要害词:数据中心、基础构架安全、边界安全、应用防护 摘 要:本文从当前以太网数据中心面临的安全问题入手,提出了一种以基础构架安全为依托,以边界防护为框架,以深度检测为核心的安全数据中心解决方案,将安全的理念渗透到整个数据中心网络的设计、部署和运维中。
1 技术应用背景
1.1 前言
数据集中是治理集约化、精细化的必然要求,是企业优化业务流程、治理流程的的必要手段。目前,数据集中已经成为国内电子政务、企业信息化建设的发展趋势。数据中心的建设已成为数据大集中趋势下的必然要求。做为网络中数据交换最频繁、资源最密集的地方,数据中心无疑是个布满着巨大的诱惑的数字城堡,任何防护上的疏漏必将会导致不可估量的损失,因此构筑一道安全地防御体系将是这座数字城堡首先面对的问题。
1.2 数据中心面对的安全挑战
随着Internet应用日益深化,数据中心运行环境正从传统客户机/服务器向网络连接的中心服务器转型,受其影响,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。尽管大多数系统治理员已经熟悉到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显现的力不从心。
以下是当前数据中心面对的一些主要安全挑战。
1.2.1 面向应用层的攻击
常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等,最典型的应用攻击莫过于“蠕虫”。蠕虫是指"通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪"。从本质上讲,蠕虫和病毒的最大的区别在于蠕虫是通过网络进行主动传播的,而病毒需要人的手工干预(如各种外部存储介质的读写)。蠕虫有多种形式,包括系统漏洞型蠕虫、群发邮件型蠕虫、共享型蠕虫、寄生型蠕虫和混和型蠕虫。其中最常见,变种最多的蠕虫是群发邮件型蠕虫,它是通过EMAIL进行传播的,闻名的例子包括"求职信"、"网络天空NetSky"、"雏鹰 BBeagle"等,2005年11月爆发的"Sober"蠕虫,是一个非常典型的群发邮件型蠕虫。而传播最快,范围最广、危害最大是系统漏洞型蠕虫,例如利用TCP 445端口进行传播的windows PnP服务漏洞到2006年第一季度还在肆虐它的余威。
图1 应用协议攻击穿透防火墙
应用攻击的共同特点是利用了软件系统在设计上的缺陷,并且他们的传播都基于现有的业务端口,因此应用攻击可以毫不费力的躲过那些传统的或者具有少许深度检测功能的防火墙。国际计算机安全协会 ICSA 实验室调查的结果显示,2005年病毒攻击范围提高了39%,重度被感染者提高了18%,造成的经济损失提高了31%,尤为引人注重的是,跨防火墙的应用层(ISO 7层)攻击提高了278%,即使在2004年,这一数字也高达249%。
摆在我们面前的大量证据表明,针对系统缺陷的应用攻击已成为数据中心面临的主要威胁。
造成应用攻击的根本原因在于软件开发人员编写程序时没有充分考虑异常情况的处理过程,当系统处理处理某些特定输入时引起内存溢出或流程异常,因此形成了系统漏洞。黑客利用系统漏洞可以获得对系统非授权资源的访问。来自CERT(计算机紧急事件相应组)报告指出,从1995年开到2004年已有超过12,000个漏洞被报告,而且自1999年以来,每年的数量都翻翻,增长如此迅猛,如下图所示:
点击查看大图
图2 1995-2005 CERT/CC统计发现的漏洞
如此多的漏洞,对数据中心意味着什么?系统安全小组必须及时采取行动获得补丁程序、测试、最后将其部署在服务器上,为什么不直接给服务器打补丁呢?因为不能保证补丁对应用系统没有影响,为了以防万一,必须对补丁程序进行测试和验证,然后才答应将其投入生产系统。从补丁程序获得、测试和验证,再到最终的部署,完成这一系列任务需要多长时间?答案是,可能需要几个小时到几天,而在此期间攻击可能已经发生,损失已无法挽回。这也就是所谓的“零时差攻击”。如下表所示,从系统漏洞被发现到产生针对性应用攻击的时间已从以年计算降至以天,以小时计算。
表1 系统漏洞与应用攻击爆发速度关系
应用攻击
系统漏洞与应用攻击爆发周期
MS05-039
24 小时
Witty
48小时 (2天)
Blast
1个月 (26天)
Slammer
6个月 (185天)
Nimida
11个月 (336天)
试想一下,这是一个何等恐怖的情况,数据中心庞大的服务器群还未来得及做出任何反应即遭到黑客发动的“闪击战”,大量敏感数据被盗用、网络险入瘫痪 ……。
因此,数据中心面临的另一个严重问题是如何应对由应用攻击造成的“零时差”效应。
1.2.2 面向网络层的攻击
除了由于系统漏洞造成的应用攻击外,数据中心还要面对拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)的挑战。DOS/DDOS是一种传统的网络攻击方式,然而其破坏力却十分强劲。据2004 美国CSI/FBI的计算机犯罪和安全调研分析,DOS和DDOS攻击已成为对企业损害最大的犯罪行为,超出其他各种犯罪类型两倍。
