点击上方蓝字,关注我们
园区内网安全建议
园区网络的安全一般包含园区内网安全,比如设备登录安全,禁止非法用户登录;数据转发安全,保证数据在传输过程中不被截获或篡改等。还包含园区出口安全,在园区出口会部署专业安全设备防火墙,实现网络边界防护,有效阻止来自外网的安全威胁。
-
设备登录安全
如果是本地Console登录,强烈建议使用用户名和密码登录;如果是远程登录,则建议使用安全性较高的SSH协议(STelnet登录)。
-
不同网络层次的安全
比如:接入层作为园区网络的边界,需要防止非法的终端和用户进入网络,同时控制二层流量的转发行为;核心层作为网络的关键位置,其安全性更为重要,当核心设备作为集中认证点时,需要考虑CPU性能要能满足处理大量用户接入时的协议报文的能力,当核心设备作为网关时,还需考虑其ARP安全。
具体设计部署思路如下
1、设备登录安全策略部署:
(1)配置本地Console口登录的安全功能,配置Console口用户界面的认证方式和用户级别等。
(2)配置远程STelnet登录的安全功能,配置VTY用户界面的协议类型、认证方式和用户级别等。
(3)关闭Telnet登录功能,设置远程登录的来源接口,来源地址等。
2、接入层设备安全策略部署:
(1)配置流量抑制功能,对超过设定速率的广播、未知组播或未知单播报文进行丢弃或阻塞。建议在网络内部互联接口配置此功能,减少异常环路的广播风暴对整网业务的影响。
(2)配置风暴控制功能,对超过设定速率广播、未知组播或未知单播报文进行阻塞或关闭接口。在树形组网接口下挂用户网络时,建议配置此功能,防止用户网络广播风暴影响整个网络。
(3)配置DHCP Snooping功能,通过配置信任接口,利用合法的DHCP交互报文创建DHCP Snooping绑定表,对来自不信任接口的DHCP报文的进行匹配检查,将不匹配的DHCP报文进行丢弃。当主机通过DHCP获取IP地址时,建议在DHCP客户端的上层接入设备配置此功能,保证DHCP客户端从合法的DHCP服务器获取IP地址,防止DHCP服务器仿冒者攻击、仿冒DHCP报文攻击和DHCP报文泛洪攻击等。
(4)配置IPSG(IP源防攻击)功能,利用静态绑定表、DHCP Snooping绑定表或ND Snooping绑定表匹配检查收到的IP报文,将不匹配的IP报文进行丢弃。当主机通过DHCP获取IP地址或使用静态IP地址时,建议在与用户直连的接入设备上配置此功能,防止非法主机仿冒主机IP地址或私自更改IP地址攻击网络。
(5)配置DAI(动态ARP检查)功能,利用DHCP Snooping绑定表匹配检查收到的ARP报文,将不匹配的ARP报文进行丢弃。为防止中间人伪造ARP报文攻击,导致通信双方的数据被窃取时,建议配置此功能。
(6)配置端口安全功能,通过将接口学习到的动态MAC地址转换为安全MAC地址,阻止非法用户通过本接口和交换机通信。为增强主机接入的安全性,控制接入主机数量或防止仿冒主机从其他端口攻击时,建议配置此功能。
(7)配置端口隔离功能,将端口加入到隔离组中,配置隔离模式以及单向或双向隔离。为实现同一VLAN内端口之间的二层隔离或二三层均隔离时,建议配置此功能。
3、汇聚层设备安全策略部署:
(1)如果核心层作为用户网关,汇聚层下接了多个接入层设备,主要负责业务流量的二层转发,只需要配置端口隔离即可。
(2)如果汇聚层作为用户网关,相关的安全策略部署请参考核心层设备安全策略部署。
(3)如果汇聚层下接了终端设备,相关的安全策略部署请参考接入层设备安全策略部署。
4、核心层设备安全策略部署:
(1)配置CPU防攻击功能,将单位时间内上送CPU报文的数量限制在一定范围之内,从而保护CPU的安全。
(2)配置攻击溯源功能,根据攻击报文信息找出攻击源用户或攻击源接口,发送日志告警通知管理员并对攻击源实施惩罚。
(3)配置端口防攻击功能,通过对超过检查阈值的报文进行溯源和限速,避免因为攻击端口的报文挤占带宽而导致其他端口的报文无法正常上送CPU。
(4)配置用户级限速功能,基于MAC地址对特定用户上送CPU的报文进行限速,避免单个用户发起攻击时影响其他用户。
(5)配置ARP报文限速功能,防止设备因处理大量ARP报文,导致CPU负荷过重。
(6)配置ARP Miss消息限速功能,防止设备处理大量目的IP不能解析的报文,触发大量ARP Miss报文。
(7)配置临时ARP表项的老化功能,减少ARP Miss报文的触发频率。
(8)配置禁止过路ARP报文上送CPU功能,对过路ARP报文直接转发,提高设备防御ARP泛洪攻击的能力。
(9)配置ARP优化应答功能,堆叠系统的备/从交换机对目的IP是本系统接口IP地址的ARP请求报文直接回复ARP应答报文,提高堆叠系统防御ARP防泛洪攻击的能力。
(10)配置ARP表项严格学习功能,只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,防止设备收到大量ARP攻击报文时,ARP表被无效的ARP条目占满。
(11)配置ARP表项限制功能,限制设备接口只能学习到设定的最大动态ARP表项数目,防止当一个接口所接入的某一台用户主机发起ARP攻击时消耗整个设备的ARP表项资源。
(12)配置禁止接口学习ARP表项功能,防止该接口下所接入的用户主机发起ARP攻击时消耗整个设备的ARP表项资源。
(13)配置ARP表项固化功能,设备在第一次学习到ARP之后,不再允许用户更新此ARP表项或只能更新此ARP表项的部分信息,或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认,以防止攻击者伪造ARP报文修改正常用户的ARP表项内容。
(14)配置ARP防网关冲突功能,防止用户仿冒网关发送ARP报文,非法修改网络内其他用户的ARP表项。
(15)配置ARP网关保护功能,通过保护网关的IP地址,防止用户仿冒网关发送ARP报文,非法修改网络内其他用户的ARP表项。
(16)配置发送ARP免费报文功能,设备作为网关,主动向用户发送以自己IP地址为目标IP地址的ARP请求报文,定时更新用户ARP表项的网关MAC地址,防止用户的报文不能正常的转发到网关或者被攻击者窃听。
(17)配置ARP报文内MAC地址一致性检查功能,防止以太网数据帧首部中的源、目的MAC地址和ARP报文数据区中的源、目的MAC地址不一致的ARP欺骗攻击。
(18)配置ARP报文合法性检查功能,设备会对MAC地址和IP地址不合法的报文进行过滤。
(19)配置ARP表项严格学习功能,只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,防止设备收到大量ARP攻击报文时,ARP表被无效的ARP条目占满。
(20)配置DHCP触发ARP学习功能,设备根据收到的DHCP ACK报文直接生成ARP表项。当DHCP用户数目很大时,可以避免大规模ARP表项的学习和老化对设备性能和网络环境形成的冲击。
看都看完了,不如点这里试试
原文始发于微信公众号(老五说网络):园区内网中安全如何建设,接入层?汇聚层?核心层?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论