交換機(jī)安全防范技術(shù)
評(píng)論: 更新日期:2016年03月30日
在網(wǎng)絡(luò)實(shí)際環(huán)境中���,隨著計(jì)算機(jī)性能的不斷提升,針對(duì)網(wǎng)絡(luò)中的交換機(jī)、路由器或其它計(jì)算機(jī)等設(shè)備的攻擊趨勢(shì)越來越嚴(yán)重���,影響越來越劇烈。交換機(jī)作為局域網(wǎng)信息交換的主要設(shè)備���,特別是核心���、匯聚交換機(jī)承載著極高的數(shù)據(jù)流量,在突發(fā)異常數(shù)據(jù)或攻擊時(shí)���,極易造成負(fù)載過重或宕機(jī)現(xiàn)象���。為了盡可能抑制攻擊帶來的影響,減輕交換機(jī)的負(fù)載���,使局域網(wǎng)穩(wěn)定運(yùn)行���,交換機(jī)廠商在交換機(jī)上應(yīng)用了一些安全防范技術(shù),網(wǎng)絡(luò)管理人員應(yīng)該根據(jù)不同的設(shè)備型號(hào)���,有效地啟用和配置這些技術(shù)���,凈化局域網(wǎng)環(huán)境。本文以華為3COM公司的Quidway系列交換機(jī)為例���,分兩期為您介紹常用的安全防范技術(shù)和配置方法���。以下您將學(xué)到廣播風(fēng)暴控制技術(shù)、MAC地址控制技術(shù)���、DHCP控制技術(shù)及ACL技術(shù)���。
??? 廣播風(fēng)暴控制技術(shù)
??? 網(wǎng)卡或其它網(wǎng)絡(luò)接口損壞、環(huán)路���、人為干擾破壞���、黑客工具、病毒傳播���,都可能引起廣播風(fēng)暴���,交換機(jī)會(huì)把大量的廣播幀轉(zhuǎn)發(fā)到每個(gè)端口上,這會(huì)極大地消耗鏈路帶寬和硬件資源���?��?梢酝ㄟ^設(shè)置以太網(wǎng)端口或VLAN的廣播風(fēng)暴抑制比,從而有效地抑制廣播風(fēng)暴���,避免網(wǎng)絡(luò)擁塞。
??? 1.廣播風(fēng)暴抑制比
??? 可以使用以下命令限制端口上允許通過的廣播流量的大小���,當(dāng)廣播流量超過用戶設(shè)置的值后���,系統(tǒng)將對(duì)廣播流量作丟棄處理,使廣播所占的流量比例降低到合理的范圍���,以端口最大廣播流量的線速度百分比作為參數(shù)���,百分比越小,表示允許通過的廣播流量越小���。當(dāng)百分比為100時(shí)���,表示不對(duì)該端口進(jìn)行廣播風(fēng)暴抑制。缺省情況下���,允許通過的廣播流量為100%���,即不對(duì)廣播流量進(jìn)行抑制。在以太網(wǎng)端口視圖下進(jìn)行下列配置:
??? broadcast-suppression ratio
??? 2.為VLAN指定廣播風(fēng)暴抑制比
??? 同樣���,可以使用下面的命令設(shè)置VLAN允許通過的廣播流量的大小���。缺省情況下,系統(tǒng)所有VLAN不做廣播風(fēng)暴抑制���,即max-ratio值為100%���。
???