常见的DDOS攻击方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。已发现的DOS攻击程序有ICMP Smurf、UDP 反弹,而典型的DDOS攻击程序有Zombie、TFN2K、Trinoo 和 Stacheldraht等。DOS/DDoS攻击大行其道的原因主要是利用了TCP/ip的开放性原则,从任意源地址向任意目标地址都可以发送数据包。DOS/DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源,从而使合法用户无法得到服务的响应。早期的DOS攻击由单机发起,在攻击目标的CPU速度不高、内存有限、网络带宽窄的情况下效果是明显的。随着网络和系统性能的大幅提高,CPU的主频已达数G,服务器的内存通常在2G以上,此外网络的吞吐能力已达万兆,单机发起的DoS攻击好比孤狼斗猛虎,没有什么威胁。狼的习性是群居,一只固然势单力薄,但假如群起而攻之,恐怕猛虎也难反抗,这就是分布式拒绝服务攻击的原理。用一台攻击机来攻击不再起作用的话,攻击者使用10台攻击机、100台呢共同发起攻击呢?DDoS就是利用大量的傀儡机来发起攻击,积少成多超过网络和系统的能力的极限,最终击溃高性能的网络和系统。
数据中心绝不答应DOS/DDOS垃圾报文肆虐于网络之中,因此如何实施边界安全策略,如何“拒敌于国门之外”将是数据中心面临的又一个挑战。
1.2.3 对网络基础设施的攻击
数据中心象一座拥有巨大财富的城堡,然而坚固的堡垒最轻易从内部被攻破,来自数据中心内部的攻击也更具破坏性。隐藏在企业内部的黑客不仅可以通过应用攻击技术绕过防火墙,对数据中心的网络造成损害,还可以凭借其网络构架的充分了解,通过违规访问、嗅探网络系统、攻击路由器/交换机设备等手段,访问非授权资源,这些行将对企业造成更大的损失。
“木桶的装水量取决于最短的木板”,涉及内网安全防护的部件产品非常多,从接入层设备到汇聚层设备再到核心层设备,从服务器到交换机到路由器、防火墙,几乎每台网络设备都将参与到系统安全的建设中,任何部署点安全策略的疏漏都将成为整个安全体系的短木板。
“木桶的装水量还取决于木板间的紧密程度”,一个网络的安全不仅依靠于单个部件产品的安全特性,也依靠于各安全部件之间的紧密协作。一个融合不同工作模式的安全部件产品的无缝安全体系必须可以进行全面、集中的安全监管与维护。
因此,数据中心的安全防护体系不能仅依靠单独的某个安全产品,还要依托整个网络中各部件的安全特性。
2 技术特色
在这种咄咄逼人的安全形势下,数据中心需要一个全方位一体化的安全部署方式。华为3COM数据中心安全解决方案秉承了华为3COM一贯倡导的“安全渗透理念”,将安全部署渗透到整个数据中心的设计、部署、运维中,为数据中心搭建起一个立体的、无缝的安全平台,真正做到了使安全贯穿数据链路层到网络应用层的目标,使安全保护无处不在。
华为3COM数据中心安全解决方案的技术特色可用十二个字概括:三重保护、多层防御;分区规划,分层部署。
2.1 三重保护,多层防御
图3 数据中心三重安全保护
以数据中心服务器资源为核心向外延伸有三重保护功能。依拖具有丰富安全特性的交换机构成数据中心网络的第一重保护;以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的IPS提供对网络报文深度检测,构成对数据中心网络的第二重保护;第三重保护是凭借高性能硬件防火墙构成的数据中心网络边界。
用一个形象的比喻来说明数据的三重保护。数据中心就像一个欣欣向荣的国家,来往的商客就像访问数据中心的报文;防火墙是驻守在国境线上的军队,一方面担负着守卫国土防御外族攻击(DDOS)的重任,另一方面负责检查来往商客的身份(访问控制);IPS是国家的警察,随时预备捉拿虽然拥有合法身份,但仍在从事违法乱纪活动的商客(蠕虫病毒),以保卫社会秩序;具有各种安全特性的交换机就像商铺雇佣的保安,提供最基本的安全监管,时刻提防由内部人员造成的破坏(STP 攻击)。
点击查看大图
图4 数据中心多层安全防御
三重保护的同时为数据中心网络提供了从链路层到应用层的多层防御体系,如图。交换机提供的安全特性构成安全数据中心的网络基础,提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上,通过状态防火墙可以把安全信任网络和非安全网络进行隔离,并提供对DDOS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效治理,从而达到对网络应用层的保护。
2.2 分区规划,分层部署
在网络中存在不同价值和易受攻击程度不同的设备,按照这些设备的情况制定不同的安全策略和信任模型,将网络划分为不同区域,这就是所谓的分区思想。数据中心网络根据不同的信任级别可以划分为:远程接入区、园区网、Internet服务器区、Extranet服务器区、Intranet服务器区、治理区、核心区,如图。
图5 数据中心分区规划思想
所谓多层思想(n-Tier)不仅体现在传统的网络三层部署(接入-汇聚-核心)上,更应该关注数据中心服务器区(Server Farm)的设计部署上。服务器资源是数据中心的核心,多层架构把应用服务器分解成可治理的、安全的层次。“多层”指数据中心可以有任意数据的层次,但通常是3层。按照功能分层打破了将所有功能都驻留在单一服务器时带来的安全隐患,增强了扩展性和高可用性。
