IDC網絡安全建設方案

IDC網絡安全建設方案眾所周知，作為全球使用范圍最大的信息網，Internet自身協(xié)議的開放性極大地方便了各種計算機連網，拓寬了共享資源。但是，由于在早期網絡協(xié)議設計上對安全問題的忽視，以及在使用和管理上的無政府狀態(tài)，逐漸使Internet自身的安全受到嚴重威脅，與它有關的安全事故屢有發(fā)生。對網絡安全的威脅主要表現(xiàn)在：拒絕服務、非授權訪問、冒充合法用戶、破壞數(shù)據完整性、干擾系統(tǒng)正常運行、利用網絡傳播病毒、線路竊聽等方面。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。IDC以Internet技術體系作為基礎，主要特點是以TCP/IP為傳輸協(xié)議和以瀏覽器/WEB為處理模式。所以我們在IDC的設計中必須充分重視安全問題，盡可能的減少安全漏洞。此外，我們還應該根據IDC的客戶需求提供不同的安全服務，同時最大限度的保證IDC網絡管理中心（NOC）自身的安全。IDC的安全需求我們把對于IDC的安全需求分為三類：分別是IDC基本服務，IDC增值服務，IDCNOC。對于IDC基本服務的安全需求如下：AAA服務，提供認證，授權及審計的功能防Dos黑客攻擊功能線速ACL功能對于IDC增值服務的安全需求如下：AAA服務，提供認證，授權及審計的功能防Dos黑客攻擊功能線速ACL功能防火墻及防火墻平滑切換功能入侵檢測功能漏洞檢測功能線速NAT對于IDCNOC的安全需求如下：AAA服務，提供認證，授權及審計的功能防Dos黑客攻擊功能線速ACL功能防火墻及防火墻平滑切換功能入侵檢測功能漏洞檢測功能線速NATACL的策略管理安全元件的策略管理VPNAAA服務所謂AAA是（Authentication、Authorization、Accounting）的縮寫，即認證、授權、記帳功能，簡單的說：認證：用戶身份的確認，確定允許哪些用戶登錄，對用戶的身份的校驗。授權：當用戶登錄后允許該用戶可以干什么，執(zhí)行哪些操作的授權。記帳：記錄用戶登錄后干了些什么。AAA功能的實施需要兩部分的配合：支持AAA的網絡設備、AAA服務器。RADIUS/TACACS+是實施AAA常用的協(xié)議，認證軟件需要有完整的記帳功能，并且可以將USER信息直接導入軟件的用戶數(shù)據庫，極大方便的AAA服務的用戶管理。在使用AAA的功能后用戶通過網絡遠程登錄到網絡設備上的基本過程如下：用戶執(zhí)行遠程登錄命令（例如：Telnet），網絡設備提示輸入用戶姓名、口令。用戶輸入口令后，網絡設備向AAA服務器查詢該用戶是否有權登錄。AAA服務器檢索用戶數(shù)據庫，如果該用戶允許登錄則向網絡設備返回PERMIT信息和該用戶在該網絡設備上可執(zhí)行的命令同時將用戶登錄的時間、IP作詳細記錄；若不能在用戶數(shù)據庫中檢索到該用戶的信息則返回DENY信息，并可以根據設置向網管工作站發(fā)送SNMP的警告消息。當網絡設備得到AAA的應答后，可以根據應答的內容作出相應的操作，如果應答為DENY則關閉掉當前的SESSION進程；如果為PERMIT則根據AAA服務器返回的用戶權限為該用戶開啟SESSION進程，并將用戶所執(zhí)行的操作向AAA服務器進行報告。通過AAA的實施我們可以方便的控制網絡設備的安全性，同時結合ACL的設置限制能夠進行遠程登錄的工作站的數(shù)量、IP地址降低網絡設備受到攻擊的可能性。防DoS黑客攻擊在拒絕服務（DoS）攻擊中，惡意用戶向服務器發(fā)送多個認證請求，使其滿負載，并且所有請求的返回地址都是偽造的。當服務器企圖將認證結果返回給用戶時，它將無法找到這些用戶。在這種情況下，服務器只好等待，有時甚至會等待1分鐘才能關閉此次連接。當服務器關閉連接之后，攻擊者又發(fā)送新的一批虛假請求，以上過程又重復發(fā)生，直到服務器因過載而拒絕提供服務。分布式拒絕服務（DDOS）把DoS又向前發(fā)展了一步。DoS攻擊需要攻擊者手工操作，而DDOS則將這種攻擊行為自動化。與其他分布式概念類似，分布式拒絕服務可以方便地協(xié)調從多臺計算機上啟動的進程。