數據中(zhōng)心安全
數據集中(zhōng)是管理集約化、精細化的必然要求,是企業優化業務流程、管理流程的的必要手段。目前,數據集中(zhōng)已經成爲國内電子政務、企業信息化建設的發展趨勢。數據中(zhōng)心的建設已成爲數據大(dà)集中(zhōng)趨勢下(xià)的必然要求。做爲網絡中(zhōng)數據交換最頻(pín)繁、資(zī)源最密集的地方,數據中(zhōng)心無疑是個充滿着巨大(dà)的誘惑的數字城堡,任何防護上的疏漏必将會導緻不可估量的損失,因此構築一(yī)道安全地防禦體(tǐ)系将是這座數字城堡首先面對的問題。
一(yī)、數據中(zhōng)心面對的安全挑戰
随着 Internet 應用日益深化,數據中(zhōng)心運行環境正從傳統客戶機/服務器向網絡連接的中(zhōng)央服務器轉型,受其影響,基礎設施框架下(xià)多層應用程序與硬件、網絡、操作系統的關系變得愈加複雜(zá)。這種複雜(zá)性也爲數據中(zhōng)心的安全體(tǐ)系引入許多不确定因素,一(yī)些未實施正确安全策略的數據中(zhōng)心,黑客和蠕蟲将順勢而入。盡管大(dà)多數系統管理員(yuán)已經認識到來自網絡的惡意行爲對數據中(zhōng)心造成的嚴重損害,而且許多數據中(zhōng)心已經部署了依靠訪問控制防禦來獲得安全性的設備,但對于日趨成熟和危險的各類攻擊手段,這些傳統的防禦措施仍然顯現的力不從心。
以下(xià)是當前數據中(zhōng)心面對的一(yī)些主要安全挑戰。
1.面向應用層的攻擊
常見的應用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、後門木馬等,最典型的應用攻擊莫過于“蠕蟲”。蠕蟲是指"通過計算機網絡進行自我(wǒ)複制的惡意程序,泛濫時可以導緻網絡阻塞和癱瘓"。從本質上講,蠕蟲和病毒的最大(dà)的區别在于蠕蟲是通過網絡進行主動傳播的,而病毒需要人的手工(gōng)幹預(如各種外(wài)部存儲介質的讀寫)。蠕蟲有多種形式,包括系統漏洞型蠕蟲、群發郵件型蠕蟲、共享型蠕蟲、寄生(shēng)型蠕蟲和混和型蠕蟲。其中(zhōng)最常見,變種最多的蠕蟲是群發郵件型蠕蟲,它是通過 EMAIL 進行傳播的,著名的例子包括"求職信"、"網絡天空 NetSky"、"雛鷹 BBeagle"等,2005 年 11 月爆發的"Sober"蠕蟲,是一(yī)個非常典型的群發郵件型蠕蟲。而傳播最快,範圍最廣、危害最大(dà)是系統漏洞型蠕蟲,例如利用 TCP 445 端口進行傳播的 windows PnP 服務漏洞到 2006 年第一(yī)季度還在肆虐它的餘威。
2.面向網絡層的攻擊
除了由于系統漏洞造成的應用攻擊外(wài),數據中(zhōng)心還要面對拒絕服務攻擊(DoS)和分(fēn)布式拒絕服務攻擊(DDoS)的挑戰。DOS/DDOS 是一(yī)種傳統的網絡攻擊方式,然而其破壞力卻十分(fēn)強勁。據 2004 美國 CSI/FBI 的計算機犯罪和安全調研分(fēn)析,DOS 和 DDOS 攻擊已成爲對企業損害最大(dà)的犯罪行爲,超出其他各種犯罪類型兩倍。
常見的 DDOS 攻擊方法有 SYN Flood、Established Connection Flood 和 Connection Per Second Flood。已發現的 DOS 攻擊程序有 ICMP Smurf、UDP 反彈,而典型的 DDOS 攻擊程序有 Zombie、TFN2K、Trinoo 和 Stacheldraht 等。DOS/DDoS 攻擊大(dà)行其道的原因主要是利用了 TCP/IP 的開(kāi)放(fàng)性原則,從任意源地址向任意目标地址都可以發送數據包。