如图,第一层,Web服务器层,直接与接入设备相连,提供面向客户的应用;第二层,即应用层,用来粘合面向用户的应用程序、后端的数据库服务器或存储服务器;第三层,即数据库层,包含了所有的数据库、存储和被不同应用程序共享的原始数据。
图6 数据中心分层部署思想
3 要害技术说明
本节将按照“三重保护、多层防御”的思想,具体说明每种安全技术的应用模式。本节的最后还将介绍另一个不容忽视的问题-“数据中心网络治理安全技术”。
3.1.1 数据中心网络架构安全技术
网络基础架构的安全特性是数据中心中各部件产品基本安全特性的通称。架构安全特性涉及服务器、接入交换机、负载均衡器、汇聚交换机、核心交换机等设备,部署点多、覆盖面大,是构成整个安全数据中心的基石。
华为3COM凭借基于COMWARE的具有丰富安全特性全系列智能交换机为数据中心打造坚实的基础构架。COMWARE是由华为3COM推出的支持多种网络设备的网络操作系统,它以强大的IP转发引擎为核心,通过完善的体系结构设计,把实时操作系统和网络治理、网络应用、网络安全等技术完美的结合在一起。作为一个不断发展、可持续升级的平台,它具有开放的接口,可灵活支持大量的网络协议和安全特性。COMWARE可应用在分布式或集中式的网络设备构架之上,也就是说,不仅可以运行在高端的交换机/路由器上,而且也可以运行在中低端的交换机/路由器上,不向其它厂商,不同的软件运行在不同的设备上。COMWARE的这一特性可使网络中各节点设备得到同一的安全特性,彻底避免了由于部件产品安全特性不一致、不统一造成的安全“短木板效应”。
图7 数据中心基础架构安全相关架构
1. 基于VLAN的端口隔离
交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的服务器之间完全没有互访要求时,可以设置各自连接的端口为隔离端口,如图。这样可以更好的保证相同安全区域内的服务器之间的安全:
? 即使非法用户利用后门控制了其中一台服务器,但也无法利用该服务器作为跳板攻击该安全区域内的其他服务器。
? 可以有效的隔离蠕虫病毒的传播,减小受感染服务器可能造成的危害。比如:假如Web服务器遭到了Code-Red红色代码的破坏,即使其它Web服务器也在这个网段中,也不会被感染。
图8 交换机Isolated Vlan 技术
2. STP Root/BPDU Guard
基于Root/BPDU Guard方式的二层连接保护保证STP/RSTP稳定,防止攻击,保障可靠的二层连接。如图。
图9 交换机Root Guard/BPDU Guard 技术
l BPDU Guard
对于接入层设备,接入端口一般直接与用户终端(如PC机)或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口的快速迁移;当这些端口接受到配置消息(BPDU报文)时系统会自动将这些端口设置为非边缘端口,重新计算生成树,引起网络拓扑的震荡。这些端口正常情况下应该不会收到生成树协议的配置消息的。假如有人伪造配置消息恶意攻击交换机,就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。
交换机上启动了BPDU保护功能以后,假如边缘端口收到了配置消息,系统就将这些端口shutdown,同时通知网管。被shutdown的端口只能由网络治理人员恢复。推荐用户在配置了边缘端口的交换机上配置BPDU保护功能。
l ROOT Guard
由于维护人员的错误配置或网络中的恶意攻击,网络中的合法根交换机有可能会收到优先级更高的配置消息,这样当前根交换机会失去根交换机的地位,引起网络拓扑结构的错误变动。这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞。Root保护功能可以防止这种情况的发生。
对于设置了Root保护功能的端口,端口角色只能保持为指定端口。一旦这种端口上收到了优先级高的配置消息,即其将被选择为非指定端口时,这些端口的状态将被设置为侦听状态,不再转发报文(相当于将此端口相连的链路断开)。当在足够长的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。
l LOOP PROTECTION
交换机的根端口和其他阻塞端口的状态依靠不断接收上游交换机发送的BPDU来维持的。但是由于链路拥塞或者单向链路故障,这些端口会收不到上游交换机的BPDU。此时交换机会重新选择根端口,根端口会转变为指定端口,而阻塞端口会迁移到转发状态,从而交换网络中会产生环路。环路保护功能会抑制这种环路的产生。在启动了环路保护功能后,根端口的角色假如发生变化就会设置它为Discarding状态,阻塞端口会一直保持在Discarding状态,不转发报文,从而不会在网络中形成环路。
l TC PROTECTION
根据IEEE 802.1w和IEEE 802.1s协议,交换机监测到拓扑变化或者接收到TC报文后会清空MAC表。假如受到TC攻击(连续不断收到TC报文)交换机就会一直进行MAC删除操作,影响正常的转发业务。使能TC PROTECTION功能后,将减少删除MAC的次数,保证业务的正常运行。