??? MAC地址控制技術(shù)
??? 以太網(wǎng)交換機(jī)可以利用MAC地址學(xué)習(xí)功能獲取與某端口相連的網(wǎng)段上各網(wǎng)絡(luò)設(shè)備的MAC 地址。對(duì)于發(fā)往這些MAC地址的報(bào)文���,以太網(wǎng)交換機(jī)可以直接使用硬件轉(zhuǎn)發(fā)���。如果MAC地址表過于龐大,可能導(dǎo)致以太網(wǎng)交換機(jī)的轉(zhuǎn)發(fā)性能的下降���。MAC攻擊利用工具產(chǎn)生欺騙的MAC地址���,快速填滿交換機(jī)的MAC表���,MAC表被填滿后,交換機(jī)會(huì)以廣播方式處理通過交換機(jī)的報(bào)文���,流量以洪泛方式發(fā)送到所有接口���,這時(shí)攻擊者可以利用各種嗅探工具獲取網(wǎng)絡(luò)信息。TRUNK接口上的流量也會(huì)發(fā)給所有接口和鄰接交換機(jī)���,會(huì)造成交換機(jī)負(fù)載過大���,網(wǎng)絡(luò)緩慢和丟包,甚至癱瘓���?��?梢酝ㄟ^設(shè)置端口上最大可以通過的MAC地址數(shù)量、MAC地址老化時(shí)間���,來抑制MAC攻擊���。
??? 1.設(shè)置最多可學(xué)習(xí)到的MAC地址數(shù)
??? 通過設(shè)置以太網(wǎng)端口最多學(xué)習(xí)到的MAC地址數(shù)���,用戶可以控制以太網(wǎng)交換機(jī)維護(hù)的MAC地址表的表項(xiàng)數(shù)量。如果用戶設(shè)置的值為count���,則該端口學(xué)習(xí)到的MAC地址條數(shù)達(dá)到count 時(shí),該端口將不再對(duì)MAC地址進(jìn)行學(xué)習(xí)���。缺省情況下���,交換機(jī)對(duì)于端口最多可以學(xué)習(xí)到的MAC地址數(shù)目沒有限制。
??? 在以太網(wǎng)端口視圖下進(jìn)行下列配置:
??? mac-address max-mac-count count
??? 2.設(shè)置系統(tǒng)MAC地址老化時(shí)間
??? 設(shè)置合適的老化時(shí)間可以有效實(shí)現(xiàn)MAC地址老化的功能���。用戶設(shè)置的老化時(shí)間過長(zhǎng)或者過短���,都可能導(dǎo)致以太網(wǎng)交換機(jī)廣播大量找不到目的MAC地址的數(shù)據(jù)報(bào)文,影響交換機(jī)的運(yùn)行性能���。如果用戶設(shè)置的老化時(shí)間過長(zhǎng)���,以太網(wǎng)交換機(jī)可能會(huì)保存許多過時(shí)的MAC地址表項(xiàng)���,從而耗盡MAC地址表資源,導(dǎo)致交換機(jī)無法根據(jù)網(wǎng)絡(luò)的變化更新MAC地址表���。如果用戶設(shè)置的老化時(shí)間太短���,以太網(wǎng)交換機(jī)可能會(huì)刪除有效的MAC地址表項(xiàng)。一般情況下���,推薦使用老化時(shí)間age的缺省值300秒���。
??? 在系統(tǒng)視圖下進(jìn)行下列配置: mac-address timer { aging age | no-aging }
???
