交換機(jī)安全防范技術(shù)
評(píng)論: 更新日期:2016年03月30日
??? 二層訪問控制列表:根據(jù)源MAC地址���、源VLAN ID���、二層協(xié)議類型���、報(bào)文二層接收端口、報(bào)文二層轉(zhuǎn)發(fā)端口���、目的MAC地址等二層信息制定規(guī)則���,對(duì)數(shù)據(jù)進(jìn)行相應(yīng)處理。
??? 用戶自定義訪問控制列表:根據(jù)用戶的定義對(duì)二層數(shù)據(jù)幀的前80個(gè)字節(jié)中的任意字節(jié)進(jìn)行匹配���,對(duì)數(shù)據(jù)報(bào)文作出相應(yīng)的處理���。正確使用用戶自定義訪問控制列表需要用戶對(duì)二層數(shù)據(jù)幀的構(gòu)成有深入的了解。
??? 訪問控制列表在網(wǎng)絡(luò)設(shè)備中有著廣泛的應(yīng)用���,訪問控制列表配置���、啟用包括以下幾個(gè)步驟���,最好依次進(jìn)行,其中前兩個(gè)步驟可以不用配置���,采用默認(rèn)值���。
??? (1)配置時(shí)間段
??? 在系統(tǒng)視圖下使用time-range命令配置時(shí)間段。例如���,如果想在每周的上班時(shí)間8:00--16:00控制用戶訪問���,可以使用下面的命令:
??? time-range ourworingtime 8:00 to 16:00 working-day
??? (2)選擇交換機(jī)使用的流分類規(guī)則模式
??? 交換機(jī)只能選擇一種流分類規(guī)則模式:二層ACL模式或者三層ACL模式。在二層ACL模式下���,只有二層ACL可以被定義���、激活或者被其他應(yīng)用引用,三層ACL模式類似���?��?梢酝ㄟ^下面的命令來選擇使用L2或L3模式的流分類規(guī)則���。缺省情況下,選擇使用IP-based流分類規(guī)則模式���,即L3流分類規(guī)則。
??? 在系統(tǒng)視圖下進(jìn)行下列配置:
??? acl mode { ip-based | link-based }
??? (3)定義訪問控制列表(命令較多���,只以高級(jí)訪問控制列表為例)
??? ?��、龠M(jìn)入相應(yīng)的訪問控制列表視圖
??? acl { number acl-number | name acl-name advanced } [ match-order { config | auto } ]
??? ②定義訪問列表的子規(guī)則
??? 在系統(tǒng)視圖下使用rule命令配置規(guī)則���。
??? 例如���,如果想控制內(nèi)網(wǎng)10.10.2.0/24用戶在工作時(shí)間使用ftp下載,可以使用下面的命令:
??? acl number 3006
??? rule 1 deny tcp source 10.10.2.0 255.255.255.0 destination any destination-port eq ftp time-range ourworingtime
??? ?��、奂せ钤L問控制列表
??? 不同的交換機(jī)型號(hào)配置命令不太相同���,以S6500系列為例���,在QoS 視圖下進(jìn)行下列配置:
??? packet-filter inbound { ip-group { acl-number | acl-name } [ rule rule ] | link-group { acl-number | acl-name } [ rule rule ] }
??? 下期將為您介紹流量及端口限速控制技術(shù)、TCP屬性及CPU負(fù)載控制技術(shù)���、ARP技術(shù)���、登錄和訪問交換機(jī)控制技術(shù)、鏡像技術(shù)���。
??? 以下您將學(xué)到流量及端口限速控制技術(shù)���、TCP屬性及CPU負(fù)載控制技術(shù)、ARP技術(shù)���、登錄和訪問交換機(jī)控制技術(shù)���、鏡像技術(shù)。
??? 流量及端口限速控制技術(shù)
??? 為了防止因大流量數(shù)據(jù)傳輸引起的端口阻塞���,消除惡意用戶或者中毒用戶對(duì)網(wǎng)絡(luò)的影響���,可以采用流量及端口限速控制技術(shù)���。
??? <BR> 配置端口流量閾值
??? 通過配置端口流量閾值,系統(tǒng)可以周期性地對(duì)端口的數(shù)據(jù)流量進(jìn)行監(jiān)控���。當(dāng)端口的數(shù)據(jù)流量超出配置的閾值后���,系統(tǒng)將根據(jù)指定的方式進(jìn)行處理:自動(dòng)關(guān)閉端口并發(fā)送告警信息或僅發(fā)送告警信息。在以太網(wǎng)端口視圖下配置端口的流量閾值及超出閾值后的處理方式:
??? flow-constrain time-value flow-value { bps | pps }
??? flow-constrain method { shutdown | trap }
??? 流量監(jiān)管
??? 流量監(jiān)管是基于流的速率限制���,它可以監(jiān)督某一流量的速率���,如果流量超出指定的規(guī)格���,就采用相應(yīng)的措施���,如丟棄那些超出規(guī)格的報(bào)文或重新設(shè)置它們的優(yōu)先級(jí)。
??? 端口限速
??? 端口限速就是基于端口的速率限制���,它對(duì)端口輸出報(bào)文的總速率進(jìn)行限制���。
??? TCP屬性及CPU負(fù)載控制技術(shù)