3. 端口安全
端口安全(Port Security)的主要功能就是通过定义各种安全模式,让设备学习到合法的源MAC地址,以达到相应的网络治理效果。对于不能通过安全模式学习到源MAC地址的报文或802.1x认证失败的0
当发现非法报文后,系统将触发相应特性,并按照预先指定的方式自动进行处理,减少了用户的维护工作量,极大地提高了系统的安全性和可治理性。
端口安全的特性包括:
NTK:NTK(Need To Know)特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
Intrusion Protection:该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码,发现非法报文或非法事件,并采取相应的动作,包括暂时断开端口连接、永久断开端口连接或是过滤此MAC地址的报文,保证了端口的安全性。
Device Tracking:该特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送Trap信息,便于网络治理员对这些非凡的行为进行监控。
表2 端口的安全模式:
安全模式类型
描述
特性说明
secure
禁止端口学习MAC地址,只有源MAC为端口上已经配置的静态MAC的报文,才能通过该端口
在左侧列出的模式下,当设备发现非法报文后,将触发NTK特性和Intrusion Protection特性
userlogin
对接入用户采用基于端口的802.1x认证
此模式下NTK特性和Intrusion Protection特性不会被触发
userlogin-secure
接入用户必须先通过802.1x认证,认证成功后端口开启,但也只答应认证成功的用户报文通过;
此模式下,端口最多只答应接入一个经过802.1x认证的用户;
当端口从正常模式进入此安全模式时,端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除
在左侧列出的模式下,当设备发现非法报文后,将触发Need To Know特性和Intrusion Protection特性
userlogin-withoui
与userlogin-secure类似,端口最多只答应一个802.1x认证用户,但同时,端口还答应一个oui地址的报文通过;
当用户从端口的正常模式进入此模式时,端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除
mac-authentication
基于MAC地址对接入用户进行认证
userlogin-secure-or-mac
表示mac-authentication和userlogin-secure模式下的认证可以同时进行,假如都认证通过的话,userlogin-secure的优先级高于mac-authentication模式
userlogin-secure-else-mac
表示先进行mac-authentication认证,假如成功则表明认证通过,假如失败则再进行userlogin-secure认证
userlogin-secure-ext
与userlogin-secure类似,但端口下的802.1x认证用户可以有多个
userlogin-secure-or-mac-ext
与userlogin-secure-or-mac类似,但端口下的802.1x认证用户可以有多个
userlogin-secure-else-mac-ext
与mac-else-userlogin-secure类似,但端口下的802.1x认证用户可以有多个
4. 防IP伪装
病毒和非法用户很多情况会伪装IP来实现攻击。伪装IP有三个用处:
? 本身就是攻击的直接功能体。比如smurf攻击。
? 麻痹网络中的安全设施。比如绕过利用源IP做的接入控制。
? 隐藏攻击源
设备防止IP伪装的要害在于如何判定设备接收到的报文的源IP是经过伪装的。这种判定的方式有三种。分别在内网和内外网的边界使用。
l 在internet出口处过滤RFC3330和RFC1918所描述的不可能在内外网之间互访的IP地址。
由于现今internet上的大多数攻击者都不具备很高的网络技术水平,其攻击手段仅仅是比较机械利用现有的攻击工具。同时一些攻击工具虽然做到了使用方便,但其攻击方法设计也相对简单,没有办法根据网络实际状况进行调整。因此,网络中大多数的攻击方式是带有盲目性的。局域网在其internet出入口处过滤掉不可能出现的IP地址,可以缓解非法用户简单的随机伪装IP所带来的危害。
l 利用IP和MAC的绑定关系
? 网关防御
利用DHCP relay特性,网关可以形成本网段下主机的IP、MAC映射表。当网关收到一个ARP报文时,会先在映射表中查找是否匹配现有的映射关系。假如找到则正常学习,否则不学习该ARP。这样伪装IP的设备没有办法进行正常的跨网段通信。
? 接入设备防御
利用DHCP SNOOPING特性,接入设备通过监控其端口接收到的DHCP request、ACK、release报文,也可以形成一张端口下IP、MAC的映射表。设备可以根据IP、MAC、端口的对应关系,下发ACL规则限制从该端口通过的报文源IP必须为其从DHCP 服务器获取的IP地址。
