当今社会,网络已经成为人们传递信息的重要工具,随着网络的应用越来越广泛,安全问题就变得日益突出。在网络中占有重要地位的交换机,不可避免的成为黑客攻击的重点对象。交换机的核心在于"交换",因此交换机安全最重要的任务就是能够正常转发数据,并保证数据在传输过程中不被截获或者篡改。而交换机的网络安全主要包括以下三个方面:

保密性:交换机存储、处理和传输的信息,不会被泄露到非授权的用户、实体或过程。即信息只为授权用户使用。

完整性:信息未经授权不能进行改变的特性。即网络信息在交换机存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等行为破坏和丢失的特性。

可用性:在要求的外部资源得到保证的前提下,交换机在规定的条件下和规定的时刻或时间区间,处于可执行规定功能状态的能力。业务持续可用,满足电信级服务质量要求。

为了达到这个目的,S交换机的安全从以下三个平面进行了规划部署。

图1 S交换机安全规划部署图

接入平面

接入平面的安全重点在于确保设备能够被合法管理,具体指哪些用户可以登录设备,登录到设备上

的用户又可以进行哪些操作。

如图1所示,S交换机接入平面的安全主要通过管理员登录和用户接入来保证。

管理员登录就是保证管理员安全的管理设备,交换机通过设置用户名和密码、ACL限制用户登

录,通过STelnet登录方式保证管理员登录过程安全,通过设置用户的级别控制用户操作权限。

用户接入指的是通过对接入用户进行认证、授权,保证只有合法安全的用户才能通过交换机接

入网络。

控制平面

控制平面主要采用CPU实现转发的控制。CPU就像我们的大脑,指挥着设备各项机能的正常运转。

CPU的安全是设备和协议正常运行的前提。我们都知道如果电脑打开的程序太多,运行过程中就会

出现卡顿,设备也是一样的道理。如果上送CPU处理的协议报文过多,CPU就会很繁忙,设备性能就

会下降,业务就会中断。因此,作为交换机的核心部件,CPU也就成为非法用户攻击的对象。

网络攻击可能会导致CPU高,但是CPU高并不一定是网络攻击引起的,还有可能是硬件故障、网络震

荡、网络环路等原因,本专题仅介绍由网络攻击引起的CPU高,其他内容请参见"华为S系列园区交

换机维护宝典"。

为了保证CPU的正常运行,交换机使用默认的CPCAR值对上送的协议报文进行限速。

图2 CPU防攻击处理流程

如果经过交换机默认的CPCAR限速后,上送CPU的报文依然超过了CPU可以处理的范围,CPU利用

率很高,还可以通过以下方式做进一步的处理:

调整CPCAR值:缩小CPCAR值,减少上送CPU的协议报文的数量;

攻击溯源:对上送CPU的报文进行分析统计,设置检查阈值,对于超过检查阈值的报文执行相

应的惩罚措施,如丢弃报文、Shutdown接口、设置黑名单等。

转发平面

转发平面的作用就是通过查询转发表项指导数据流量正确转发,因此针对转发平面的攻击无外乎两

种:

1) 耗尽转发表资源,导致合法用户的转发表无法被学习,合法用户的流量无法被转发

2) 篡改转发表,导致合法用户的流量转发至错误的地方。

那么交换机又是怎么预防这些攻击的呢?下面基于交换机网络部署位置,分别讲下二层网络的防攻

击方法和三层网络的防攻击方法。

二层网络

二层网络数据转发的核心是mac表,所有数据流量的转发都需要查找MAC表,因此MAC表也就

成为非法用户攻击二层网络的主要目标。非法用户通过发送大量的报文,迅速耗尽MAC表资源,

使报文因查找不到MAC表项进行广播,从而占用带宽资源,产生广播风暴。交换机支持通过MAC

学习控制、DHCP Snooping和风暴抑制等方式来保护MAC表的安全。

三层网络

三层网络数据转发依赖ARP表和路由表。路由表是通过协议协商生成的,因此非法用户很难对

此进行攻击。ARP表是通过协议报文生成的,非法用户可以发送大量的协议报文或者伪造协议

报文使ARP表项出现异常。因此ARP表是交换机在三层网络中保护的主要对象。交换机支持通过

ARP安全、DAI/EAI、IPSG防止此类攻击。

1.《安全网络图 交换机安全专题全景图》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。

2.《安全网络图 交换机安全专题全景图》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/keji/346096.html