以太网安全技术交流

全心为你，服务相随H3Care俱乐部以太网安全常用技术H3C全球技术服务部赵文瑞zhaowenrui@h3c.com13331057630不断变化的业务类型、不断变化的网络应用、不断变化的安全威胁，这些都让当前企业网络处在需要不断的自我调整、完善的状态。如何保持网络的安全可用，成为企业园区网络运维面临的挑战。引入以太网常见的安全问题几个以太网安全技术以太网常用安全技术介绍案例分析目录地址学习＋静态MAC表mac-addressmac-learningdisablemac-addressstaticmac-addressinterfaceinterface-typeinterface-number端口安全port-securityenableMAC+IP+端口绑定,端口安全中的1个特性amuser-bindmac-addrmac-addressip-addrip-addressinterfaceinterface-typeinterface-numberDHCPDOS攻击DHCPRelayOption82dhcpserverrelayinformationenableDHCPSnoopingOption82dhcp-snoopinginformationenableCPU恶意冲击ARP限速arpsource-suppressionlimit{total|local|through}value防范攻击的其它特性广播风暴抑制broadcast-suppressionratio环路检测loopbackdetectionenableEAD特性security-policy-serverip-address802.1xdot1xenable端口安全特性port-securityenable{total|local|through}value端口隔离portisolateIsolate-User-VLANisolate-user-vlanenableMAC/IP欺骗攻击DHCPrelaySecuritydhcp-securityip-addressmac-addressIP源地址保护ip-protectenableDHCP服务器欺骗攻击DHCPSnoopingTrustdhcp-snoopingtrust根桥伪装攻击STP根保护stproot-protectionBPDU保护stpbpdu-protectionTCN攻击TC-BPDU报文非立即处理机制stptc-protectionenable路由源伪装攻击OSPF/RIP路由MD5验证ospfauthentication-modemd5key-idkeyripauthentication-modemd5rfc2082keykey-id管理人员泄密远程管理终端限制(TelnetVTY配置ACL)aclacl-numberinbound用户分级levellevel-value暴力尝试攻击远程管理终端限制(TelnetVTY配置ACL)aclacl-numberinbound以太网常见的安全问题几个以太网安全技术以太网常用安全技术介绍案例分析目录端口隔离技术为了实现报文之间的二层隔离，可以将不同的端口加入不同的VLAN，但会浪费有限的VLAN资源。采用端口隔离特性，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。端口隔离特性与端口所属的VLAN无关。同VLAN下同一隔离组内相互隔离，同VLAN不同隔离组或者隔离组内外不隔离，隔离组内的端口和隔离组外端口二层流量双向互通。为了使隔离组与隔离组外二层互通，隔离组内必须存在上行端口。VLAN内非端口隔离组成员即为上行端口，隔离组内上行端口的数量没有限制。技术在实际组网中，有时会出现一种特殊的现象——单向链路（即单通）。所谓单向链路是指本端设备可以通过链路层收到对端设备发送的报文，但对端设备不能收到本端设备的报文。单向链路会引起一系列问题，比如生成树拓扑中存在环路等。DLDP（DeviceLinkDetectionProtocol，设备链路检测协议）可以监控光纤或铜质双绞线的链路状态。如果发现单向链路存在，DLDP会根据用户配置，自动关闭或通知用户手工关闭相关端口，以防止网络问题的发生。、Authorization、Accounting（认证、授权、计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。AAA一般采用客户机/服务器结构，客户端运行于NAS（NetworkAccessServer，网络接入服务器）上，服务器上则集中管理用户信息。NAS对于用户来讲是服务器端，对于服务器来说是客户端。（安全外壳）的简称。用户通过一个不能保证安全的网络环境远程登录到设备时，SSH可以利用加密和强大的认证功能提供安全保障，保护设备不受诸如IP地址欺诈、明文密码截取等攻击。设备支持SSH服务器功能，可以接受多个SSH客户端的连接。同时，设备还支持SSH客户端功能，允许用户与支持SSH服务器功能的设备建立SSH连接，从而实现从本地设备通过SSH登录到远程设备上。