??? 使用參數(shù)no-aging時(shí)表示不對(duì)MAC地址表項(xiàng)進(jìn)行老化。
??? 3.設(shè)置MAC地址表的老化時(shí)間
??? 這里的鎖定端口就是指設(shè)置了最大學(xué)習(xí)MAC地址數(shù)的以太網(wǎng)端口���。在以太網(wǎng)端口上使用命令mac-address max-mac-count設(shè)置端口能夠?qū)W習(xí)的最大地址數(shù)以后���,學(xué)習(xí)到的MAC地址表項(xiàng)將和相應(yīng)的端口綁定起來。如果某個(gè)MAC地址對(duì)應(yīng)的主機(jī)長(zhǎng)時(shí)間不上網(wǎng)或已移走���,它仍然占用端口上的一個(gè)MAC地址表項(xiàng)���,從而造成MAC地址在這5個(gè)MAC地址以外的主機(jī)將不能上網(wǎng)���。此時(shí)可以通過設(shè)置鎖定端口對(duì)應(yīng)的MAC地址表的老化時(shí)間,使長(zhǎng)時(shí)間不上網(wǎng)的主機(jī)對(duì)應(yīng)的MAC地址表項(xiàng)老化���,從而使其他主機(jī)可以上網(wǎng)���。缺省情況下,鎖定端口對(duì)應(yīng)的MAC地址表的老化時(shí)間為1小時(shí)���。
??? 在系統(tǒng)視圖下進(jìn)行下列配置:
??? lock-port mac-aging { age-time | no-age }
??? DHCP控制技術(shù)
??? DHCP Server可以自動(dòng)為用戶設(shè)置IP地址、掩碼���、網(wǎng)關(guān)���、DNS、WINS等網(wǎng)絡(luò)參數(shù)���,解決客戶機(jī)位置變化(如便攜機(jī)或無線網(wǎng)絡(luò))和客戶機(jī)數(shù)量超過可分配的IP地址的情況���,簡(jiǎn)化用戶設(shè)置,提高管理效率���。但在DHCP管理使用上���,存在著DHCP Server冒充���、DHCP Server的Dos攻擊、用戶隨意指定IP地址造成網(wǎng)絡(luò)地址沖突等問題���。
??? 1.三層交換機(jī)的DHCP Relay技術(shù)
??? 早期的DHCP協(xié)議只適用于DHCP Client和Server處于同一個(gè)子網(wǎng)內(nèi)的情況���,不可以跨網(wǎng)段工作。因此���,為實(shí)現(xiàn)動(dòng)態(tài)主機(jī)配置���,需要為每一個(gè)子網(wǎng)設(shè)置一個(gè)DHCP Server,這顯然是不經(jīng)濟(jì)的���。DHCP Relay的引入解決了這一難題:局域網(wǎng)內(nèi)的DHCP Client可以通過DHCP Relay與其他子網(wǎng)的DHCP Server通信���,最終取得合法的IP地址。這樣,多個(gè)網(wǎng)絡(luò)上的DHCP Client可以使用同一個(gè)DHCP Server���,既節(jié)省了成本���,又便于進(jìn)行集中管理。DHCP Relay配置包括:
??? ?��。?)配置IP 地址
??? 為了提高可靠性���,可以在一個(gè)網(wǎng)段設(shè)置主、備DHCP Server���。主���、備DHCP Server構(gòu)成了一個(gè)DHCP Server組���?��?梢酝ㄟ^下面的命令指定主、備DHCP Server的IP地址���。
??? 在系統(tǒng)視圖下進(jìn)行下列配置:
??? dhcp-server groupNo ip ipaddress1 [ ipaddress2 ]
??? ?��。?)配置VLAN接口對(duì)應(yīng)的組
??? 在VLAN接口視圖下進(jìn)行下列配置:
??? dhcp-server groupNo
??? ?��。?)使能/禁止VLAN 接口上的DHCP安全特性
??? 使能VLAN接口上的DHCP安全特性將啟動(dòng)VLAN接口下用戶地址合法性的檢查,這樣可以杜絕用戶私自配置IP地址擾亂網(wǎng)絡(luò)秩序���,同DHCP Server配合���,快速、準(zhǔn)確定位病毒或干擾源���。
??? 在VLAN接口視圖下進(jìn)行下列配置:
??? address-check enable
??? ?��。?)配置用戶地址表項(xiàng)