DOS/DDOS 利用看似合理的海量服務請求來耗盡網絡和系統的資(zī)源,從而使合法用戶無法得到服務的響應。早期的 DOS 攻擊由單機發起,在攻擊目标的 CPU 速度不高、内存有限、網絡帶寬窄的情況下(xià)效果是明顯的。随着網絡和系統性能的大(dà)幅提高,CPU 的主頻(pín)已達數 G,服務器的内存通常在 2G 以上,此外(wài)網絡的吞吐能力已達萬兆,單機發起的 DoS 攻擊好比孤狼鬥猛虎,沒有什麽威脅。狼的習性是群居,一(yī)隻固然勢單力薄,但如果群起而攻之,恐怕猛虎也難抵擋,這就是分(fēn)布式拒絕服務攻擊的原理。用一(yī)台攻擊機來攻擊不再起作用的話(huà),攻擊者使用 10 台攻擊機、100 台呢共同發起攻擊呢?DDoS 就是利用大(dà)量的傀儡機來發起攻擊,積少成多超過網絡和系統的能力的極限,最終擊潰高性能的網絡和系統。
數據中(zhōng)心絕不允許DOS/DDOS垃圾報文肆虐于網絡之中(zhōng),因此如何實施邊界安全策略,如何“拒敵于國門之外(wài)”将是數據中(zhōng)心面臨的又(yòu)一(yī)個挑戰。
DDOS攻擊示意圖
3.對網絡基礎設施的攻擊
數據中(zhōng)心象一(yī)座擁有巨大(dà)财富的城堡,然而堅固的堡壘最容易從内部被攻破,來自數據中(zhōng)心内部的攻擊也更具破壞性。隐藏在企業内部的黑客不僅可以通過應用攻擊技術繞過防火(huǒ)牆,對數據中(zhōng)心的網絡造成損害,還可以憑借其網絡構架的充分(fēn)了解,通過違規訪問、嗅探網絡系統、攻擊路由器/交換機設備等手段,訪問非授權資(zī)源,這些行将對企業造成更大(dà)的損失。
“木桶的裝水量取決于最短的木闆”,涉及内網安全防護的部件産品非常多,從接入層設備到彙聚層設備再到核心層設備,從服務器到交換機到路由器、防火(huǒ)牆,幾乎每台網絡設備都将參與到系統安全的建設中(zhōng),任何部署點安全策略的疏漏都将成爲整個安全體(tǐ)系的短木闆。
“木桶的裝水量還取決于木闆間的緊密程度”,一(yī)個網絡的安全不僅依賴于單個部件産品的安全特性,也依賴于各安全部件之間的緊密協作。一(yī)個融合不同工(gōng)作模式的安全部件産品的無縫安全體(tǐ)系必須可以進行全面、集中(zhōng)的安全監管與維護。
因此,數據中(zhōng)心的安全防護體(tǐ)系不能僅依靠單獨的某個安全産品,還要依托整個網絡中(zhōng)各部件的安全特性。
二、安防措施
1.三重保護,多層防禦
以數據中(zhōng)心服務器資(zī)源爲核心向外(wài)延伸有三重保護功能。依拖具有豐富安全特性的交換機構成數據中(zhōng)心網絡的第一(yī)重保護;以
ASIC、FPGA 和 NP 技術組成的具有高性能精确檢測引擎的 IPS
提供對網絡報文深度檢測,構成對數據中(zhōng)心網絡的第二重保護;第三重保護是憑借高性能硬件防火(huǒ)牆構成的數據中(zhōng)心網絡邊界。
用一(yī)個形象的比喻來說明數據的三重保護。數據中(zhōng)心就像一(yī)個欣欣向榮的國家,來往的商(shāng)客就像訪問數據中(zhōng)心的報文;防火(huǒ)牆是駐守在國境線上的軍隊,一(yī)方面擔負着守衛國土防禦外(wài)族攻擊(DDOS)的重任,另一(yī)方面負責檢查來往商(shāng)客的身份(訪問控制);IPS
是國家的警察,随時準備捉拿雖然擁有合法身份,但仍在從事違法亂紀活動的商(shāng)客(蠕蟲病毒),以保衛社會秩序;具有各種安全特性的交換機就像商(shāng)鋪雇傭的保安,提供最基本的安全監管,時刻提防由内部人員(yuán)造成的破壞(STP
攻擊)。
在網絡中(zhōng)存在不同價值和易受攻擊程度不同的設備,按照這些設備的情況制定不同的安全策略和信任模型,将網絡劃分(fēn)爲不同區域,這就是所謂的分(fēn)區思想。數據中(zhōng)心網絡根據不同的信任級别可以劃分(fēn)爲:遠程接入區、園區網、Internet