在這種情況下，就會有一股拒絕服務洪流沖擊網絡，并使其因過載而崩潰。DDOS工作的基本概念如圖所示。黒客（client）在不同的主機（handler）上安裝大量的DoS服務程序，它們等待來自中央客戶端（client）的命令，中央客戶端隨后通知全體受控服務程序（agent），并指示它們對一個特定目標發(fā)送盡可能多的網絡訪問請求。該工具將攻擊一個目標的任務分配給所有可能的DoS服務程序，這就是它被叫做分布式DoS的原因。實際的攻擊并不僅僅是簡單地發(fā)送海量信息，而是采用DDOS的變種工具，這些工具可以利用網絡協(xié)議的缺陷使攻擊力更強大或者使追蹤攻擊者變得更困難。首先，現(xiàn)在的DDOS工具基本上都可以偽裝源地址。它們發(fā)送原始的IP包（rawIPpacket），由于Internet協(xié)議本身的缺陷，IP包中包括的源地址是可以偽裝的，這也是追蹤DDOS攻擊者很困難的主要原因。其次，DDOS也可以利用協(xié)議的缺陷，例如，它可以通過SYN打開半開的TCP連接，這是一個很老且早已為人所熟知的協(xié)議缺陷。為了使攻擊力更強，DDOS通常會利用任何一種通過發(fā)送單獨的數(shù)據包就能探測到的協(xié)議缺陷，并利用這些缺陷進行攻擊。防范攻擊的措施1。過濾進網和出網的流量網絡服務提供商應該實施進網流量過濾措施，目的是阻止任何偽造IP地址的數(shù)據包進入網絡，從而從源頭阻止諸如DDOS這樣的分布式網絡攻擊的發(fā)生或削弱其攻擊效果。2。采用網絡入侵檢測系統(tǒng)IDS當系統(tǒng)收到來自奇怪或未知地址的可疑流量時，網絡入侵檢測系統(tǒng)IDS（IntrusionDetectionSystems）能夠給系統(tǒng)管理人員發(fā)出報警信號，提醒他們及時采取應對措施，如切斷連接或反向跟蹤等。3。具體措施在路由器和Web交換機上，它將丟棄下列類型的數(shù)據幀：長度太短；幀被分段；源地址與目的地址相同；源地址為我們的內部地址，或源地址為子網廣播地址；源地址不是單播地址；源地址是環(huán)回地址；目的地址是環(huán)回地址；目的地址不是有效的單播或組播地址此外，對于HTTP數(shù)據流，WEB交換機必須在HTTP流啟動后的16秒內接受一個有效的幀，否則它將丟棄這個幀并中斷這個流；對于TCP數(shù)據流，WEB交換機必須在16秒內接受一個返回的ack，否則它將終止這個TCP流；對于任意嘗試過8次以上SYN的數(shù)據流，WEB交換機將終止這個流，并且停止處理同樣SYN，源地址，目的地址及端口號對的數(shù)據流。在核心交換機上我們可以用線速的ACL來達到上述類似的幀丟棄策略，我們還可以用CAR的方法對ping及SYN的數(shù)據流進行帶寬控制，以預防DDOS的攻擊。漏洞檢測漏洞檢測（VulnerabilityScanner）就是對重要計算機信息系統(tǒng)進行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。漏洞檢測的結果實際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。安全掃描服務器可以對網絡設備進行自動的安全漏洞檢測和分析，并且在實行過程中支持基于策略的安全風險管理過程。另外，互聯(lián)網掃描執(zhí)行預定的或事件驅動的網絡探測，包括對網絡通信服務、操作系統(tǒng)、路由器、電子郵件、Web服務器、防火墻和應用程序的檢測，從而去識別能被入侵者利用來進入網絡的漏洞。安全掃描服務器同時能進行系統(tǒng)掃描。系統(tǒng)掃描通過對企業(yè)內部操作系統(tǒng)安全弱點的完全的分析，幫助組織管理安全風險。系統(tǒng)掃描通過比較規(guī)定的安全策略和實際的主機配置來發(fā)現(xiàn)潛在的安全風險，包括缺少安全補丁、詞典中可猜的口令、不適當?shù)挠脩魴嘞?、不正確的系統(tǒng)登錄權限、不安全的服務配置和代表攻擊的可疑的行為。系統(tǒng)安全掃描還可以修復有問題的系統(tǒng)，自動產生文件所有權和文件權限的修復腳本。