绑定功能，可以对端口转发的报文进行过滤控制，防止非法报文通过端口，提高了端口的安全性。端口接收到报文后查找IPSourceGuard绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。绑定功能是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。IPSourceGuard支持的报文特征项包括：源IP地址、源MAC地址和VLAN标签。并且，可支持端口与如下特征项的组合：IP、MAC、IP＋MACIP＋VLAN、MAC＋VLAN、IP＋MAC＋VLAN以太网常见的安全问题几个以太网安全技术以太网常用安全技术介绍案例分析目录以太网访问列表主要作用:在整个网络中分布实施接入安全性服务器部门A部门BIntranetInternet访问列表对到达端口的数据包进行分类，并打上不同的动作标记访问列表可作用于交换机的部分或所有端口访问列表的主要用途：包过滤镜像流量限制流量统计分配队列优先级层流分类项以太网帧承载的数据类型源/目的MAC地址以太网封装格式VlanID入/出端口3/4层流分类项协议类型源/目的IP地址源/目的端口号DSCP（访问控制列表的子规则）Time-range（时间段机制）ACL=rules+[time-range]（访问控制列表由一系列子规则组成，必要时可以和时间段结合）访问控制列表子规则:rule1子规则:rule2子规则:rule3...子规则:ruleN时间段的相关配置在系统视图下，配置时间段:time-rangetime-name[start-timetoend-time][days-of-the-week][fromstart-timestart-date][toend-timeend-date]在系统视图下，删除时间段:undotime-rangetime-name[start-timetoend-time][days-of-the-week][fromstart-timestart-date][toend-timeend-date]假设管理员需要在2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施安全策略，可以定义时间段名为denytime，具体配置如下:[H3C]time-rangedenytimefrom8:0012-01-2002to18:0001-01-2003定义访问控制列表在系统视图下，定义ACL并进入访问控制列表视图:acl{numberacl-number|nameacl-namebasic|advanced|link|user}[match-order{config|auto}]在系统视图下，删除ACL:undoacl{numberacl-number|nameacl-name|all}基本访问控制列表的子规则配置在基本访问控制列表视图下，配置相应的子规则rule[rule-id]{permit|deny}[sourcesource-addrwildcard|any][fragment][time-rangename]在基本访问控制列表视图下，删除一条子规则undorulerule-id[source][fragment][time-range]协议支持的端口操作符及语法操作符及语法含义eqportnumber等于portnumbergtportnumber大于portnumberltportnumber小于portnumberneqportnumber不等于portnumberrangeportnumber1portnumber2介于端口号portnumber1和portnumber2之间子规则匹配原则一条访问控制列表往往会由多条子规则组成，这样在匹配一条访问控制列表的时候就存在着子规则匹配顺序的问题。在H3C系列交换机产品上，支持下列两种匹配顺序：Config：指定匹配该子规则时按用户的配置顺序匹配Auto：指定匹配该子规则时系统自动排序（按“深度优先”的规则）激活访问控制列表在系统视图下，激活ACL:packet-filter{user-group{acl-number|acl-name}[rulerule]|{ip-group{acl-number|acl-name}[rulerule]|link-group{acl-number|acl-name}[rulerule]}}在系统视图下，取消激活ACL:undopacket-filter{user-group{acl-number|acl-name}[rulerule]|{ip-group{acl-number|acl-name}[rulerule]|link-group{acl-number|acl-name}[rulerule]}}访问控制列表的维护和调试显示时间段状况:displaytime-range[all|name]显示访问控制列表的详细配置信息:displayaclconfig{all|acl-number|acl-name}显示访问控制列表的下发应用信息:displayaclrunning-packet-filterall清除访问控制列表的统计信息:res