服務器區、Extranet 服務器區、
Intranet 服務器區、管理區、核心區,如圖。
三、技術說明
1.VLAN端口隔離(lí)
交換機可以由硬件實現相同 VLAN 中(zhōng)的兩個端口互相隔離(lí)。隔離(lí)後這兩個端口在本設備内不能實現二、三層互通。當相同 VLAN 中(zhōng)的服務器之間完全沒有互訪要求時,可以設置各自連接的端口爲隔離(lí)端口,如圖。這樣可以更好的保證相同安全區域内的服務器之間的安全:
即使非法用戶利用後門控制了其中(zhōng)一(yī)台服務器,但也無法利用該服務器作爲跳闆攻擊該安全區域内的其他服務器。可以有效的隔離(lí)蠕蟲病毒的傳播,減小(xiǎo)受感染服務器可能造成的危害。比如:如果 Web 服務器遭到了 Code-Red 紅色代碼的破壞,即使其它 Web 服務器也在這個網段中(zhōng),也不會被感染。
2.STP Root/BPDU Guard
基于 Root/BPDU Guard 方式的二層連接保護保證 STP/RSTP 穩定,防止攻擊,保障可靠的二層連接
(1)BPDU Guard
對于接入層設備,接入端口一(yī)般直接與用戶終端(如 PC 機)或文件服務器相連,此時接入端口被設置爲邊緣端口以實現這些端口的快速遷移;當這些端口接受到配置消息(BPDU 報文)時系統會自動将這些端口設置爲非邊緣端口,重新計算生(shēng)成樹(shù),引起網絡拓撲的震蕩。這些端口正常情況下(xià)應該不會收到生(shēng)成樹(shù)協議的配置消息的。如果有人僞造配置消息惡意攻擊交換機,就會引起網絡震蕩。BPDU 保護功能可以防止這種網絡攻擊。交換機上啓動了 BPDU 保護功能以後,如果邊緣端口收到了配置消息,系統就将這些端口 shutdown,同時通知(zhī)網管。被 shutdown 的端口隻能由網絡管理人員(yuán)恢複。推薦用戶在配置了邊緣端口的交換機上配置 BPDU 保護功能。
(2)ROOT Guard
由于維護人員(yuán)的錯誤配置或網絡中(zhōng)的惡意攻擊,網絡中(zhōng)的合法根交換機有可能會收到優先級更高的配置消息,這樣當前根交換機會失去(qù)根交換機的地位,引起網絡拓撲結構的錯誤變動。這種不合法的變動,會導緻原來應該通過高速鏈路的流量被牽引到低速鏈路上,導緻網絡擁塞。Root 保護功能可以防止這種情況的發生(shēng)。
對于設置了 Root 保護功能的端口,端口角色隻能保持爲指定端口。一(yī)旦這種端口上收到了優先級高的配置消息,即其将被選擇爲非指定端口時,這些端口的狀态将被設置爲偵聽(tīng)狀态,不再轉發報文(相當于将此端口相連的鏈路斷開(kāi))。當在足夠長的時間内沒有收到更優的配置消息時,端口會恢複原來的正常狀态。
(3)LOOP PROTECTION
交換機的根端口和其他阻塞端口的狀态依靠不斷接收上遊交換機發送的 BPDU 來維持的。但是由于鏈路擁塞或者單向鏈路故障,這些端口會收不到上遊交換機的 BPDU。此時交換機會重新選擇根端口,根端口會轉變爲指定端口,而阻塞端口會遷移到轉發狀态,從而交換網絡中(zhōng)會産生(shēng)環路。環路保護功能會抑制這種環路的産生(shēng)。在啓動了環路保護功能後,根端口的角色如果發生(shēng)變化就會設置它爲 Discarding 狀态,阻塞端口會一(yī)直保持在 Discarding 狀态,不轉發報文,從而不會在網絡中(zhōng)形成環路。
(4)TC PROTECTION
