公司數(shù)據(jù)中心建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)方案

1、公司數(shù)據(jù)中心建設(shè)網(wǎng)絡(luò)安全設(shè)計(jì)方案1.1網(wǎng)絡(luò)安全部署思路網(wǎng)絡(luò)安全整體架構(gòu)目前大多數(shù)的安全解決方案從本質(zhì)上來(lái)看是孤立的，沒 有形成一個(gè)完整的安全體系的概念，雖然已經(jīng)存在很多的安 全防護(hù)技術(shù)，如防火墻、入侵檢測(cè)系統(tǒng)、防病毒、主機(jī)加固 等，但是各個(gè)廠家鑒于各自的技術(shù)優(yōu)勢(shì)，往往厚此薄彼。必 須從全局體系架構(gòu)層次進(jìn)行總體的安全規(guī)劃和部署。XXX公司本次信息建設(shè)雖然僅包括數(shù)據(jù)中心、內(nèi)網(wǎng)樓層以及廣域網(wǎng)中心部分的改造和建設(shè)，但也必須從全局和架構(gòu) 的高度進(jìn)行統(tǒng)一的設(shè)計(jì)。建議采用目前國(guó)際最新的“信息保障技術(shù)框架（IATF ）”安全體系結(jié)構(gòu)，其明確提出需要考慮 3 個(gè)主要的 因素： 人、操作 和技術(shù)。本技術(shù)方案著重討

2、論技 術(shù)因素，人和操作則需要在非技術(shù)領(lǐng)域（比如安全規(guī)章制度） 方面進(jìn)行解決技術(shù)因素方面IATF提出了一個(gè)通用的框架，將信息系統(tǒng)的信息保障技術(shù)層面分為了四個(gè)技術(shù)框架域:?網(wǎng)絡(luò)和基礎(chǔ)設(shè)施： 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的防護(hù)?飛地邊界：解決邊界保護(hù)問題?局域計(jì)算環(huán)境：主機(jī)的計(jì)算環(huán)境的保護(hù)?支撐性基礎(chǔ)設(shè)施： 安全的信息環(huán)境所需要的支撐平并提出縱深防御的IA原則，即人、技術(shù)、操作相結(jié)合的 多樣性、多層疊的保護(hù)原則。如下圖所示：主要的一些安全技術(shù)和應(yīng)用在框架中的位置如下圖所示:r臺(tái) 平 支rkls: 土 火 防PKIWI和N VP弓理 C管碼覽 商11-j一牌 令代 病碼碼 代Ik丿離 全安U一網(wǎng)鋼的交4服勢(shì)層應(yīng)當(dāng)提

3、 供的支搏服錚十/I;層應(yīng)用需要解決的間題我們?cè)诒敬尉W(wǎng)絡(luò)建設(shè)改造中需要考慮的安全問題就是上圖中的“網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保護(hù)”、“邊界保護(hù)”兩個(gè)方面，而“計(jì)算機(jī)環(huán)境（主機(jī)）”、“支撐平臺(tái)”則是在系統(tǒng)主機(jī) 建設(shè)和業(yè)務(wù)應(yīng)用建設(shè)中需要重點(diǎn)考慮的安全問題。網(wǎng)絡(luò)平臺(tái)建設(shè)所必須考慮的安全問題高速發(fā)達(dá)的網(wǎng)絡(luò)平臺(tái)衍生現(xiàn)代的網(wǎng)絡(luò)病毒、蠕蟲、DDoS攻擊和黑客入侵等等攻擊手段，如果我們的防護(hù)手段依然停 留在對(duì)計(jì)算環(huán)境和信息資產(chǎn)的保護(hù)，將處于被動(dòng)。需要從網(wǎng) 絡(luò)底層平臺(tái)的建設(shè)開始，將安全防護(hù)的特性內(nèi)置于其中。因 此在SODC架構(gòu)中，安全是一個(gè)智能網(wǎng)絡(luò)應(yīng)當(dāng)對(duì)上層業(yè)務(wù)提 供的基本服務(wù)之一。XXX公司網(wǎng)絡(luò)從平臺(tái)安全角度的安全設(shè)計(jì)分