l UPRF
UPRF会检测接收到的报文中的源地址是否和其接收报文的接口相匹配。其实现机制如下:设备接收到报文后,UPRF会比较该报文的源地址在路由表中对应的出接口是否和接收该报文的接口一致。假如两者不一致,则将报文丢弃。
5. 路由协议认证
攻击者也可以向网络中的设备发送错误的路由更新报文,使路由表中出现错误的路由,从而引导用户的流量流向攻击者的设备。为了防止这种攻击最有效的方法就是使用局域网常用路由协议时,必须启用路由协议的认证。
? OSPF协议,支持邻居路由器之间的明文/md5认证和OSPF区域内的明文/MD5认证;
? RIPv2协议,支持邻居路由器之间的明文/MD5认证
另外,在不应该出现路由信息的端口过滤掉所有路由报文也是解决方法之一。但这种方法会消耗掉许多ACL资源。
3.1.2 数据中心网络边界安全技术
边界安全的一项主要功能是实现网络隔离,通过防火墙可以把安全信任网络和非安全网络进行隔离。华为3COM SecPath系列防火墙以其高效可靠的防攻击手段,和灵活多变的安全区域配置策略担负起是守护数据中心边界安全的的重任。
1. 状态防火墙
实现网络隔离的基本技术是IP包过滤,ACL是一种简单可靠的技术,应用在路由器或交换机上可实现最基本的IP包过滤,但单纯的ACL包过滤缺乏一定的灵活性。对于类似于应用FTP协议进行通信的多通道协议来说,配置ACL则是困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道,对于一般的ACL来说,配置安全策略时无法预知数据通道的端口号,因此无法确定数据通道的入口。
状态防火墙设备将状态检测技术应用在ACL技术上,通过对连接状态的状态的检测,动态的发现应该打开的端口,保证在通信的过程中动态的决定哪些数据包可以通过防火墙。状态防火墙还采用基于流的状态检测技术可以提供更高的转发性能,因为基于ACL的包过滤技术是逐包检测的,这样当规则非常多的时候包过滤防火墙的性能会变得比较低下,而基于流的状态防火墙可以根据流的信息决定数据包是否可以通过防火墙,这样就可以利用流的状态信息决定对数据包的处理结果加快了转发性能。
2. 防火墙安全区域治理
边界安全的一项主要功能是网络隔离,并且这种网络隔离技术不是简单的依靠网络接口来划分的,因为网络的实际拓扑是千差万别的,使用固定接口来进行网络隔离不能适应网络的实际要求。SecPath防火墙提供了基于安全区域的隔离模型,每个安全区域可以按照网络的实际组网加入任意的接口,因此SecPath的安全治理模型是不会受到网络拓扑的影响。
业界很多防火墙一般都提供受信安全区域(trust)、非受信安全区域(untrust)、非军事化区域(DMZ)三个独立的安全区域,这样的保护模型可以适应大部分的组网要求,但是在一些安全策略要求较高的场合,这样的保护模型还是不能满足要求。
SecPath防火墙默认提供四个安全区域:trust、untrust、DMZ、local,在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域,本地安全区域可以定义到防火墙本身的报文,保证了防火墙本身的安全防护,使得对防火墙本身的安全保护得到加强。例如,通过对本地安全区域的报文控制,可以很轻易的防止不安全区域对防火墙本身的Telnet、ftp等访问。SecPath防火墙还提供自定义安全区域,可以最大定义16个安全区域,每个安全区域都可以加入独立的接口。
SecPath系列防火墙支持根据不同的安全区域之间的访问设计不同的安全策略组,每条安全策略组支持若干个独立的规则。这样的规则体系使得防火墙的策略十分轻易治理,方面用户对各种逻辑安全区域的独立治理。部分防火墙还是采用基于接口的安全策略治理机制,如图。
图10 防火墙安全区域治理
两个接口:trust接口和DMZ接口共享untrust接口访问internet,假如在接口上使用安全策略进行控制,则会导致策略混乱。因为在untrust接口流量中,即有从DMZ和internet之间的流量,也有从trust和internet之间的流量。这样的策略控制模型不适合用户进行策略配置。而基于安全区域的策略控制模型,可以清楚的分别定义从trust到untrust、从DMZ到untrust之间的各种访问,这样的策略控制模型使得SecPath防火墙的网络隔离功能具有很好的治理能力。
3. 防火墙DOS/DDOS防御
Dos(Deny of service)是一类攻击方式的统称(DDos也是Dos的一种),其攻击的基本原理就是通过发送各种垃圾报文导致网络的阻塞、服务的瘫痪。Dos攻击方式其利用IP无连接的特点,可以制造各种不同的攻击手段,而且攻击方式非常简单。
在Internet上非常流行,对企业网、甚至骨干网都造成了非常严重的影响,引发很大的
网络事故,因此优秀的Dos攻击防范功能是防火墙的必备功能。现在几乎所有的防火墙设备都宣传具有Dos攻击防御功能,但是那么为什么Dos攻击导致网络瘫痪的攻击事件为什么还是层出不穷呢?一个优秀的Dos攻击防御体系,应该具有如下最基本的特征:
l 防御手段的健全和丰富。因为Dos攻击手段种类比较多,因此必须具有丰富的防御手段,才可以保证真正的抵御Dos攻击。
l 优秀的处理性能。因为Dos攻击伴随这一个重要特征就是网络流量忽然增大,假如防火墙本身不具有优秀的处理能力,则防火墙在处理Dos攻击的同时本身就成为了网络的瓶颈,根本就不可能抵御Dos攻击。因为Dos攻击的一个重要目的就是使得网络瘫痪,网络上的要害设备点发生了阻塞,则Dos攻击的目的就达到了。防火墙设备不但要注重转发性能,同时一定要保证对业务的处理能力。在进行Dos攻击防御的过程中,防火墙的每秒新建能力就成为保证网络通畅的一个重要指标,Dos攻击的过程中,攻击者都是在随机变化源地址因此所有的连接都是新建连接。
l 正确的识别攻击能力。很多防火墙在处理Dos攻击的时候,仅仅能保证防火墙后端的流量趋于网络可以接受的范围,但是不能保证准确的识别攻击报文。这样处理虽然可以保证网络流量的正常,可以保证服务器不会瘫痪,但是这样处理还是会阻挡正常用户上网、访问等的报文,因此虽然网络层面是正常的,但是真正的服务还是被拒绝了,因此还是不能达到真正的Dos攻击防御的目的。SecPath系列防火墙产品,在对上述各个方面都做了详尽的考虑,因此Dos防御的综合性能、功能等方面在同类防火墙产品中都具有很强的优势。
4. 防火墙TCP代理
Tcp代理是SecPath系列防火墙为防止SYN Flood类的Dos攻击,而专门开发的一个安全特性。
SYN Flood攻击可以很快的消耗服务器资源,导致服务器崩溃。在一般的Dos防范技术中,在攻击发生的时候不能准确的识别哪些是合法用户,哪些是攻击报文。Eudemon防火墙采用了TCP透明代理的方式实现了对这种攻击的防范,Eudemon防火墙通过精确的验证可以准确的发现攻击报文,对正常报文依然可以通过答应这些报文访问防火墙资源,而攻击报文则被Eudemon防火墙丢弃。有些攻击是建立一个完整的TCP连接用来消耗服务器的资源。Eudemon系列防火墙可以实现增强代理的功能,在客户端与防火墙建立连接以后察看客户是否有数据报文发送,假如有数据报文发送防火墙再与服务器端建立连接否则丢弃客户端的报文。这样可以保证即使采用完成TCP三次握手的方式消耗服务器资源,也可以被Eudemon防火墙发现。
图11 防火墙TCP代理
5. 防火墙在数据中心的部署点
1) ServerFarm 网络边界上的状态防火墙
园区网络通常包括园区核心网、边界网络、内部网络、分支结构网络、数据中心(ServerFarm)网络。核心网络是所有网络区域的中心,内部网络、数据中心、边界网络以星状连接在核心四周,边界网的另一端还与Internet相连,可以为园区提供Internet出口,并且作为分支网络的接入点,如图所示。
点击查看大图
图12 防火墙在数据中心的部署点
防火墙应该部署在信任与非信任网络的邻接点上,避免不安全因素的扩散。上述园区网络模型中存在两个这样的邻接点,一是边界网络与Internet的接入点上,这个位置部署放火墙可以隔离来自Internet或外部网络的有害数据;另一个在数据中心(ServerFarm)汇聚交换机与核心网交换机的接的接入点上,在此部署防火墙可避免来自内部网络的威胁,这种威胁可能是内网员工恶意攻击造成的,也可能是一些不恰当的操作对网络造成的。
2) 多层服务器区内部的状态防火墙
在ServerFarm内部多层服务器区的各层之间也可以部署防火墙以增强不同层次之间的安全性,如图。由于web服务器直接面对访问者,通常来说是网络中的薄弱环节,使用分层防御可以将重要的服务器通过防火墙进行保护,即使web服务器被攻陷,也不会造成应用服务器与数据库服务器的进一步破坏。
3.1.3 数据中心应用防护技术
IPS可以针对应用流量做深度分析与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效治理,从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。
以下介绍H3C TippingPoint IPS应用防护功能的几项要害技术:
1. IPS in-line 部署方式
TippingPoint IPS可以被“in-line”地部署到网络当中去,对所有流经的流量进行深度分析与检测,从而具备了实时阻断攻击的能力,同时对正常流量不产生任何影响。基于其高速和可扩展的硬件平台,TippingPoint IPS不断优化检测性能,使其能够达到与交换机同等级别的高吞吐量和低延时,同时可以对所有主要网络应用进行分析,精确鉴别和阻断攻击。TippingPoint IPS的出现使得应用层威胁问题迎刃而解。
2. 硬件引擎
TippingPoint基于ASIC、FPGA和NP技术开发的威胁抑制引擎(TSE,Threat Suppression Engine)是高性能和精确检测的基础。TSE的核心架构由以下部件有机融合而成:
图13 IPS 的基于硬件的威胁抑止引擎
定制的ASIC
FPGA(现场可编程门阵列)
20G高带宽背板
高性能网络处理器
该核心架构提供的大规模并行处理机制,使得TippingPoint IPS对一个报文从2层到7层所有信息的检测可以在215微秒内完成,并且保证处理时间与检测特征数量无线性关系。采用流水线与大规模并行处理融合技术的TSE可以对一个报文同时进行几千种检测,从而将整体的处理性能提高到空前水平。