??? 為了使配置了DHCP Relay的VLAN內(nèi)的合法固定IP地址用戶能夠通過DHCP安全特性的地址合法性檢查,需要使用此命令為固定IP地址用戶添加一條IP地址和MAC地址對(duì)應(yīng)關(guān)系的靜態(tài)地址表項(xiàng)���。如果有另外一個(gè)非法用戶配置了一個(gè)靜態(tài)IP地址���,該靜態(tài)IP地址與合法用戶的固定IP地址發(fā)生沖突,執(zhí)行DHCP Relay功能的以太網(wǎng)交換機(jī)���,可以識(shí)別出非法用戶���,并拒絕非法用戶的IP與MAC地址的綁定請(qǐng)求���。
??? 在系統(tǒng)視圖下進(jìn)行下列配置:
??? dhcp-security static ip_address mac_address
??? 2.其它地址管理技術(shù)
??? 在二層交換機(jī)上,為了使用戶能通過合法的DHCP服務(wù)器獲取IP地址���,DHCP-Snooping安全機(jī)制允許將端口設(shè)置為信任端口與不信任端口���。其中信任端口連接DHCP服務(wù)器或其他交換機(jī)的端口;不信任端口連接用戶或網(wǎng)絡(luò)���。不信任端口將接收到的DHCP服務(wù)器響應(yīng)的DHCPACK和DHCPOFF報(bào)文丟棄���;而信任端口將此DHCP報(bào)文正常轉(zhuǎn)發(fā),從而保證了用戶獲取正確的IP地址���。
??? (1)開啟/關(guān)閉交換機(jī)DHCP-Snooping 功能
??? 缺省情況下���,以太網(wǎng)交換機(jī)的DHCP-Snooping功能處于關(guān)閉狀態(tài)���。
??? 在系統(tǒng)視圖下進(jìn)行下列配置���,啟用DHCP-Snooping功能:
??? dhcp-snooping
??? (2)配置端口為信任端口
??? 缺省情況下���,交換機(jī)的端口均為不信任端口���。
??? 在以太網(wǎng)端口視圖下進(jìn)行下列配置:
??? dhcp-snooping trust
??? (3)配置VLAN接口通過DHCP方式獲取IP地址
??? 在VLAN 接口視圖下進(jìn)行下列配置:
??? ip address dhcp-alloc
??? (4)訪問管理配置--配置端口/IP地址/MAC地址的綁定
??? 可以通過下面的命令將端口���、IP地址和MAC地址綁定在一起���,支持Port+IP、Port+MAC���、Port+IP+MAC���、IP+MAC綁定方式,防止私自移動(dòng)機(jī)器設(shè)備或?yàn)E用MAC地址攻擊���、IP地址盜用攻擊等���,但這種方法工作量巨大���。
??? ACL(訪問控制列表)技術(shù)
??? 為了過濾通過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包,需要配置一系列的匹配規(guī)則���,以識(shí)別需要過濾的對(duì)象���。在識(shí)別出特定的對(duì)象之后,網(wǎng)絡(luò)設(shè)備才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過���。訪問控制列表(Access Control List���,ACL)就是用來實(shí)現(xiàn)這些功能。ACL通過一系列的匹配條件對(duì)數(shù)據(jù)包進(jìn)行分類���,這些條件可以是數(shù)據(jù)包的源地址���、目的地址、端口號(hào)等���。ACL應(yīng)用在交換機(jī)全局或端口���,交換機(jī)根據(jù)ACL中指定的條件來檢測(cè)數(shù)據(jù)包,從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包���。訪問控制列表又可分為以下幾種類型���。
??? 基本訪問控制列表:根據(jù)三層源IP制定規(guī)則,對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的分析處理���。
??? 高級(jí)訪問控制列表:根據(jù)源IP���、目的IP、使用的TCP或UDP端口號(hào)���、報(bào)文優(yōu)先級(jí)等數(shù)據(jù)包的屬性信息制定分類規(guī)則���,對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的處理。高級(jí)訪問控制列表支持對(duì)三種報(bào)文優(yōu)先級(jí)的分析處理:TOS(Type Of Service)優(yōu)先級(jí)���、IP優(yōu)先級(jí)和DSCP優(yōu)先級(jí)���。