4、為以下三個(gè) 層次：設(shè)備級(jí)的安全： 需要保證設(shè)備本身的安全，因?yàn)樵O(shè)備本 身也越來(lái)越可能成為攻擊的最終目標(biāo)；網(wǎng)絡(luò)級(jí)的安全：網(wǎng)絡(luò)作為信息傳輸?shù)钠脚_(tái)，有第一時(shí)間 保護(hù)信息資源的能力和機(jī)會(huì)，包括進(jìn)行用戶接入認(rèn)證、授權(quán) 和審計(jì)以防止非法的接入，進(jìn)行傳輸加密以防止信息的泄漏 和窺測(cè)，進(jìn)行安全劃分和隔離以防止為授權(quán)的訪問等等；系統(tǒng)級(jí)的主動(dòng)安全： 智能的防御網(wǎng)絡(luò)必須能夠?qū)崿F(xiàn)所謂 “先知先覺”，在潛在威脅演變?yōu)榘踩糁凹右源胧?，包括通過(guò)準(zhǔn)入控制來(lái)使“健康”的機(jī)器才能接入網(wǎng)絡(luò)，通過(guò)事前探測(cè)即時(shí)分流來(lái)防止大規(guī)模DDoS攻擊，進(jìn)行全局的安全管理等。XXX公司應(yīng)在上述三個(gè)方面逐步實(shí)施。1.2網(wǎng)絡(luò)設(shè)備級(jí)安全網(wǎng)絡(luò)設(shè)備自身

5、安全包括設(shè)備本身對(duì)病毒和蠕蟲的防御 以及網(wǎng)絡(luò)協(xié)議本身的防范措施。有以下是本項(xiàng)目所涉及的網(wǎng) 絡(luò)設(shè)備和協(xié)議環(huán)境面臨的威脅和相應(yīng)的解決方案：防蠕蟲病毒的等 Dos攻擊數(shù)據(jù)中心雖然沒有直接連接Internet，但內(nèi)部專網(wǎng)中很多計(jì)算機(jī)并無(wú)法保證在整個(gè)使用周期內(nèi)不會(huì)接觸互聯(lián)網(wǎng)和各 種移動(dòng)存儲(chǔ)介質(zhì)，仍然會(huì)較多的面臨大量網(wǎng)絡(luò)蠕蟲病毒的威 脅，比如Red Code，SQL Slammer等等，由于它們經(jīng)常變 換特征，防火墻也不能完全對(duì)其進(jìn)行過(guò)濾，它們一般發(fā)作的 機(jī)理如下：?利用Microdsoft OS 或應(yīng)用的緩沖區(qū)溢出的漏洞獲得此主機(jī)的控制權(quán)?獲得此主機(jī)的控制權(quán)后，安裝病毒軟件，病毒軟件隨機(jī)生成大量的IP地

6、址，并向這些IP地址發(fā)送大 量的IP包。?有此安全漏洞的 MS OS會(huì)受到感染，也隨機(jī)生成大量IP地址，并向這些IP地址發(fā)送大量的IP包。?導(dǎo)致阻塞網(wǎng)絡(luò)帶寬，CPU利用率升高等?直接對(duì)網(wǎng)絡(luò)設(shè)備發(fā)出錯(cuò)包，讓網(wǎng)絡(luò)設(shè)備 CPU占用率 升高直至引發(fā)協(xié)議錯(cuò)誤甚至宕機(jī)因此需要在設(shè)備一級(jí)保證受到攻擊時(shí)本身的健壯性。此次XXX公司的核心交換機(jī)Nexus 7000、智能服務(wù)機(jī)箱Catalyst 6500 均支持硬件化的控制平面流量管制功能，可 以自主限制必須由 CPU親自進(jìn)行處理的信息流速，要求能 將包速管制閾值設(shè)定在CPU可健康工作的范圍內(nèi)，從根本上解決病毒包對(duì) CPU資源占用的問題，同時(shí)不影響由數(shù)據(jù) 平面正