根據 IEEE 802.1w 和 IEEE 802.1s 協議,交換機監測到拓撲變化或者接收到 TC 報文後會清空 MAC 表。如果受到 TC 攻擊(連續不斷收到 TC 報文)交換機就會一(yī)直進行 MAC 删除操作,影響正常的轉發業務。使能 TC PROTECTION 功能後,将減少删除 MAC 的次數,保證業務的正常運行。
3.端口安全
端口安全(Port Security)的主要功能就是通過定義各種安全模式,讓設備學習到合法的源 MAC 地址,以達到相應的網絡管理效果。對于不能通過安全模式學習到源 MAC 地址的報文或 802.1x 認證失敗的 0
當發現非法報文後,系統将觸發相應特性,并按照預先指定的方式自動進行處理,減少了用戶的維護工(gōng)作量,極大(dà)地提高了系統的安全性和可管理性。
4.防 IP 僞裝
(1)在 internet 出口處過濾 RFC3330 和 RFC1918 所描述的不可能在内外(wài)網之間互訪的 IP 地址。病毒和非法用戶很多情況會僞裝 IP 來實現攻擊。僞裝 IP 有三個用處:
①就是攻擊的直接功能體(tǐ)。比如 smurf 攻擊。
②麻痹網絡中(zhōng)的安全設施。比如繞過利用源 IP 做的接入控制。
③隐藏攻擊源
設備防止 IP 僞裝的關鍵在于如何判定設備接收到的報文的源 IP 是經過僞裝的。這種判定的方式有三種。分(fēn)别在内網和内外(wài)網的邊界使用。
由于現今 internet 上的大(dà)多數攻擊者都不具備很高的網絡技術水平,其攻擊手段僅僅是比較機械利用現有的攻擊工(gōng)具。同時一(yī)些攻擊工(gōng)具雖然做到了使用方便,但其攻擊方法設計也相對簡單,沒有辦法根據網絡實際狀況進行調整。因此,網絡中(zhōng)大(dà)多數的攻擊方式是帶有盲目性的。局域網在其 internet 出入口處過濾掉不可能出現的 IP 地址,可以緩解非法用戶簡單的随機僞裝 IP 所帶來的危害。
(2)網關防禦
利用 DHCP relay 特性,網關可以形成本網段下(xià)主機的 IP、MAC 映射表。當網關收到一(yī)個 ARP 報文時,會先在映射表中(zhōng)查找是否匹配現有的映射關系。如果找到則正常學習,否則不學習該 ARP。這樣僞裝 IP 的設備沒有辦法進行正常的跨網段通信。
(3)接入設備防禦
利用 DHCP SNOOPING 特性,接入設備通過監控其端口接收到的 DHCP request、ACK、 release 報文,也可以形成一(yī)張端口下(xià) IP、MAC 的映射表。設備可以根據 IP、MAC、端口的對應關系,下(xià)發 ACL 規則限制從該端口通過的報文源 IP 必須爲其從 DHCP 服務器獲取的 IP 地址。
5.數據中(zhōng)心網絡邊界安全技術
邊界安全的一(yī)項主要功能是實現網絡隔離(lí),通過防火(huǒ)牆可以把安全信任網絡和非安全網絡進行隔離(lí)。防火(huǒ)牆以其高效可靠的防攻擊手段,和靈活多變的安全區域配置策略擔負起是守護數據中(zhōng)心邊界安全的的重任。
(1)狀态防火(huǒ)牆
實現網絡隔離(lí)的基本技術是 IP 包過濾,ACL 是一(yī)種簡單可靠的技術,應用在路由器或交換機上可實現最基本的 IP 包過濾,但單純的 ACL 包過濾缺乏一(yī)定的靈活性。對于類似于應用 FTP 協議進行通信的多通道協議來說,配置 ACL 則是困難的。FTP 包含一(yī)個預知(zhī)端口的 TCP 控制通道和一(yī)個動态協商(shāng)的 TCP 數據通道,對于一(yī)般的 ACL 來說,配置安全策略時無法預知(zhī)數據通道的端口号,因此無法确定數據通道的入口。
