SAFE概述与设计准则
思科公司制定的面向企业网络的安全蓝图(SAFE)的主要目标是,为用户提供有关设计和实施安全网络的最佳实践信息。SAFE可作为正考虑其网络安全性要求的网络设计人员的指南。SAFE在网络安全设计方面采用了深入防御的方式。这类设计的重点在于所预测出的威胁及减轻威胁的方法,而不是单纯地“将防火墙放在这儿,将入侵检测系统放在那儿”等。该策略带来了一种安全分层方式,这样,一个安全系统的故障就不大可能引发对整个网络资源的损坏。SAFE以思科及其合作伙伴的产品为基础。
设计原则
SAFE最大限度地模拟了当今企业网络的功能需求。实施决策取决于所需的网络功能。而以下按重要顺序列出的设计目标则是决策制订过程的指导准则。
* 安全性和基于政策的攻击缓解;
* 整个基础设施的安全实施(而非仅为具体安全设备);
* 安全性管理和报告;
* 对关键网络资源的用户和管理员验证与授权;
* 针对关键资源和子网的入侵检测;
* 对新兴联网应用的支持。
模块概念
尽管大多数企业网络随企业不断提高的IT要求而发展,SAFE体系结构使用了环保型的模块化方式。模块化方式有两种主要优势。首先,它允许体系结构实现网络各功能块间的安全关系,其次,它让设计者可逐个模块地评估和实施安全性,而非试图在一个阶段就完成整个体系结构。
图1 SAFE第一层模块
图1为SAFE的第一层模块。每块代表一个功能区域。互联网接入服务供应商(ISP)模块不由企业实施,而是用于提供ISP为缓解某些攻击而可能需要的特定安全功能。
第二层模块如图2所示,对每个功能区中的模块进行了展示,这些模块在网络中扮演特定角色,有特定的安全需求,但图中模块规模并不代表其在实际网络中的大小。例如,代表最终用户设备的构建模块可能包括80%的网络设备。每个模块的安全设计单独描述,但作为整个企业设计的一部分加以验证。
图2 企业SAFE分块构成图
SAFE准则
路由器目标
路由器控制网络间接入。它们向网络广播信息并过滤可以使用它们的人,它们是黑客潜在的最好朋友。路由器安全性是安全部署中的关键元素。可参考其他有关路由器安全性的文件。这些文件提供了有关下列方面的更多细节:
远程通信网到路由器的接入; 简单网络管理协议(SNMP)到路由器的接入; 通过使用终端接入控制器接入控制系统+(TACACS+)来控制到路由器的接入; 关闭不需要的服务; 以适当级别登录;路由更新的验证。
交换机目标
和路由器一样,交换机(第2层和第3层)有自己的一套安全考虑。而与路由器不同的是,有关交换机安全风险及为减轻这些风险而应采取的措施的公开信息并不十分丰富。上一部分“路由器目标”中描述的大多数安全技术均适用于交换机。此外,您应采取以下预防措施。
* 无需中继的端口应将中继设备置于关闭而非自动。
* 确保中继端口使用的虚拟LAN (VLAN)号不会在交换机中的其他地方使用。
* 将交换机上所有未用端口设置为第3层连接的VLAN。
* 避免将VLAN用作保护两个子网间接入的唯一方式。
主机目标
主机在攻击中最有可能成为目标,从安全角度来讲,也是最难保护的。它们有众多的硬件平台、操作系统和应用,均在不同的时间段要升级、补丁和修复。因为主机向提出请求的其他主机提供应用服务,它们在网络中是高度可视的。
为保护主机,就必须密切注意系统中的每个组件。使系统保持与最新补丁、修复等的同步。此外,要注意这些补丁对其他系统组件的运行有所影响,在对生产环境实施升级前,在测试系统上对其进行评估。如不这样做,补丁本身就可能导致拒绝服务(DoS)。
网络目标
最糟的攻击是您无法中止的攻击。分布式拒绝服务(DDoS)正是这样一种攻击。
通过与其ISP合作,用户才有希望挫败这类攻击。ISP可配置对该公司网站输出接口的速率限制。
限制这类攻击的方法之一是遵循RFC 1918和RFC 2827中列出的指导。RFC 1918定义了保留专用且永远不应在公共互联网上看到的网络。对于与互联网相连的路由器上的输入信息流,您可采用RFC 1918和2827过滤来防止未授权信息流进入公司网络。在ISP实施后,该过滤能防止DDoS 攻击使用这些地址作为流经WAN链路的源地址的信息包,从而在攻击期间潜在地节约了带宽。总之,如果全球的ISP均采取了RFC 2827中的指导措施,源地址电子欺骗就会大大减少。此策略并未直接防止DDoS攻击,而是防止这类攻击破坏其源地址,这就会使跟踪所攻击网络更方便。
应用目标
应用(大多数时)是由人编写的,因此易于发生更多错误。这些错误可以是轻微的――如导致您文件错误打印的一个错误,也可以是恶意的――如使您信用卡号码经由异步FTP在数据库服务器上公布。入侵检测系统(IDS)旨在发现恶意问题,以及其他更常见的安全漏洞。思科建议将NIDS与HIDS系统组合起来――关键主机上设置HIDS、整个网络采用NIDS――来实现全面的入侵检测系统。
安全管理和报告
从体系结构的角度来说,提供网络系统的带外管理是适用于所有管理和报告策略的最好的第一步。设备应尽可能地与这样一个网络建立直接本地连接,在无法实现的情况下(由于地理原因或系统相关问题),设备应经由生产网络上的一条专用加密隧道与其连接。确保带外网络自身不会带来安全问题。
大多数联网设备可以发送系统日志数据,这些数据在对网络问题或安全威胁进行纠错时极为重要。
管理还指除记录和报告外,管理员对某一设备所执行的功能,可进行安全配置。鉴于底层协议有自身的安全漏洞,应最为小心地处理SNMP。
配置变更管理是另一个与安全管理相关的问题。当一个网络处于攻击下,重要的是了解主要网络设备的状态以及所知道的最后一次修改发生的时间。