7、常的數(shù)據(jù)交換。特別是Nexus 7000的控制平面保護(hù)機(jī)制是在板卡一級(jí)分布式處理的，具備在大型IDC中對(duì)大規(guī)模DDoS的防護(hù)能力。另外所有此類的蠕蟲和病毒都會(huì)利用偽造源IP地址進(jìn)行泛濫，局域網(wǎng)核心交換機(jī)和廣域網(wǎng)骨干路由器都應(yīng)當(dāng)支持對(duì) 轉(zhuǎn)發(fā)的包進(jìn)行源地址檢查，只有源地址合法的IP包才會(huì)被轉(zhuǎn) 發(fā)，這種技術(shù)稱為 Unicast Reverse Forwarding （ uRPF，單 播反轉(zhuǎn)路徑轉(zhuǎn)發(fā)）。該技術(shù)如果通過(guò) CPU實(shí)現(xiàn)，則在千兆以 上的網(wǎng)絡(luò)中將不具備實(shí)用性，而本次 XXX公司網(wǎng)絡(luò)中在萬(wàn)兆一級(jí)的三層端口支持通過(guò)硬件完成的uRPF功能。防VLAN的脆弱性配置在數(shù)據(jù)中心的不同安全域進(jìn)行防火墻訪問控

8、制隔離時(shí)， 存在多個(gè)VLAN，雖然廣泛采用端口捆綁、vPC等技術(shù)使正常工作中拓?fù)浜?jiǎn)化甚至完全避免環(huán)路，但由于網(wǎng)絡(luò)VLAN多且關(guān)系復(fù)雜，無(wú)法在工程上完全杜絕諸如網(wǎng)絡(luò)故障切換、誤 操作造成的臨時(shí)環(huán)路，因此有必要運(yùn)行生成樹協(xié)議作為二層 網(wǎng)絡(luò)中增加穩(wěn)定性的措施。但是，當(dāng)前有許多軟件都具有STP功能，惡意用戶在它的PC上安裝STP軟件與一個(gè) Switch相連，引起STP重新 計(jì)算，它有可能成為STP Root,因此所有流量都會(huì)流向惡意 軟件主機(jī)，惡意用戶可做包分析。局域網(wǎng)交換機(jī)應(yīng)具有 Root guard （根橋監(jiān)控）功能，可以有效防止其它Switch 成為STP Root。本項(xiàng)目我們?cè)谒性试S二層生成

9、樹協(xié)議的設(shè)備 上，特別是接入層中都將啟動(dòng)Root Guard 特性，另外Nexus5000/2000 還支持 BPDU filters, Bridge Assurance 等 生成樹特性以保證生成樹的安全和穩(wěn)定。還有一些惡意用戶編制特定的STP軟件向各個(gè) Vian加入，會(huì)引起大量的 STP的重新計(jì)算，引起網(wǎng)絡(luò)抖動(dòng)，CPU占用升高。本期所有接入層交換機(jī)的所有端口都將設(shè)置BPDU Guard 功能，一旦從某端口接收到惡意用戶發(fā)來(lái)的 STP BPDU,貝U禁止此端口。（三）防止ARP表的攻擊的有效手段 本項(xiàng)目大量使用了三層交換機(jī)，在發(fā)送數(shù)據(jù)前其工作方式同路由器一樣先查找 ARP，找到目的端的 MAC