安全掃描服務器能提供實時入侵檢測和實時報警。當收到安全性消息時，圖形用戶界面上相應的主機狀態(tài)顏色和安全性消息組的圖標都應有相應變化，以幫助操作人員快速地確定報警的原因和范疇。入侵檢測入侵檢測（IntrudeDetection）具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據的完整性、識別攻擊行為、對異常行為進行統(tǒng)計、自動地收集和系統(tǒng)相關的補丁、進行審計跟蹤識別違反安全法規(guī)的行為、使用誘騙服務器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。實時入侵檢測系統(tǒng)解決方案，用于檢測、報告和終止整個網絡中未經授權的活動。它可以在Internet和內部網環(huán)境中操作，保護整個網絡。入侵檢測系統(tǒng)包括兩個部件：Sensor和Director。Sensor不影響網絡性能，它分析各個數(shù)據包的內容和上下文，決定流量是否未經授權。如果一個網絡的數(shù)據流遇到未經授權的活動，例如SATAN攻擊、PING攻擊或秘密的研究項目代碼字，Sensor可以實時檢測政策違規(guī)，給Director管理控制臺轉發(fā)告警，并從網絡刪除入侵者?；诰W絡的實時入侵檢測系統(tǒng)，能夠監(jiān)控整個數(shù)據網絡，需要是具備最新攻擊檢測功能的穩(wěn)健的全天候監(jiān)控和應答系統(tǒng)，能在本地、地區(qū)和總部監(jiān)視控制臺之間指導和轉發(fā)告警的分布式入侵檢測系統(tǒng)。同時需要能夠允許部署大量Sensor和Director的可伸縮的體系結構，在大型網絡環(huán)境中提供全面的覆蓋面，與現(xiàn)有網絡管理工具和實踐平滑集成的入侵檢測系統(tǒng)。入侵檢測系統(tǒng)通常具有的關鍵特性包括：對合法流量/網絡使用透明的實時入侵檢測對未經授權活動的實時應對可以阻止黑客訪問網絡或終止違規(guī)會話全面的攻擊簽名目錄可以檢測廣泛的攻擊，檢測基于內容和上下文的攻擊支持廣泛的速度和接口類型，包括10/100Mbps以太網、令牌環(huán)網和FDDI告警包括攻擊者和目的地IP地址、目的地端口、攻擊介紹以及捕獲的攻擊前鍵入的字符適合特大規(guī)模分布式網絡的可伸縮性專用VLANIDC環(huán)境是一個典型的多客戶的服務器群結構，每個托管客戶從一個公共的數(shù)據中心中的一系列服務器上提供Web服務。這樣，屬于不同客戶的服務器之間的安全就顯得至關重要。一個保證托管客戶之間安全的通用方法就是給每個客戶分配一個VLAN和相關的IP子網。通過使用VLAN，每個客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。然而，這種分配每個客戶單一VLAN和IP子網的模型造成了巨大的擴展方面的局限。這些局限主要有以下幾方面：VLAN的限制：LAN交換機固有的VLAN數(shù)目的限制復雜的STP：對于每個VLAN，一個相關的Spanning-tree的拓撲都需要管理IP地址的緊缺：IP子網的劃分勢必造成一些地址的浪費路由的限制：如果使用HSRP，每個子網都需相應的缺省網關的配置在一個IDC中，流量的流向幾乎都是在服務器與客戶之間，而服務器間的橫向的通信幾乎沒有。Cisco在IP地址管理方案中引入了一種新的VLAN機制，服務器同在一個子網中，但服務器只能與自己的缺省網關通信。這一新的VLAN特性就是專用VLAN（privateVLAN，pVLAN）。這種特性是Cisco公司的專有技術，但特別適用于IDC。 專用VLAN是第2層的機制，在同一個2層域中有兩類不同安全級別的訪問端口。與服務器連接的端口稱作專用端口（privateport），一個專用端口限定在第2層，它只能發(fā)送流量到混雜端口，也只能檢測從混雜端口來的流量?；祀s端口（promiscuousport）沒有專用端口的限定，它與路由器或第3層交換機接口相連。簡單地說，在一個專用VLAN內，專用端口收到的流量只能發(fā)往混雜端口