1、防火墙 目前出现的新技术类型主要有以下几种状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和其他一些新技术是未来防火墙的趋势。
2、认证 目前,常用的身份识别技术主要是基于RAD IUS的鉴别、授权和管理AAA 系统。RAD IUS remote authentica2tion dial in user service是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户或服务器模式。它包含有关用户的专门简档,如,用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。华为、思科等厂商都有使用RAD IUS技术的产品。
3、虚拟专用网 随着商务的发展,办公形式的改变, 分支机构之间的通信有很大需求,如果使用公用的互联网络来进行通信,而不是架设专用线路,这样,就可以显著降低使用成本。VPN virtual private network即虚拟专用网是解决这一问题的方法。VPN建立一条通过公众网络的逻辑上的专用连接,使得用户在异地访问内部网络时,能够和在本地访问一样的资源,同时,不用担心泄密的问题。采用IPSec协议的产品是市场的主流和标准, 有相当多的厂商都推出了相应产品。
4、入侵检测和集中网管 入侵检测 intrusion detection是对入侵行为的发觉,是一种增强系统安全的有效方法,能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。目前,入侵检测系统的产品很多,仅国内的就有东软、海信、联想等十几种;集中网管主要体现在对网管的集中上,网管集中的实现方式主要包括存放网管系统的物理平面集中和通过综合集中网管实现对不同厂商网管系统的集中管控。大唐、朗讯、华勤等厂商各自有不同的集中网管产品上市。
二、 网络信息系统的安全设计方案 2.1.1 外网出口 外网出口采用防火墙。支持双机热备功能,核心交换机通过两根电缆连到防火墙上,防火墙通过两台2层交换机分别接入电信线路和网通线路。当出口设备开启双机热备后,即使其中一台防火墙出问题,另外一台防火墙也能正常保证外网的使用,不会出现网络中断的情况。
2.1.2 核心设备 作为网络的核心,要有很高的稳定性,瘫痪一分钟都会带来严重的后果,针对这个因素,我们将两台全千兆核心交换机采用双机热备的方式,上联到防火墙,并下联到办公网络。
Catalyst 3960系列交换机具有240G背板带宽;线速三层交换包转发率达到96Mpps;,是标准三层无阻塞交换机为所有的端口提供多层交换能力和线速的路由转发能力。同时具有高性能、低成本等主要特点。而其强大的处理能力是构建可靠、稳定、高速的IP网络平台的重要保障。同时具有高性能、低成本等主要特点。Catalyst 3960支持特有的ARP入侵检测功能,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大流量地址仿冒带来的DoS/DDoS攻击等。
2.1.3 接入设备 接入交换机作为楼层网络的小型网关设备上连至上级交换机,需要考虑交换机能提供的网络安全性以及设备的处理能力。我们所采用的接入交换机可以支持划分vlan、端口保护、Qos功能、广播/组播风暴控制等功能。同时应具备扩展性。
达到可根据需要灵活地配置网络。交换机能与所有的以太网、快速以太网设备相连接,保护用户已有的网络投资。可在工作组之间或企业内部提供高带宽、高性能连接,同时还能增强服务器群的容量,让用户能更快速存取整个网络资源。可以缓解因为网络带宽不足及用户迅速增长所造成的网络传输瓶颈,并且投资少,管理简单。
2.2 访问控制 我们认为采用VLANACL组网方式,可实现不同部门、不同应用系统之间进行隔离,实现对跨系统、跨部门的访问控制。其本身已经能够提供的安全机制,可保证访问控制的安全。采用VLANACL实现组网,按照各楼层或各部门,实现VLAN的划分。
所有的部门系统全部二层隔离,同一个汇聚层设备下的单位需要进行互通,则在核心交换机上终结VLAN,进行三层互通,如果是不同的汇聚层设备下的单位需要互通,则需要经过汇聚交换机上送到核心交换机上,通过配置的acl和路由进行三层转发,实现受控互通。
2.3 双机热备实现方案 对于集团内网的组网方式,我们规划了VRRP双机热备方案 让我们来看看双机热备的工作 VRRP图1 如上图所示,正常情况下,左边核心交换机优先级高于右边核心交换机,所以左侧核心交换机处于master状态,响应所有对虚拟IP(即图中的192.168.1.1、192.168.2.1)的请求,右侧核心交换机处于backup状态,不会响应任何关于虚拟IP的请求,但是右侧交换机实时关注着从VRRP心跳线发来的状态包。
很明显,现在所有汇聚交换机都会将数据包发送至左侧交机。
左侧交换机作为线路正常时的主交换机。右侧交换机只关注VRRP心跳线发来的状态包。
此时,办公网交换机到左侧核心交换机的线路若发生故障,或左侧核心交换机的发生故障。如下图 VRRP图2 如果是汇聚交换机到核心交换机的线路产生故障,此时左侧核心交换机将会发现所连接端口发生故障,左侧交换机将会通过VRRP心跳线通知右侧交换机,告之关于192.168.2.1的状态变化,此时,右侧核心交换机将会作为主核心交换机,并相应并处理来自二层汇聚交换机的所有数据包。
如果是左侧核心交换机产生故障,右侧交换机收不到心跳线传来的数据,那么它会认为左侧交换机已经无法正常工作,自己切换成为Master状态,处理来自所有汇聚交换机的数据包。