10、地址，再 把信息發(fā)往目的。很多病毒可以向三層交換機(jī)發(fā)一個(gè)冒充的 ARP,將目的端的IP地址和惡意用戶主機(jī)的 MAC對(duì)應(yīng)，因 此發(fā)往目的端的包就會(huì)發(fā)往惡意用戶，以此實(shí)現(xiàn)包竊聽。在Host上配置靜態(tài)ARP是一種防止方式， 但是有管理 負(fù)擔(dān)加重，維護(hù)困難，并當(dāng)通信雙方經(jīng)常更換時(shí)，幾乎不能 及時(shí)更新。本期所使用的所有三層交換機(jī)都支持動(dòng)態(tài)ARPInspection 功能，可動(dòng)態(tài)識(shí)別 DHCP，記憶 MAC 地址和IP 地址的正確對(duì)應(yīng)關(guān)系，有效防止ARP的欺騙。實(shí)際配置中，主要配置對(duì)Server和網(wǎng)絡(luò)設(shè)備實(shí)施的 ARP欺騙，也可靜態(tài)人為設(shè)定，由于數(shù)量不多，管理也較簡(jiǎn)單123防止DHCP相關(guān)攻擊本項(xiàng)目中的樓

11、層網(wǎng)段會(huì)采用 DHCP Server服務(wù)器提 供用戶端地址，但是卻面臨著幾種與 DHCP服務(wù)相關(guān)的攻擊 方式，它們是：DHCP Server冒用：當(dāng)某一個(gè)惡意用戶再同一網(wǎng)段內(nèi) 也放一個(gè)DHCP服務(wù)器時(shí)，PC很容易得到這個(gè) DHCP server的分配的IP地址而導(dǎo)致不能上網(wǎng)。惡意客戶端發(fā)起大量 DHCP請(qǐng)求的DDos攻擊：惡意 客戶端發(fā)起大量 DHCP請(qǐng)求的DDos攻擊，則會(huì)使DHCP Server性能耗盡、CPU利用率升高。惡意客戶端偽造大量的 MAC地址惡意耗盡IP地址池應(yīng)采用如下技術(shù)應(yīng)對(duì)以上常見攻擊：?防DHCP Server冒用：此次新采購(gòu)的用戶端接入交換機(jī)應(yīng)當(dāng)支持DHCP Snoop

12、ing VACL, 只允許指 定DHCP Server的服務(wù)通過(guò)，其它的DHCP Server的服務(wù)不能通過(guò)Switch 擊：此次 新采購(gòu)的用戶端接入交換機(jī)應(yīng)當(dāng)支持對(duì) DHCP請(qǐng)求作流量限速，防止惡意客戶端發(fā)起大量DHCP請(qǐng)求的 DDos 攻擊，防止 DHCP Server的 CPU利用率升高。?惡意客戶端偽造大量的 MAC地址惡意耗盡IP地址池：此次新采購(gòu)的用戶端接入交換機(jī)應(yīng)當(dāng)支持DHCP option 82 字段插入，可以截?cái)嗫蛻舳?DHCP的請(qǐng)求，插入交換機(jī)的標(biāo)識(shí)、接口的標(biāo)識(shí)等發(fā)送給DHCP Server ；另外DHCP服務(wù)軟件應(yīng)支持針對(duì)此標(biāo)識(shí)來(lái)的請(qǐng)求進(jìn)行限量的IP地址分配，或者其它附加的安全分配策略和條件。1.3網(wǎng)絡(luò)級(jí)安全網(wǎng)絡(luò)級(jí)安全是網(wǎng)絡(luò)基礎(chǔ)設(shè)施在提供連通性服務(wù)的基礎(chǔ)上所增值的安全服務(wù)，在網(wǎng)絡(luò)平臺(tái)上直接實(shí)現(xiàn)這些安全功能 比采用獨(dú)立的物理主機(jī)實(shí)現(xiàn)具有更為強(qiáng)的靈活性、更好的性能和更方便的管理。在本次數(shù)據(jù)中心的設(shè)計(jì)范圍內(nèi)主要是訪問控制和隔離（防火墻技術(shù)）。從XXX公司全網(wǎng)看，集團(tuán)網(wǎng)絡(luò)、各地機(jī)構(gòu)廣域網(wǎng)、互聯(lián)網(wǎng)、內(nèi)部樓層、內(nèi)部數(shù)據(jù)中心等都是具備明顯不同安全要求 的網(wǎng)絡(luò)，按飛地邊界部