 全区域内的其他服务器。O可以有效的隔离蠕虫病毒的传播,减小受感染服务器可能造成的危害。比如:如果Web服 务器遭到了 Code-Red红色代码的破坏,即使其它Web服务器也在这个网段中,也不会被感 染。图8交换机Isolated Vlan技术2. STP Root/BPDU Guard基于Root/BPDU Guard方式的二层连接保护保证STP/RSTP稳定,防止攻击,保障可靠的二层 连接。如图。图 9 交换机 Root Guard/BPDU Guard 技术BPDU Guard对于接入层设备,接入端口一般直接与用户终端(如PC机)
9、或文件服务器相连,此时接入 端口被设置为边缘端口以实现这些端口的快速迁移;当这些端口接受到配置消息(BPDU报 文)时系统会自动将这些端口设置为非边缘端口,重新计算生成树,引起网络拓扑的震荡。 这些端口正常情况下应该不会收到生成树协议的配置消息的。如果有人伪造配置消息恶意攻 击交换机,就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上启动了 BPDU保护功能以后,如果边缘端口收到了配置消息,系统就将这些端口 shutdown,同时通知网管。被shutdown的端口只能由网络管理人员恢复。推荐用户在配置 了边缘端口的交换机上配置BPDU保护功能。ROOT Guard由于维护人员的错
10、误配置或网络中的恶意攻击,网络中的合法根交换机有可能会收到优先级 更高的配置消息,这样当前根交换机会失去根交换机的地位,引起网络拓扑结构的错误变 动。这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网 络拥塞。Root保护功能可以防止这种情况的发生。对于设置了 Root保护功能的端口,端口角色只能保持为指定端口。一旦这种端口上收到了 优先级高的配置消息,即其将被选择为非指定端口时,这些端口的状态将被设置为侦听状 态,不再转发报文(相当于将此端口相连的链路断开)。当在足够长的时间内没有收到更优 的配置消息时,端口会恢复原来的正常状态。LOOP PROTECTION交换机
11、的根端口和其他阻塞端口的状态依靠不断接收上游交换机发送的BPDU来维持的。但 是由于链路拥塞或者单向链路故障,这些端口会收不到上游交换机的BPDU。此时交换机会 重新选择根端口,根端口会转变为指定端口,而阻塞端口会迁移到转发状态,从而交换网络 中会产生环路。环路保护功能会抑制这种环路的产生。在启动了环路保护功能后,根端口的 角色如果发生变化就会设置它为Discarding状态,阻塞端口会一直保持在Discarding状 态,不转发报文,从而不会在网络中形成环路。TC PROTECTION 根据IEEE 802.1w和IEEE 802.1s协议,交换机监测到拓扑变化或者接收到TC报文后会清 空M
12、AC表。如果受到TC攻击(连续不断收到TC报文)交换机就会一直进行MAC删除操作,影 响正常的转发业务。使能TC PROTECTION功能后,将减少删除MAC的次数,保证业务的正常 运行。3. 端口安全端口安全(Port Security)的主要功能就是通过定义各种安全模式,让设备学习到合法的 源MAC地址,以达到相应的网络管理效果。对于不能通过安全模式学习到源MAC地址的报文 或802.1x认证失败的0当发现非法报文后,系统将触发相应特性,并按照预先指定的方式自动进行处理,减少了用 户的维护工作量,极大地提高了系统的安全性和可管理性。端口安全的特性包括:NTK: NTK(Need To Kn
13、ow)特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧 只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。Intrusion Protection:该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证 的用户名、密码,发现非法报文或非法事件,并采取相应的动作,包括暂时断开端口连接、 永久断开端口连接或是过滤此MAC地址的报文,保证了端口的安全性。Device Tracking:该特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等 原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监 控。表2 端口的安全模式:安全模式类型
14、描述特性说明禁止端口学习MAC地在左侧列出的模式下,址,只有源MAC为端口当设备发现非法报文secure上已经配置的静态MAC后,将触发NTK特性和的报文,才能通过该端Intrusion Protection特性此模式下NTK特性和 对接入用户采用基于端userloginIntrusion Protection 口的802.1x认证特性不会被触发接入用户必须先通过802.1x认证,认证成功后端口开启,但也只允许认证成功的用户报文通过;此模式下,端口最多只userlogin-secure允许接入一个经过802.1x认证的用户;当端口从正常模式进入此安全模式时,端口下原有的动态MAC地址表在左侧列
15、出的模式下, 项和已认证的MAC地址当设备发现非法报文表项将被自动删除后,将触发Need ToKnow 特性和 Intrusion与 userlogin-secure 类,.t,Protection 特性似,端口最多只允许一个802.1x认证用户,但同时,端口还允许一个oui地址的报文通过;userlogin-withoui当用户从端口的正常模 式进入此模式时,端口 下原有的动态MAC地址 表项和已认证的MAC地 址表项将被自动删除mac-authentication基于MAC地址对接入用户进行认证表示mac-authentication 和userlogin-secure 模式userlog