在具备高速检测功能的同时,TSE还提供增值的流量分类、流量治理和流量整形功能。TSE可以自动统计和计算正常状况下网络内各种应用流量的分布,并且基于该统计形成流量框架模型;当短时间内大规模爆发的病毒导致网络内流量发生异常时,TSE将根据已经建立的流量框架模型限制或者丢弃异常流量,保证要害业务的可达性和通畅性。此外,为防止大量的P2P、IM流量侵占带宽,TSE还支持对100多种点到点应用的限速功能,保证要害应用所需的带宽。
3. 应用防护能力
TippingPoint IPS在跟踪流状态的基础上,对报文进应用层信息的深度检测,可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断。
图14 IPS 的应用防护能力
TippingPoint IPS还支持以下检测机制:
基于访问控制列表(ACL)的检测
基于统计的检测
基于协议跟踪的检测
基于应用异常的检测
报文规范检测(Normalization)
IP报文重组
TCP流恢复
以上机制协同工作,TippingPoint IPS可以对应用流量进行细微粒度的识别与控制,有效检测流量激增、缓冲区溢出、漏洞探测、IPS规避等一些已知的、甚至未知的攻击。
TippingPoint的安全威胁分析团队也处于业界领先的地位。该团队是安全威胁快讯SANS @Risk的主要撰稿人,SANS @Risk每周定期向其全球范围内30万专业订阅者摘要披露最新安全威胁的公告,内容包含最新发现的漏洞、漏洞所带来的影响、表现形式,而且指导用户如何采取防范措施。
4. “零时差攻击”防御
TippingPoint实时更新、发布的数字疫苗(DV,Digital Vaccine)是网络免疫的保障与基础。在撰写SANS @Risk公告的同时,TippingPoint的专业团队同时跟踪其它知名安全组织和厂商发布的安全公告;经过跟踪、分析、验证所有这些威胁,生成供TippingPoint IPS使用的可以保护这些漏洞的特征知识库 – 数字疫苗,它针对漏洞的本质进行保护,而不是根据特定的攻击特征进行防御。数字疫苗以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够通过内容发布网络自动地分发到用户驻地的IPS设备中,从而使得用户的IPS设备在漏洞被公布的同时马上具备防御零时差攻击的能力。TippingPoint还与全球闻名的系统软件厂商,如Microsoft、Oracle等,保持了良好的合作关系。在某个漏洞被发现后,TippingPoint能够在第一时间(即厂商公布安全公告之前)获得该漏洞的具体信息,并且利用这一时间差及时制作可以防御该漏洞的数字疫苗,使得用户的网络免遭这种“零时差攻击”(Zero-day Attack)。
图15 IPS的数字疫苗系统
3.1.4 数据中心网络治理安全技术
1. SSH
由于Telnet没有提供安全的认证方式,且通过TCP传输的通信内容都是明文的,即使启用了AAA认证,输入的用户名和密码也可以通过抓包分析来获得;由于系统对Telnet用户不进行复杂的验证,DoS攻击、主机IP欺骗、路由欺骗等攻击都可能给服务器带来致命威胁,因此存在着相当大的安全隐患。
图16 基于SSH治理交换机
SSH(Secure Shell)是在Telnet基础上发展起来的一种安全的远程登录协议,协议号22,它支持passWord和RSA认证,对数据进行DES和3DES等加密(由于DES的安全性不高,SSH2中已不支持DES),有效防止了对密码的窃听,保护了数据的完整性和可靠性,保证了数据的安全传输。非凡是对于RSA认证的支持,对称加密和非对称加密的混合应用,密钥的安全交换,最终实现了安全的会话过程。
在不安全的网络上直接进行远程登陆和文件传输是不安全的,用户名、密码、数据都可能被非法人员截获。
SSH使用认证和加密来保护不安全的网络上的通信,SSH分为客户端和服务端,服务端的知名端口号为22。SSH是Secure Shell的简称,中文可叫做安全外壳,目前有stelnet(secure telnet)和SFTP(Secure FTP)两种应用。Stelnet完成远程登陆,SFTP完成文件传输,与telnet和FTP的功能相同,但是协议的处理完全不同。
2. SNMPV3
由于SNMP承载于UDP之上,因而SNMP很轻易被非法用户利用伪装IP进行攻击。非凡是当攻击者先捕捉到合法SNMP流量后,SNMP对其几乎不设防。也正因为如此,SNMP一直未能得到大规模的使用。在这种前提下。SNMP V3应运而生。SNMP V3支持MD5或SHA认证和DES或AES加密。从而为SNMP协议提供了合理的安全特性。
3. 常见协议的信任源控制
设备支持对SNMP、TELNET/SSH设定软件ACL,来限定只有合法的网段或者IP才能访问设备的这些协议。
4. 端口镜像
由于现阶段网络对人们的工作、生活都有极其深远的影响。高可用的网络也越来越受到关注。高可用包含两层含义:一是网络本身不出现异常;二是网络出现异常后能够迅速恢复。因此,现阶段对网络治理维护人员迅速定位问题的能力提出了很高的要求。端口镜像作为网络治理维护人员很好的网络状况监控手段成为网络治理维护人员定位问题的一个重要组成部分。端口镜像有两类:远程端口镜像和本地镜像。