从左侧核心设备发现线路故障到右侧核心设备变为主交换机,或者右侧核心设备发现左侧设备产生故障无法工作而自己变为主交换机,期间耗时不到2秒钟,对正在使用网络的用户而言,完全感觉不到发生了什么故障。这样就能保证整个网络骨干层7*24小时的无故障运行了。
如果线路恢复正常或左侧核心交换机的故障排查解决完毕能够正常工作,左侧交换机同样可以发现其线路所连接的端口恢复正常,而通知右侧核心设备,同时自己变为主交换机,左侧核心交换机在故障处理完毕后能正常工作同样会通知右侧核心交换机,自己变为主交换机。
2.4 ARP防护 ARP(欺骗类)病毒可谓是现在最普遍的网络危害,一具用户感染病毒就可能危害到整个网络。
欺骗类病毒目前可以分为3种类型 1、中毒机器不停发送“我是网关”的ARP信息,试图来欺骗其他PC,让他们将自己看作网关,如图中的F0/1口下的PC A可以通过这种类型的ARP病毒让PC B认为网关是PC A。
2、中毒机器不停的变换自己的IP,来扰乱网关设备的ARP表象,试图让网关看到的所有的IP都是自己,这样其他用户的IP就不能被网关设备认出了,如上图中,PC A可以不停的变换自己的IP,这样网关就会被欺骗认为192.168.43.100也是PC A,PC B当然就不能被网关识别了。
3、中毒机器将自己的MAC地址修改成交换机的下一跳网络设备的MAC地址,试图让交换机的MAC表发生紊乱,让交换机从错误的端口发送出数据包,如上图中,PC A会将自己的MAC地址修改成网关的MAC地址00-E0-0F-27-96-D0,这样交换机在F0/1和F0/24上都学习到这个地址,MAC表就乱了--------这种类型并不能算上ARP病毒,但是同属于欺骗类病毒。
目前大部分厂家都是通过绑定IP、MAC、端口的方式来保证安全,但是这样的方式实现起来麻烦(要一条一条的把绑定信息写进去),如果增加了新设备或者某台设备更换了端口或者网卡,如果不及时通知网络管理员进行修改,就没有办法上网,费时费力。
针对这种情况,我们设计了一套较完善的ARP防护方式。
在端口下过滤ARP报文,防止冒充网关。既然我们知道交换机的F0/24口上接的是网关,那么F0/1 到F0/23口都不可能发送出“我是网关”的ARP信息,所以我们可以在这些端口下过滤此类报文。
交换机命令(需要两层半交换机,S2026/S2126以上设备) interface FastEthernet0/1 switchport port-security block arp 192.168.43.254 //阻止该端口下发送192.168.43.254的ARP报文 在所有的非上联端口上都配置此类命令,交换机可阻止其下端口发送“我是网关”类的ARP欺骗报文 在接口下配置Filter功能,防ARP扫描攻击。如果中毒机器不停变换自己的IP,那么他在短时间内发送的ARP信息是非常多的,我们可以通过设置ARP计数器的方式来进行管理,在一个时间单位内,如果某个设备发送的ARP数量超过了我们设置的阀值,那么我们将过滤这台设备的MAC一段时间,这个时间段内这台设备发送任何信息我们的交换机都不进行转发。
交换机命令(需要两层半交换机,既S2026/S2126以上设备) interface FastEthernet0/1 filter arp //在接口下启用arp过滤功能 filter period 5 //以5秒钟为一个统计周期 filter block-time 60 //将攻击主机隔离60秒 filter threshold 100 //一个统计周期超过100个arp报文,就进行隔离 filter enable //在全局下启用过滤功能 一旦交换机F0/1端口下有PC在5秒内发送的ARP报文超过100个,交换机将在60秒内禁止此PC的MAC通过。
免费发放ARP RESPONSE报文,纠正主机错误的网关。对于网关类的设备一般是不主动发送ARP报文的,通常它都是被动响应下面的ARP请求,因此我们也可以让网关主动发送ARP RESPONSE报文,主动矫正下面PC的错误。
交换机命令(需要三层交换机或者路由器) arp free-response //启用免费发放arp response报文的功能 arp free-response interval 30 //发放arp response报文的间隔 interface VLAN1 ip address 192.168.43.254 255.255.255.0 no ip directed-broadcast interface Loopback0 ip address 1.1.1.1 255.255.255.0 no ip directed-broadcast 这样每30秒网关可以主动矫正下面PC的错误。
将网关的MAC地址、端口、以及VLAN进行绑定,防止MAC欺骗。
交换机命令(两层设备即可) mac address-table static 00e0.0f96.27d0 vlan 1 interface f0/24 //保证网关的VLAN 1的MAC地址只能出现在F0/24上 将交换机下联口全部开启端口保护,保证用户只能和上联口互通,和其他用户之间无法互通。
交换机命令(两层设备即可) interface FastEthernet0/1 switchport protect 根据上面提到的4种防护ARP欺骗的机制原理,我们可以进行组合,设置多种全网阻断ARP欺骗的拓扑 首先通过vlan划分隔离广播域,让arp只会在同1个vlan内传播,此外我们可以在接入层采用两层设备S2126交换机,开启端口保护,汇聚层采用三层交换机S3760,开启Filter防护机制。此类方法可以保证 1、用户之间发送“我