济宁高新区产学研基地网络解决方案
3.3.2.2 防IP/MAC地址扫描攻击
1) 防IP扫描攻击
地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时,触发ARP miss,使网络设备给该网段下的每个地址发送ARP报文,地址不存在的话,还需要发送目的主机不可达报文。如果直连网段较大,攻击流量足够大时,会消耗网络设备较多的CPU和内存资源,可引起网络中断。
园区交换机支持IP地址扫描攻击的防护能力,收到目的IP是直连网段的报文时,如果该目的地址的路由不存在,会发送一个ARP请求报文,并针对目的地址下一条丢弃表项(弃后续所有目的地址为该直连网段的ARP报文),以防止后续报文持续冲击CPU。如果有ARP应答,则立即删除相应的丢弃表项,并添加正常的路由表项;否则,经过一段时间后丢弃表项自动老化。这样,既防止直连网段扫描攻击对交换机造成影响,又保证正常业务流程的畅通。
在上述基础上,交换机还支持基于接口设置ARP miss的速率。当接口上触发的ARP miss超过设置的阈值时,接口上的ARP miss不再处理,直接丢弃。
如果用户使用相同的源IP进行地址扫描攻击,交换机还可以基于源IP做ARP miss统计。如果ARP miss的速率超过设定的阈值,则下发ACL将带有此源IP的报文进行丢弃,过一段时间后再允许通过。
2) 防MAC地址扫描攻击
以太网交换机的MAC地址转发表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文,园区交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项,由于MAC地址转发表的规格有限,会因为MAC扫描攻击而很快填充满,无法再学习生成新的MAC转发表,已学习的MAC表条目需通过老化方式删除,这样途径园区交换机大量的单播报文会因为按照目的MAC找不到转发表项而不得不进行广播发送,导致园区网络中产生大量的二层广播报文,消耗网络带宽、引发网络业务中断异常。
____________________________________________________________________________________________
33 - 11
济宁高新区产学研基地网络解决方案
交换机二层MAC转发表是全局共享资源,单板内各端口/VLAN共享一份MAC转发表,华为园区交换机支持基于端口/VLAN的MAC学习数目限制,同时支持MAC表学习速率限制,有效防御MAC地址扫描攻击行为。MAC学习数目达到端口/VLAN上设置的阈值时,会进行丢弃/转发/告警等动作(动作策略可定制、可叠加)。另外通过园区交换机的MAC地址与端口绑定来限制跨端口的MAC扫描攻击。
3.3.2.3 广播/组播报文抑制
攻击者不停地向园区网发送大量恶意的广播报文,恶意广播报文占据了大量的带宽,传统的广播风暴抑制无法识别用户VLAN,将导致正常的广播流量一并被交换机丢弃。园区网交换机需要识别恶意广播流量的VLAN ID,通过基于VLAN的广播风暴抑制丢弃恶意广播报文而不影响正常广播报文流量转发。可基于端口或VLAN限制广播报文流量百分比或速率阈值。
同时园区网交换机支持组播报文抑制,可基于端口限制组播报文流量百分比或速率阈值。
3.3.3 园区网边界防御
济宁高新区产学研基地网边界防御分为两个部分:园区出口边界防御、园区内部边界防御。
园区出口连接Internet和产学研基地WAN网的接入,产学研基地外部网路尤其Internet网络,是各种攻击行为、病毒传播、安全事件引入的风险点,通过在产学研基地出口部署高性能防火墙设备、或者在核心交换机内置防火墙模块,可以很好的缓解风险的传播,阻挡来自Internet/产学研基地外部网络攻击行为的发生。济宁高新区产学研基地出口位置部署的独立防火墙设备(或核心交换机内置的防火墙模块),需要满足高性能、高可靠、高安全的要求,是济宁高新区产学研基地网的第一道安全屏障。
园区内部边界防御是将产学研基地内部划分为多个区域,分为信任区域和非
____________________________________________________________________________________________
33 - 12
济宁高新区产学研基地网络解决方案
信任区域,分别实施不同的安全策略,包括部署区域间隔离、受限访问、防止来自区域内部的DOS攻击等安却措施。建议通过汇聚交换机上集成防火墙模块(单板)来实现园区内部的边界防御功能。
园区网中防火墙功能无论是独立设备部署还是集成在核心/汇聚交换机内部,都必须支持灵活的业务流控制策略配置,能把特定的流量引到防火墙进行处理,其他流量进行旁路。