本地镜像是指将交换机的1个或多个端口的报文复制到本交换机的一个监控端口,用于报文的分析和监视。例如:可以将Ethernet0/1端口上的报文复制到指定监控口Ethernet0/2,通过监控口Ethernet0/2上连接的协议分析仪进行测试和记录。目前我司所有的可治理交换机都实现了这个功能。
但本地镜像在实际应用中存在一定的缺陷,例如:当交换机不是集中放置在一个中心机房中时,为了检测分散在不同地域的交换机上的端口需要维护人员跑到现场进行镜像观测。为了降低维护人员的维护工作量,远程镜像的功能随即在一些厂商的交换机上产生了。远程镜像突破了被镜像端口和镜像端口必须在同一台交换机上的限制,使被镜像端口和镜像端口间可以跨越多个网络设备,这样维护人员就可以坐在中心机房以通过分析仪观测远端被镜像端口的数据报文了。
图17 交换机的端口镜像
理想状态下被镜像的数据报文应该能够穿越三层网络到达远端的镜像端口,但由于目前被镜像的端口所在的交换机多为低端二层交换机,出于成本和实现难度的考虑,目前厂家实现的远程镜像功能都无法穿越三层网络。
远程镜像功能简称为RSPAN。RSPAN实现的功能为将所有的被镜像报文通过一个非凡的RSPAN VLAN传递到远端的镜像端口。
点击查看大图
图18 交换机远程镜像技术
在整个功能实现上主要由以下设备来参与完成:
Source switch
需要被监测的端口所在的交换机,在该交换机上存在三种端口:
Source port
被检测的用户端口,通过在ASIC中设置镜像bit属性将用户数据报文复制到指定的Reflector port。source port可以有多个,对于低端交换机只能实现入方向报文的镜像,对于复杂的交换机可以实现端口双向报文的镜像。
Reflector port
该端口的Pvid为专用的RSPAN vlan id,且为untag端口,同时该端口处于内部自环状态。从source port镜像来的TAG报文从该端口输出时tag被剥离,同时由于该端口自环,因此所有报文又被重新从该端口输入,由于该端口的Pvid为RSPAN vlan id,因此所有的镜像报文会以新的RSPAN vlan在所有vlan trunk端口上进行广播(目的MAC永远学习不到,所以永远为所有端口广播)。
Trunk端口
将镜像报文发送到中间交换机或者目的交换机。
Intermediate switch
该设备上只存在Trunk端口,是中间交换机专为RSPAN vlan开辟的一条通路。
在所有的vlan trunk端口上广播RSPAN vlan的报文,为了减少不必要的垃圾广播,需要在中间交换机上对于vlan trunk端口进行RSPAN vlan的裁减,使中间交换机和接监测设备的交换机相连的vlan trunk端口才具备RSPAN vlan的通过的能力。
Destination switch
连接监测设备的交换机,在该交换机上存在两种端口:
Destination port
远程镜像报文的监控端口。源端口的报文经过RSPAN vlan的巧妙转发,最终可以在Destination port上接收到。
Trunk端口
接收远程镜像报文。
Remote-probe VLAN
即上文所说的RSPAN vlan。为了实现远程端口治理功能,在三类交换机上需要定义一个非凡的VLAN,这个VLAN称之为Remote-probe VLAN。所有的被镜像的报文通过该VLAN从源交换机传递到目的交换机的镜像端口,实现从目的交换机对源交换机的远程端口的报文进行监控。Remote-probe VLAN具有以下特点:
该VLAN内的所有端口的PVID(Port VLAN ID)都不能为Remote-probe VLAN ID;
该VLAN中的所有端口都必须是Trunk端口或Fabric端口,不能包含access端口和Hybrid端口;
对于缺省VLAN、治理VLAN 、Fabric VLAN、协议VLAN不能配成Remote-probe VLAN;
该VLAN中不能包含远程镜像源端口。
5. 用户的分级治理
对登录用户采取分级机制,权限从低到高分为四级,依次为:访问级、监视级、系统级、治理级。对用户密码采用加密算法进行保存,并限制一次连接登录不成功的次数来防止口令被穷举得到,并在设备上设置警示性的登录提示。
6. 用户视图保护
当治理员有事走开时可以锁定当前用户视图。防止非法人员乘机盗用治理员的权限。同时设备还提供超时锁定功能。
4 典型组网方案
4.1 数据中心综合组网图
点击查看大图
图19 数据中心综合组网图
4.2 Server farm 组网图
图20 服务器区(Server Farm)典型组网图
5 综述
华为3COM数据中心安全解决方案为数据中心提供了建立在全线速网络基础上的防护攻击所需的边界安全、深度防御及构架安全解决之道。它可保护数据中心中要害应用和保密数据;增强数据中心的运营效率,并迅速创建新的安全应用环境来支持新的业务流程。
通过拥有一个高度永续、有效、可调整的数据中心网络,企业可缓解竞争压力、拓展市场范围、加速新服务的面世,面向未来提供一条高效安全的可持续发展之路。