16、in-secure-or-下的认证可以同时进mac行,如果都认证通过的 话,userlogin-secure 的优先级高于mac- authentication 模式表示先进行mac- authentication 认证,userlogin-secure-如果成功则表明认证通else-mac过,如果失败则再进行userlogin-secure 认证与 userlogin-secure 类userlogin-secure-ext似,但端口下的802.1x 认证用户可以有多个与 userlogin-secure-userlogin-secure-or-or-mac类似,但端口下mac-ext的80
17、2.1x认证用户可以有多个与 mac-else-userlogin-secure-userlogin-secure 类else-mac-ext似,但端口下的802.1x认证用户可以有多个4. 防IP伪装 病毒和非法用户很多情况会伪装IP来实现攻击。伪装IP有三个用处:O本身就是攻击的直接功能体。比如smurf攻击。O麻痹网络中的安全设施。比如绕过利用源IP做的接入控制。O隐藏攻击源设备防止IP伪装的关键在于如何判定设备接收到的报文的源IP是经过伪装的。这种判定的 方式有三种。分别在内网和内外网的边界使用。在internet出口处过滤RFC3330和RFC1918所描述的不可能在内外网之间互访的
18、IP地址。由于现今internet上的大多数攻击者都不具备很高的网络技术水平,其攻击手段仅仅是比 较机械利用现有的攻击工具。同时一些攻击工具虽然做到了使用方便,但其攻击方法设计也 相对简单,没有办法根据网络实际状况进行调整。因此,网络中大多数的攻击方式是带有盲 目性的。局域网在其internet出入口处过滤掉不可能出现的IP地址,可以缓解非法用户简 单的随机伪装IP所带来的危害。利用IP和MAC的绑定关系O网关防御利用DHCP relay特性,网关可以形成本网段下主机的IP、MAC映射表。当网关收到一个 ARP报文时,会先在映射表中查找是否匹配现有的映射关系。如果找到则正常学习,否则不 学习该
19、ARP。这样伪装IP的设备没有办法进行正常的跨网段通信。O接入设备防御利用DHCP SNOOPING特性,接入设备通过监控其端口接收到的DHCP request、ACK、 release报文,也可以形成一张端口下IP、MAC的映射表。设备可以根据IP、MAC、端口的 对应关系,下发ACL规则限制从该端口通过的报文源IP必须为其从DHCP服务器获取的IP 地址。UPRFUPRF会检测接收到的报文中的源地址是否和其接收报文的接口相匹配。其实现机制如下: 设备接收到报文后,UPRF会比较该报文的源地址在路由表中对应的出接口是否和接收该报 文的接口一致。如果两者不一致,则将报文丢弃。5. 路由协议认证
20、 攻击者也可以向网络中的设备发送错误的路由更新报文,使路由表中出现错误的路由,从而 引导用户的流量流向攻击者的设备。为了防止这种攻击最有效的方法就是使用局域网常用路 由协议时,必须启用路由协议的认证。O OSPF协议,支持邻居路由器之间的明文/MD5认证和OSPF区域内的明文/MD5认证;O RIPv2协议,支持邻居路由器之间的明文/MD5认证另外,在不应该出现路由信息的端口过滤掉所有路由报文也是解决方法之一。但这种方法会 消耗掉许多ACL资源。3.1.2数据中心网络边界安全技术边界安全的一项主要功能是实现网络隔离,通过防火墙可以把安全信任网络和非安全网络进 行隔离。H3C SecPath系列
21、防火墙以其高效可靠的防攻击手段,和灵活多变的安全区域配置 策略担负起是守护数据中心边界安全的的重任。1. 状态防火墙实现网络隔离的基本技术是IP包过滤,ACL是一种简单可靠的技术,应用在路由器或交换 机上可实现最基本的IP包过滤,但单纯的ACL包过滤缺乏一定的灵活性。对于类似于应用 FTP协议进行通信的多通道协议来说,配置ACL则是困难的。FTP包含一个预知端口的TCP 控制通道和一个动态协商的TCP数据通道,对于一般的ACL来说,配置安全策略时无法预知 数据通道的端口号,因此无法确定数据通道的入口。状态防火墙设备将状态检测技术应用在ACL技术上,通过对连接状态的状态的检测,动态的 发现应该打
22、开的端口,保证在通信的过程中动态的决定哪些数据包可以通过防火墙。状态防 火墙还采用基于流的状态检测技术可以提供更高的转发性能,因为基于ACL的包过滤技术是 逐包检测的,这样当规则非常多的时候包过滤防火墙的性能会变得比较低下,而基于流的状 态防火墙可以根据流的信息决定数据包是否可以通过防火墙,这样就可以利用流的状态信息 决定对数据包的处理结果加快了转发性能。2. 防火墙安全区域管理 边界安全的一项主要功能是网络隔离,并且这种网络隔离技术不是简单的依靠网络接口来划 分的,因为网络的实际拓扑是千差万别的,使用固定接口来进行网络隔离不能适应网络的实 际要求。SecPath防火墙提供了基于安全区域的隔离
23、模型,每个安全区域可以按照网络的实 际组网加入任意的接口,因此SecPath的安全管理模型是不会受到网络拓扑的影响。业界很多防火墙一般都提供受信安全区域(trust)、非受信安全区域(untrust)、非军事 化区域(DMZ)三个独立的安全区域,这样的保护模型可以适应大部分的组网要求,但是在 一些安全策略要求较高的场合,这样的保护模型还是不能满足要求。SecPath防火墙默认提供四个安全区域:trust、untrust、DMZ、local,在提供三个最常用 的安全逻辑区域的基础上还新增加了本地逻辑安全区域,本地安全区域可以定义到防火墙本 身的报文,保证了防火墙本身的安全防护,使得对防火墙本身的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据中心 解决方案 安全技术

链接地址:https://www.31ppt.com/p-5306138.html