防火墙本身需要保证高可靠性,可以考虑防火墙的冗余设计,支持Active/Active HA 设计方式,即交换机内集成的多块防火墙板卡支持负载分担和主备模式,不同交换机内的防火墙支持Active/Active模式,同时能够处理流量。
3.3.4 园区网出口安全
随着现代社会网络经济的发展,产学研基地日益发展扩大,办事处、分支机构以及商业合作伙伴逐步增多,如何将这些小型的办公网络和产学研基地总部网络进行经济灵活而有效的互联,并且与整个产学研基地网络安全方案有机融合,提高产学研基地信息化程度,优化商业运作效率,成为产学研基地IT网络设计亟待解决的问题;大量普及的SOHO网络、小型办公网络、智能家居网络也越来越注重接入的便捷性和网络安全性。
____________________________________________________________________________________________
33 - 13
济宁高新区产学研基地网络解决方案
济宁高新区产学研基地网出口设备是产学研基地内部网络与外部网络的连接点,其安全保证能力非常重要,产学研基地在信息化的过程中面临核心技术、商业机密泄密等信息安全问题,VPN技术是产学研基地传输数据非常理想的选择,因为VPN技术正式是为了解决在不安全的Internet上安全传输机密信息,保证信息的完整性、可用性以及保密性,包括IPSec VPN和SSL VPN。产学研基地办事处、分支机构以及商业合作伙伴如果采用主机VPN客户端接入产学研基地总部网络,那么分之机构网络中的每个主机需要单独拨号接入,VPN接入不可控造成内部网络安全隐患,同时也大量消耗产学研基地总部VPN网关隧道资源;如果采用单独的VPN网关与产学研基地总部网关建立VPN隧道,又面临投资过大的问题。需要有效解决产学研基地分支机构VPN接入灵活性、安全性和经济性之间的矛盾。
4 设备介绍
4.1 Quidway? S9300系列交换机
Quidway? S9300系列是华为公司面向以业务为核心的网络架构而推出的新一代高端智能T比特核心路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供业务流分析、完善的QOS策略、可控组播、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。
Quidway? S9300系列广泛适用于广域网、城域网,园区网络和数据中心核心、汇聚节点,帮助产学研基地构建面向应用的网络平台,提供交换路由一体化的端到端融合网络。
Quidway? S9300系列提供S9303、S9306、S9312三种产品形态,支持不断扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念,最小化备件成本,在保证设备扩展性的同时最大限度地保护用户投资。此外,S9300作为新一代智能交换机采用了多种绿色节能创新技术,在不断提升性能及稳定性的同时,大幅降低设备能源消耗,减小噪声污染,为网络绿色可持续发展提供领先的解决方案。
____________________________________________________________________________________________
33 - 14
济宁高新区产学研基地网络解决方案
产品特点
1) 先进交换架构提升网络扩展性
S9300采用先进的分布式交换技术,提供业界最大整机交换容量和槽位带宽。
创新的交换速率自适应技术,支持单端口速率40G、100G平滑升级,同时完美兼容现网板卡,保护初始投资。
背板通流能力充分考虑未来带宽升级对整机电源功率和散热需求,数据总线预留升级高速交换网能力。
超高万兆端口密度,单台设备支持576个万兆端口,助力济宁高新区产学研基地和数据中心迎来全万兆核心时代。
2) 创新的三平面架构设计
S9300在传统交换机数据转发、管理控制双平面基础上创新地增加了独立的环境监控平面,实现对单板、风扇和电源配电模块的监控、管理和维护。
业界首创的环境监控板,采用华为自主知识产权的高集成度中控芯片,实现硬件级的按流量动态调整功率、风扇分区控制、风扇智能调速、端口休眠技术等多项节能技术,在提升系统性能的同时大大降低整机功耗。
支持独立环境监控与网管联动,实现全面可视化管理。
____________________________________________________________________________________________
33 - 15
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库华为整体网络解决方案(3)在线全文阅读。
相关推荐: