传统网络安全解决方案-江苏索远电子科技有限公司

首页

传统网络安全解决方案

网络安全对企业乃至国家经济建设有着极其重要的作用。近年来，随着我国国民经济和社会信息化进程的全面加快，计算机网络在政治、军事、金融、商业等部门的广泛应用，网络与信息系统的基础性、全局性作用不断增强，全社会对计算机网络的依赖越来越大。网络系统如果遭到破坏，不仅会引起社会混乱，还将带来经济损失。

传统网络安全设计总体架构如下：

从园区内网安全、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御，对企业内部进行安全区域划分、隔离和权限控制，对企业外部用户访问进行安全控制、数据加密，防止恶意攻击。园区网全方位的安全设计方案保证内部、外部用户访问园区网资源的安全性。

园区内网安全设计

防IP/MAC地址盗用和ARP中间人攻击

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息，DHCP Snooping绑定表可以基于DHCP过程动态生成，也可以通过静态配置生成，此时需预先准备用户的IP 地址、MAC地址、用户所属VLAN ID、用户所属接口等信息。

园区交换机开启DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

防IP/MAC地址扫描攻击

防IP扫描攻击

地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，触发ARP miss，使网络设备给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可引起网络中断。

园区交换机支持IP地址扫描攻击的防护能力，收到目的IP是直连网段的报文时，如果该目的地址的路由不存在，会发送一个ARP请求报文，并针对目的地址下一条丢弃表项（弃后续所有目的地址为该直连网段的ARP报文），以防止后续报文持续冲击CPU。如果有ARP应答，则立即删除相应的丢弃表项，并添加正常的路由表项；否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。

在上述基础上，交换机还支持基于接口设置ARP miss的速率。当接口上触发的ARP miss超过设置的阈值时，接口上的ARP miss不再处理，直接丢弃。

如果用户使用相同的源IP进行地址扫描攻击，交换机还可以基于源IP做ARP miss统计。如果ARP miss的速率超过设定的阈值，则下发ACL将带有此源IP的报文进行丢弃，过一段时间后再允许通过。

防MAC地址扫描攻击

以太网交换机的MAC地址转发表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文，园区交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项，由于MAC地址转发表的规格有限，会因为MAC扫描攻击而很快填充满，无法再学习生成新的MAC转发表，已学习的MAC表条目需通过老化方式删除，这样途径园区交换机大量的单播报文会因为按照目的MAC找不到转发表项而不得不进行广播发送，导致园区网络中产生大量的二层广播报文，消耗网络带宽、引发网络业务中断异常。

交换机二层MAC转发表是全局共享资源，单板内各端口/VLAN共享一份MAC转发表，华三园区交换机支持基于端口/VLAN的MAC学习数目限制，同时支持MAC表学习速率限制，有效防御MAC地址扫描攻击行为。MAC学习数目达到端口/VLAN上设置的阈值时，会进行丢弃/转发/告警等动作（动作策略可定制、可叠加）。另外通过园区交换机的MAC地址与端口绑定来限制跨端口的MAC扫描攻击。

广播/组播报文抑制

攻击者不停地向园区网发送大量恶意的广播报文，恶意广播报文占据了大量的带宽，传统的广播风暴抑制无法识别用户VLAN，将导致正常的广播流量一并被交换机丢弃。园区网交换机需要识别恶意广播流量的VLAN ID，通过基于VLAN的广播风暴抑制丢弃恶意广播报文而不影响正常广播报文流量转发。可基于端口或VLAN限制广播报文流量百分比或速率阈值。

同时园区网交换机支持组播报文抑制，可基于端口限制组播报文流量百分比或速率阈值。

园区网边界防御

企业园区网边界防御分为两个部分：园区出口边界防御、园区内部边界防御。园区出口连接Internet和企业WAN网的接入，企业外部网路尤其Internet网络，是各种攻击行为、病毒传播、安全事件引入的风险点，通过在企业出口部署高性能防火墙设备、或者在核心交换机内置防火墙模块，可以很好的缓解风险的传播，阻挡来自Internet/企业外部网络攻击行为的发生。企业园区出口位置部署的独立防火墙设备（或核心交换机内置的防火墙模块），需要满足高性能、高可靠、高安全的要求，是企业园区网的第一道安全屏障。

园区内部边界防御是将企业内部划分为多个区域，分为信任区域和非信任区域，分别实施不同的安全策略，包括部署区域间隔离、受限访问、防止来自区域内部的DOS攻击等安却措施。建议通过汇聚交换机上集成防火墙模块（单板）来实现园区内部的边界防御功能。

园区网中防火墙功能无论是独立设备部署还是集成在核心/汇聚交换机内部，都必须支持灵活的业务流控制策略配置，能把特定的流量引到防火墙进行处理，其他流量进行旁路。

防火墙本身需要保证高可靠性，需要考虑防火墙的冗余设计，支持Active/Active HA 设计方式，即交换机内集成的多块防火墙板卡支持负载分担和主备模式，不同交换机内的防火墙支持Active/Active模式，同时能够处理流量。

园区网出口安全

随着现代社会网络经济的发展，企业日益发展扩大，办事处、分支机构以及商业合作伙伴逐步增多，如何将这些小型的办公网络和企业总部网络进行经济灵活而有效的互联，并且与整个企业网络安全方案有机融合，提高企业信息化程度，优化商业运作效率，成为企业IT网络设计亟待解决的问题；大量普及的SOHO网络、小型办公网络、智能家居网络也越来越注重接入的便捷性和网络安全性。

企业园区网出口设备是企业内部网络与外部网络的连接点，其安全保证能力非常重要，企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题，VPN技术是企业传输数据非常理想的选择，因为VPN技术正式是为了解决在不安全的Internet上安全传输机密信息，保证信息的完整性、可用性以及保密性，包括IPSec VPN和SSL VPN。企业办事处、分支机构以及商业合作伙伴如果采用主机VPN客户端接入企业总部网络，那么分之机构网络中的每个主机需要单独拨号接入，VPN接入不可控造成内部网络安全隐患，同时也大量消耗企业总部VPN网关隧道资源；如果采用单独的VPN网关与企业总部网关建立VPN隧道，又面临投资过大的问题。需要有效解决企业分支机构VPN接入灵活性、安全性和经济性之间的矛盾。

数据中心安全设计

数据中心的安全对企业来说，非常重要，企业在享受数据中心带来生产力提高的同时，其内在的安全建设成为了业内的热点。让数据中心远离安全威胁，促使其在管理、运维上向安全靠拢，已经成为建设的趋势。

数据中心的网络安全设计中，我们采用以两台交换机为中心的双星型冗余结构的网络，可以在网络交换机上通过插卡的方式实现防火墙、负载均衡等功能，保障数据中心的安全。

防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。具体地说，设置防火墙的目的是隔离数据中心和局域网，保护数据中心不受攻击，实现以下基本功能：

负载均衡的作用是可以为用户访问数据中心时，能够实现应用级的负载分担。

无线安全设计

无线局域网（WLAN）具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点。但是由于无线局域网开放访问的特点，使得攻击者能够很容易的进行窃听，恶意修改并转发，因此安全性成为阻碍无线局域网发展的最重要因素。园区用户大多容易接受新鲜事物，虽然一方面对无线网络的需求不断增长，但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否使用无线局域网犹豫不决。

目前有很多种无线局域网的安全技术，包括物理地址（MAC）过滤、服务集标识符（SSID）匹配、有线对等保密（WEP）、端口访问控制技术（IEEE802.1x）、WPA （Wi-Fi Protected Access）、IEEE 802.11i等。面对如此多的安全技术，应该选择哪些技术来解决无线局域网的安全问题，才能满足用户对安全性的要求。

联系我们

地址：江苏省南京市玄武区玄武大道699-22号江苏软件园24栋2楼
邮政编码：210000

联系电话：

产品销售咨询 13913915777 张先生

方案销售咨询 13851869694 王先生
方案技术咨询 13851869694 王先生

网络方案技术咨询 18651604075 张先生
投诉及服务建议 13305179823 朱先生

点击留言