??? 黑客掃描���、蠕蟲病毒等都會(huì)引起過多TCP連接,CPU負(fù)載過重與此也有關(guān)系���,適當(dāng)?shù)卣{(diào)整交換機(jī)的TCP屬性和送達(dá)CPU的報(bào)文���,可以有效地降低CPU負(fù)載。
??? 配置TCP 屬性
??? synwait定時(shí)器:當(dāng)發(fā)送SYN報(bào)文時(shí)���,TCP啟動(dòng)synwait定時(shí)器���,如果synwait超時(shí)前未收到回應(yīng)報(bào)文,則TCP連接將被終止���。synwait定時(shí)器的超時(shí)時(shí)間取值范圍為2~600秒���,缺省值為75秒:
??? tcp timer syn-timeout time-value
??? finwait定時(shí)器:當(dāng)TCP的連接狀態(tài)由FIN_WAIT_1變?yōu)镕IN_WAIT_2時(shí),啟動(dòng)finwait 定時(shí)器���,如果finwait定時(shí)器超時(shí)前仍未收到FIN報(bào)文���,則TCP連接被終止���。finwait的取值范圍為76~3600秒,finwait的缺省值為675秒:
??? tcp timer fin-timeout time-value
??? 面向連接Socket的接收和發(fā)送緩沖區(qū)的大?��。悍秶鸀?~32K字節(jié)���,缺省值為4K字節(jié):
??? tcp window window-size
??? 配置特殊IP報(bào)文是否送CPU處理
??? 在交換機(jī)的IP報(bào)文轉(zhuǎn)發(fā)過程中,通常重定向���、TTL超時(shí)及路由不可達(dá)的報(bào)文會(huì)送到CPU���,CPU在收到以上報(bào)文后會(huì)通知對(duì)方處理。但如果配置錯(cuò)誤或有人惡意攻擊���,則會(huì)造成CPU負(fù)載過重,這時(shí)便可通過下面的命令設(shè)置相應(yīng)報(bào)文不送CPU處理���,以保護(hù)系統(tǒng)的正常運(yùn)行���。缺省情況下,重定向、路由不可達(dá)的報(bào)文不送CPU處理���,TTL超時(shí)報(bào)文送CPU處理:
??? undo ip { redirects | ttl-expires | unreachables }
??? ARP技術(shù)
??? IP地址不能直接用來進(jìn)行通信���,因?yàn)殒溌穼拥木W(wǎng)絡(luò)設(shè)備只能識(shí)別MAC地址。ARP用于將IP地址解析為MAC地址���,ARP動(dòng)態(tài)執(zhí)行并自動(dòng)尋求IP地址到以太網(wǎng)MAC地址的解析���,無需管理員的介入,也可以手工維護(hù)���。通常將手工配置的IP地址到MAC地址的映射���,稱之為靜態(tài)ARP。
??? 免費(fèi)ARP技術(shù)通過對(duì)外發(fā)送免費(fèi)ARP報(bào)文���,防止通過各種ARP欺騙手段產(chǎn)生的攻擊���。
???
??? 動(dòng)態(tài)ARP老化定時(shí)器
??? 交換機(jī)允許用戶指定動(dòng)態(tài)ARP老化定時(shí)器的時(shí)間。動(dòng)態(tài)地址表的老化時(shí)間是指在該表項(xiàng)從交換機(jī)地址表中刪除之前的生存時(shí)間���,若定時(shí)器超時(shí)���,就將該表項(xiàng)從地址表中刪除���。缺省情況下,動(dòng)態(tài)ARP老化定時(shí)器為20分鐘:
??? arp timer aging aging-time
??? 免費(fèi)ARP技術(shù)
??? 免費(fèi)ARP功能:網(wǎng)絡(luò)中設(shè)備可以通過發(fā)送免費(fèi)ARP報(bào)文來確定其他設(shè)備的IP地址是否與自己沖突���。如果發(fā)送免費(fèi)ARP報(bào)文的設(shè)備正好改變了硬件地址���,那么這個(gè)報(bào)文就可以通知其他設(shè)備及時(shí)更新高速緩存中舊的硬件地址。例如:設(shè)備收到一個(gè)免費(fèi)ARP報(bào)文后���,如果高速緩存中已存在此報(bào)文對(duì)應(yīng)的ARP表項(xiàng)���,那么此設(shè)備就用免費(fèi)ARP報(bào)文中攜帶的發(fā)送端硬件地址(如以太網(wǎng)地址)對(duì)高速緩存中相應(yīng)的內(nèi)容進(jìn)行更新。設(shè)備接收到任何免費(fèi)ARP報(bào)文都要完成這個(gè)操作���。
??? 免費(fèi)ARP報(bào)文的特點(diǎn):報(bào)文中攜帶的源IP和目的IP地址都是本機(jī)地址���,報(bào)文源MAC地址是本機(jī)MAC地址���。當(dāng)設(shè)備收到免費(fèi)ARP報(bào)文后���,如果發(fā)現(xiàn)報(bào)文中的IP地址和自己的IP地址沖突���,則給發(fā)送免費(fèi)ARP報(bào)文的設(shè)備返回一個(gè)ARP應(yīng)答,告知該設(shè)備IP地址沖突���。缺省情況下���,交換機(jī)的免費(fèi)ARP報(bào)文發(fā)送功能處于開啟狀態(tài),免費(fèi)ARP報(bào)文學(xué)習(xí)功能處于關(guān)閉狀態(tài)���。在系統(tǒng)視圖下免費(fèi)ARP的配置過程如下:
??? arp send-gratuitous enable
??? gratuitous-arp-learning enable
???