狀态防火(huǒ)牆設備将狀态檢測技術應用在 ACL 技術上,通過對連接狀态的狀态的檢測,動态的發現應該打開(kāi)的端口,保證在通信的過程中(zhōng)動态的決定哪些數據包可以通過防火(huǒ)牆。狀态防火(huǒ)牆還采用基于流的狀态檢測技術可以提供更高的轉發性能,因爲基于 ACL 的包過濾技術是逐包檢測的,這樣當規則非常多的時候包過濾防火(huǒ)牆的性能會變得比較低下(xià),而基于流的狀态防火(huǒ)牆可以根據流的信息決定數據包是否可以通過防火(huǒ)牆,這樣就可以利用流的狀态信息決定對數據包的處理結果加快了轉發性能。
(2)防火(huǒ)牆 DOS/DDOS 防禦
Dos(Deny of service)是一(yī)類攻擊方式的統稱(DDos 也是 Dos 的一(yī)種),其攻擊的基本原理就是通過發送各種垃圾報文導緻網絡的阻塞、服務的癱瘓。Dos 攻擊方式其利用
IP 無連接的特點,可以制造各種不同的攻擊手段,而且攻擊方式非常簡單。
在 Internet 上非常流行,對企業網、甚至骨幹網都造成了非常嚴重的影響,引發很大(dà)的網絡事故,因此優秀的 Dos 攻擊防範功能是防火(huǒ)牆的必備功能。現在幾乎所有的防火(huǒ)牆設備都宣傳具有 Dos 攻擊防禦功能,但是那麽爲什麽 Dos 攻擊導緻網絡癱瘓的攻擊事件爲什麽還是層出不窮呢?一(yī)個優秀的 Dos 攻擊防禦體(tǐ)系,應該具有如下(xià)最基本的特征:
防禦手段的健全和豐富。因爲 Dos 攻擊手段種類比較多,因此必須具有豐富的防禦手段,才可以保證真正的抵禦 Dos 攻擊。
優秀的處理性能。因爲 Dos 攻擊伴随這一(yī)個重要特征就是網絡流量突然增大(dà),如果防火(huǒ)牆本身不具有優秀的處理能力,則防火(huǒ)牆在處理 Dos 攻擊的同時本身就成爲了網絡的瓶頸,根本就不可能抵禦 Dos 攻擊。因爲 Dos 攻擊的一(yī)個重要目的就是使得網絡癱瘓,網絡上的關鍵設備點發生(shēng)了阻塞,則 Dos 攻擊的目的就達到了。防火(huǒ)牆設備不但要注重轉發性能,同時一(yī)定要保證對業務的處理能力。在進行 Dos 攻擊防禦的過程中(zhōng),防火(huǒ)牆的每秒新建能力就成爲保證網絡通暢的一(yī)個重要指标,Dos 攻擊的過程中(zhōng),攻擊者都是在随機變化源地址因此所有的連接都是新建連接。
準确的識别攻擊能力。很多防火(huǒ)牆在處理 Dos 攻擊的時候,僅僅能保證防火(huǒ)牆後端的流量趨于網絡可以接受的範圍,但是不能保證準确的識别攻擊報文。這樣處理雖然可以保證網絡流量的正常,可以保證服務器不會癱瘓,但是這樣處理還是會阻擋正常用戶上網、訪問等的報文,因此雖然網絡層面是正常的,但是真正的服務還是被拒絕了,因此還是不能達到真正的 Dos 攻擊防禦的目的。SecPath 系列防火(huǒ)牆産品,在對上述各個方面都做了詳盡的考慮,因此 Dos 防禦的綜合性能、功能等方面在同類防火(huǒ)牆産品中(zhōng)都具有很強的優勢。
(3)防火(huǒ)牆TCP代理
Tcp 代理是爲防止 SYN Flood 類的 Dos 攻擊,而專門開(kāi)發的一(yī)個安全特性。
SYN Flood 攻擊可以很快的消耗服務器資(zī)源,導緻服務器崩潰。在一(yī)般的 Dos 防範技術中(zhōng),在攻擊發生(shēng)的時候不能準确的識别哪些是合法用戶,哪些是攻擊報文。采用 TCP 透明代理的方式實現了對這種攻擊的防範, 防火(huǒ)牆通過精确的驗證可以準确的發現攻擊報文,對正常報文依然可以通過允許這些報文訪問防火(huǒ)牆資(zī)源,而攻擊報文則被防火(huǒ)牆丢棄。有些攻擊是建立一(yī)個完整的 TCP 連接用來消耗服務器的資(zī)源。防火(huǒ)牆可以實現增強代理的功能,在客戶端與防火(huǒ)牆建立連接以後察看客戶是否有數據報文發送,如果有數據報文發送防火(huǒ)牆再與服務器端建立連接否則丢棄客戶端的報文。這樣可以保證即使采用完成 TCP 三次握手的方式消耗服務器資(zī)源,也可以被防火(huǒ)牆發現。
