欢乐颂小说结局,耳根

首頁

傳統(tǒng)網(wǎng)絡(luò)安全解決方案

網(wǎng)絡(luò)安全對企業(yè)乃至國家經(jīng)濟建設(shè)有著極其重要的作用。近年來，隨著我國國民經(jīng)濟和社會信息化進(jìn)程的全面加快，計算機網(wǎng)絡(luò)在政治、軍事、金融、商業(yè)等部門的廣泛應(yīng)用，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用不斷增強，全社會對計算機網(wǎng)絡(luò)的依賴越來越大。網(wǎng)絡(luò)系統(tǒng)如果遭到破壞，不僅會引起社會混亂，還將帶來經(jīng)濟損失。

傳統(tǒng)網(wǎng)絡(luò)安全設(shè)計總體架構(gòu)如下：

從園區(qū)內(nèi)網(wǎng)安全、邊界防御、園區(qū)出口傳輸安全等多緯度、多層次進(jìn)行安全設(shè)計和安全防御，對企業(yè)內(nèi)部進(jìn)行安全區(qū)域劃分、隔離和權(quán)限控制，對企業(yè)外部用戶訪問進(jìn)行安全控制、數(shù)據(jù)加密，防止惡意攻擊。園區(qū)網(wǎng)全方位的安全設(shè)計方案保證內(nèi)部、外部用戶訪問園區(qū)網(wǎng)資源的安全性。

園區(qū)內(nèi)網(wǎng)安全設(shè)計

防IP/MAC地址盜用和ARP中間人攻擊

DHCP Snooping技術(shù)是DHCP安全特性，通過建立和維護(hù)DHCP Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息，DHCP Snooping綁定表可以基于DHCP過程動態(tài)生成，也可以通過靜態(tài)配置生成，此時需預(yù)先準(zhǔn)備用戶的IP 地址、MAC地址、用戶所屬VLAN ID、用戶所屬接口等信息。

園區(qū)交換機開啟DHCP-Snooping后，會對DHCP報文進(jìn)行偵聽，并可以從接收到的DHCP Request或DHCP Ack報文中提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報文，而不信任端口會將接收到的DHCP Offer報文丟棄。這樣，可以完成交換機對假冒DHCP Server的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。

防IP/MAC地址掃描攻擊

防IP掃描攻擊

地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的IP報文。當(dāng)攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時，觸發(fā)ARP miss，使網(wǎng)絡(luò)設(shè)備給該網(wǎng)段下的每個地址發(fā)送ARP報文，地址不存在的話，還需要發(fā)送目的主機不可達(dá)報文。如果直連網(wǎng)段較大，攻擊流量足夠大時，會消耗網(wǎng)絡(luò)設(shè)備較多的CPU和內(nèi)存資源，可引起網(wǎng)絡(luò)中斷。

園區(qū)交換機支持IP地址掃描攻擊的防護(hù)能力，收到目的IP是直連網(wǎng)段的報文時，如果該目的地址的路由不存在，會發(fā)送一個ARP請求報文，并針對目的地址下一條丟棄表項（棄后續(xù)所有目的地址為該直連網(wǎng)段的ARP報文），以防止后續(xù)報文持續(xù)沖擊CPU。如果有ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表項，并添加正常的路由表項；否則，經(jīng)過一段時間后丟棄表項自動老化。這樣，既防止直連網(wǎng)段掃描攻擊對交換機造成影響，又保證正常業(yè)務(wù)流程的暢通。

在上述基礎(chǔ)上，交換機還支持基于接口設(shè)置ARP miss的速率。當(dāng)接口上觸發(fā)的ARP miss超過設(shè)置的閾值時，接口上的ARP miss不再處理，直接丟棄。

如果用戶使用相同的源IP進(jìn)行地址掃描攻擊，交換機還可以基于源IP做ARP miss統(tǒng)計。如果ARP miss的速率超過設(shè)定的閾值，則下發(fā)ACL將帶有此源IP的報文進(jìn)行丟棄，過一段時間后再允許通過。

防MAC地址掃描攻擊

以太網(wǎng)交換機的MAC地址轉(zhuǎn)發(fā)表作為二層報文轉(zhuǎn)發(fā)的核心，在受到攻擊的時候，直接導(dǎo)致交換機無法正常工作。發(fā)生MAC地址攻擊的時候，攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的源MAC地址不斷變化以太報文，園區(qū)交換機收到以太報文會基于報文的源MAC學(xué)習(xí)填充二層MAC轉(zhuǎn)發(fā)表項，由于MAC地址轉(zhuǎn)發(fā)表的規(guī)格有限，會因為MAC掃描攻擊而很快填充滿，無法再學(xué)習(xí)生成新的MAC轉(zhuǎn)發(fā)表，已學(xué)習(xí)的MAC表條目需通過老化方式刪除，這樣途徑園區(qū)交換機大量的單播報文會因為按照目的MAC找不到轉(zhuǎn)發(fā)表項而不得不進(jìn)行廣播發(fā)送，導(dǎo)致園區(qū)網(wǎng)絡(luò)中產(chǎn)生大量的二層廣播報文，消耗網(wǎng)絡(luò)帶寬、引發(fā)網(wǎng)絡(luò)業(yè)務(wù)中斷異常。

交換機二層MAC轉(zhuǎn)發(fā)表是全局共享資源，單板內(nèi)各端口/VLAN共享一份MAC轉(zhuǎn)發(fā)表，華三園區(qū)交換機支持基于端口/VLAN的MAC學(xué)習(xí)數(shù)目限制，同時支持MAC表學(xué)習(xí)速率限制，有效防御MAC地址掃描攻擊行為。MAC學(xué)習(xí)數(shù)目達(dá)到端口/VLAN上設(shè)置的閾值時，會進(jìn)行丟棄/轉(zhuǎn)發(fā)/告警等動作（動作策略可定制、可疊加）。另外通過園區(qū)交換機的MAC地址與端口綁定來限制跨端口的MAC掃描攻擊。

廣播/組播報文抑制

攻擊者不停地向園區(qū)網(wǎng)發(fā)送大量惡意的廣播報文，惡意廣播報文占據(jù)了大量的帶寬，傳統(tǒng)的廣播風(fēng)暴抑制無法識別用戶VLAN，將導(dǎo)致正常的廣播流量一并被交換機丟棄。園區(qū)網(wǎng)交換機需要識別惡意廣播流量的VLAN ID，通過基于VLAN的廣播風(fēng)暴抑制丟棄惡意廣播報文而不影響正常廣播報文流量轉(zhuǎn)發(fā)?？苫诙丝诨騐LAN限制廣播報文流量百分比或速率閾值。

同時園區(qū)網(wǎng)交換機支持組播報文抑制，可基于端口限制組播報文流量百分比或速率閾值。

園區(qū)網(wǎng)邊界防御

企業(yè)園區(qū)網(wǎng)邊界防御分為兩個部分：園區(qū)出口邊界防御、園區(qū)內(nèi)部邊界防御。園區(qū)出口連接Internet和企業(yè)WAN網(wǎng)的接入，企業(yè)外部網(wǎng)路尤其Internet網(wǎng)絡(luò)，是各種攻擊行為、病毒傳播、安全事件引入的風(fēng)險點，通過在企業(yè)出口部署高性能防火墻設(shè)備、或者在核心交換機內(nèi)置防火墻模塊，可以很好的緩解風(fēng)險的傳播，阻擋來自Internet/企業(yè)外部網(wǎng)絡(luò)攻擊行為的發(fā)生。企業(yè)園區(qū)出口位置部署的獨立防火墻設(shè)備（或核心交換機內(nèi)置的防火墻模塊），需要滿足高性能、高可靠、高安全的要求，是企業(yè)園區(qū)網(wǎng)的第一道安全屏障。

園區(qū)內(nèi)部邊界防御是將企業(yè)內(nèi)部劃分為多個區(qū)域，分為信任區(qū)域和非信任區(qū)域，分別實施不同的安全策略，包括部署區(qū)域間隔離、受限訪問、防止來自區(qū)域內(nèi)部的DOS攻擊等安卻措施。建議通過匯聚交換機上集成防火墻模塊（單板）來實現(xiàn)園區(qū)內(nèi)部的邊界防御功能。

園區(qū)網(wǎng)中防火墻功能無論是獨立設(shè)備部署還是集成在核心/匯聚交換機內(nèi)部，都必須支持靈活的業(yè)務(wù)流控制策略配置，能把特定的流量引到防火墻進(jìn)行處理，其他流量進(jìn)行旁路。

防火墻本身需要保證高可靠性，需要考慮防火墻的冗余設(shè)計，支持Active/Active HA 設(shè)計方式，即交換機內(nèi)集成的多塊防火墻板卡支持負(fù)載分擔(dān)和主備模式，不同交換機內(nèi)的防火墻支持Active/Active模式，同時能夠處理流量。

園區(qū)網(wǎng)出口安全

隨著現(xiàn)代社會網(wǎng)絡(luò)經(jīng)濟的發(fā)展，企業(yè)日益發(fā)展擴大，辦事處、分支機構(gòu)以及商業(yè)合作伙伴逐步增多，如何將這些小型的辦公網(wǎng)絡(luò)和企業(yè)總部網(wǎng)絡(luò)進(jìn)行經(jīng)濟靈活而有效的互聯(lián)，并且與整個企業(yè)網(wǎng)絡(luò)安全方案有機融合，提高企業(yè)信息化程度，優(yōu)化商業(yè)運作效率，成為企業(yè)IT網(wǎng)絡(luò)設(shè)計亟待解決的問題；大量普及的SOHO網(wǎng)絡(luò)、小型辦公網(wǎng)絡(luò)、智能家居網(wǎng)絡(luò)也越來越注重接入的便捷性和網(wǎng)絡(luò)安全性。

企業(yè)園區(qū)網(wǎng)出口設(shè)備是企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點，其安全保證能力非常重要，企業(yè)在信息化的過程中面臨核心技術(shù)、商業(yè)機密泄密等信息安全問題，VPN技術(shù)是企業(yè)傳輸數(shù)據(jù)非常理想的選擇，因為VPN技術(shù)正式是為了解決在不安全的Internet上安全傳輸機密信息，保證信息的完整性、可用性以及保密性，包括IPSec VPN和SSL VPN。企業(yè)辦事處、分支機構(gòu)以及商業(yè)合作伙伴如果采用主機VPN客戶端接入企業(yè)總部網(wǎng)絡(luò)，那么分之機構(gòu)網(wǎng)絡(luò)中的每個主機需要單獨撥號接入，VPN接入不可控造成內(nèi)部網(wǎng)絡(luò)安全隱患，同時也大量消耗企業(yè)總部VPN網(wǎng)關(guān)隧道資源；如果采用單獨的VPN網(wǎng)關(guān)與企業(yè)總部網(wǎng)關(guān)建立VPN隧道，又面臨投資過大的問題。需要有效解決企業(yè)分支機構(gòu)VPN接入靈活性、安全性和經(jīng)濟性之間的矛盾。

數(shù)據(jù)中心安全設(shè)計

數(shù)據(jù)中心的安全對企業(yè)來說，非常重要，企業(yè)在享受數(shù)據(jù)中心帶來生產(chǎn)力提高的同時，其內(nèi)在的安全建設(shè)成為了業(yè)內(nèi)的熱點。讓數(shù)據(jù)中心遠(yuǎn)離安全威脅，促使其在管理、運維上向安全靠攏，已經(jīng)成為建設(shè)的趨勢。

數(shù)據(jù)中心的網(wǎng)絡(luò)安全設(shè)計中，我們采用以兩臺交換機為中心的雙星型冗余結(jié)構(gòu)的網(wǎng)絡(luò)，可以在網(wǎng)絡(luò)交換機上通過插卡的方式實現(xiàn)防火墻、負(fù)載均衡等功能，保障數(shù)據(jù)中心的安全。

防火墻的目的是要在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。具體地說，設(shè)置防火墻的目的是隔離數(shù)據(jù)中心和局域網(wǎng)，保護(hù)數(shù)據(jù)中心不受攻擊，實現(xiàn)以下基本功能：

負(fù)載均衡的作用是可以為用戶訪問數(shù)據(jù)中心時，能夠?qū)崿F(xiàn)應(yīng)用級的負(fù)載分擔(dān)。

無線安全設(shè)計

無線局域網(wǎng)（WLAN）具有安裝便捷、使用靈活、經(jīng)濟節(jié)約、易于擴展等有線網(wǎng)絡(luò)無法比擬的優(yōu)點。但是由于無線局域網(wǎng)開放訪問的特點，使得攻擊者能夠很容易的進(jìn)行竊聽，惡意修改并轉(zhuǎn)發(fā)，因此安全性成為阻礙無線局域網(wǎng)發(fā)展的最重要因素。園區(qū)用戶大多容易接受新鮮事物，雖然一方面對無線網(wǎng)絡(luò)的需求不斷增長，但同時也讓許多潛在的用戶對不能夠得到可靠的安全保護(hù)而對最終是否使用無線局域網(wǎng)猶豫不決。

目前有很多種無線局域網(wǎng)的安全技術(shù)，包括物理地址（MAC）過濾、服務(wù)集標(biāo)識符（SSID）匹配、有線對等保密（WEP）、端口訪問控制技術(shù)（IEEE802.1x）、WPA （Wi-Fi Protected Access）、IEEE 802.11i等。面對如此多的安全技術(shù)，應(yīng)該選擇哪些技術(shù)來解決無線局域網(wǎng)的安全問題，才能滿足用戶對安全性的要求。

無

聯(lián)系我們

地址：江蘇省南京市玄武區(qū)玄武大道699-22號江蘇軟件園24棟2樓
郵政編碼：210000

聯(lián)系電話：

產(chǎn)品銷售咨詢 13913915777 張先生

方案銷售咨詢 13851869694 王先生
方案技術(shù)咨詢 13851869694 王先生

投訴及服務(wù)建議 13305179823 朱先生

點擊留言

蘇公網(wǎng)安備 32010202010584號