??? 登錄和訪問交換機(jī)控制技術(shù)
??? 目前���,以太網(wǎng)交換機(jī)提供了多種用戶登錄、訪問設(shè)備的方式���,主要有通過Console口���、SNMP訪問、通過TELNET或SSH訪問和通過HTTP訪問等方式���。以太網(wǎng)交換機(jī)提供對(duì)這幾種訪問方式進(jìn)行安全控制的特性���,防止非法用戶登錄���、訪問交換機(jī)設(shè)備。
??? 安全控制分為兩級(jí):第一級(jí)安全通過控制用戶的連接實(shí)現(xiàn)���,通過配置ACL對(duì)登錄用戶進(jìn)行過濾���,只有合法用戶才能和交換機(jī)設(shè)備建立連接;第二級(jí)安全主要通過用戶口令認(rèn)證實(shí)現(xiàn)���,連接到設(shè)備的用戶必須通過口令認(rèn)證才能真正登錄到設(shè)備���。
??? 設(shè)置口令
??? 為防止未授權(quán)用戶的非法侵入,必須在不同登錄和訪問的用戶界面(AUX用戶界面用于通過Console口對(duì)以太網(wǎng)交換機(jī)進(jìn)行訪問���,VTY用戶界面用于通過Telnet對(duì)以太網(wǎng)交換機(jī)進(jìn)行訪問)設(shè)置口令���,包括容易忽略的SNMP的訪問口令(一定不要用“public”的默認(rèn)口令 )和Boot Menu口令,同時(shí)設(shè)置登錄和訪問的默認(rèn)級(jí)別和切換口令。
??? 在不同登錄和訪問的用戶界面���,使用如下命令設(shè)置口令:
??? authentication-mode password
??? set authentication password { cipher | simple } password
??? 配置ACL對(duì)登錄用戶進(jìn)行過濾
??? 通過配置ACL對(duì)登錄用戶進(jìn)行過濾控制,可以在進(jìn)行口令認(rèn)證之前將一些惡意或者不合法的連接請(qǐng)求過濾掉���,保證設(shè)備的安全���。配置ACL對(duì)登錄用戶進(jìn)行過濾控制需要定義訪問控制列表和引用訪問控制列表。
??? 配置舉例及步驟:僅允許來自10.10.1.66和10.10.1.78的TELNET用戶訪問交換機(jī):
??? # 定義基本訪問控制列表���。
??? [Quidway] acl number 2008 match-order config
??? [Quidway-acl-basic-2008] rule 1 permit source 10.10.1.66 0
??? [Quidway-acl-basic-2008] rule 2 permit source 10.10.1.78 0
??? [Quidway-acl-basic-2008] quit
??? # 引用訪問控制列表���。
??? [Quidway] user-interface vty 0 4
??? [Quidway-user-interface-vty0-4] acl 2008 inbound
??? 鏡像技術(shù)
??? 以太網(wǎng)交換機(jī)提供基于端口和流的鏡像功能,即可將指定的1個(gè)或多個(gè)端口的報(bào)文或數(shù)據(jù)包復(fù)制到監(jiān)控端口���,用于報(bào)文的分析和監(jiān)視���、網(wǎng)絡(luò)檢測和故障排除(以S6500系列為例):
??? mirroring-group groupId { inbound | outbound } mirroring-port-list &<1-8> mirrored-to mornitor-port
??? 由于大多數(shù)對(duì)局域網(wǎng)危害較大的網(wǎng)絡(luò)病毒和人為破壞都具有典型的欺騙和掃描、快速發(fā)包���、大量ARP請(qǐng)求等特征���,考慮局域網(wǎng)的實(shí)際情況���,綜合采用上述技術(shù)中的某幾種,在接入層���、匯聚層交換機(jī)上分級(jí)配置���,可以在一定程度上自動(dòng)阻斷惡意數(shù)據(jù)包,及時(shí)告警���,準(zhǔn)確定位病毒源���、故障或干擾點(diǎn),及時(shí)采取措施���,把對(duì)局域網(wǎng)的危害減輕到盡可能小的程度���。
???
