园区网络安全性设计——接入层

简介: 园区网络安全性设计——接入层

园区网络安全性设计——接入层


接入层


广播风暴控制

当设备二层以太接口收到广播、组播或未知单播报文时,如果根据报文的目的MAC地址设备不能明确报文的出接口,设备会向同一VLAN内的其他二层以太接口转发这些报文,这样可能导致广播风暴,降低设备转发性能。


在接入层下行接口,部署广播、组播、未知单播报文的抑制,可有效减少广播风暴。


可以按照百分比来设置抑制速率

<HUAWEI>system-view[HUAWEI] interfacegigabitethernet1/0/1[HUAWEI-GigabitEthernet1/0/1] broadcast-suppression5[HUAWEI-GigabitEthernet1/0/1] multicast-suppression5[HUAWEI-GigabitEthernet1/0/1] unicast-suppression5


如果对风暴控制要求较高的话,还可以基于字节速率和报文速率(小粒度控制)

<HUAWEI>system-view[HUAWEI] interfacegigabitethernet1/0/1[HUAWEI-GigabitEthernet1/0/1] broadcast-suppressioncir100[HUAWEI-GigabitEthernet1/0/1] multicast-suppressioncir100[HUAWEI-GigabitEthernet1/0/1] unicast-suppressioncir100


防攻击

接入交换机建议配置DHCP Snooping,上行口配置成trust配置DHCP Snooping功能,可有效防止DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将接口设置为信任接口和非信任接口,信任接口正常转发接收到的DHCP报文,非信任接口接收到DHCP服务器响应的DHCP ACK和DHCP OFFER报文后,将丢弃该报文。


直接或间接连接管理员信任的DHCP服务器的接口需要设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。


DHCP Snooping可以基于接口配置,也可以基于VLAN配置。


基于接口配置接入交换机的DHCP Snooping,上行口配置为信任接口。

<HUAWEI>system-view[HUAWEI] dhcpenable[HUAWEI] dhcpsnoopingenable[HUAWEI] interfacegigabitethernet1/0/1[HUAWEI-GigabitEthernet1/0/1] dhcpsnoopingtrusted//上行口配置为信任接口,使接入交换机只处理从该接口收到的DHCP服务器响应报文[HUAWEI-GigabitEthernet0/0/1] quit[HUAWEI] interfacegigabitethernet0/0/2[HUAWEI-GigabitEthernet0/0/2] dhcpsnoopingenable//使能用户侧接口的DHCP Snooping功能[HUAWEI-GigabitEthernet0/0/2] quit


基于VLAN配置。

[HUAWEI] dhcpenable[HUAWEI] dhcpsnoopingenable[HUAWEI] vlan10[HUAWEI-vlan10] dhcpsnoopingenable[HUAWEI-vlan10] dhcpsnoopingtrustedinterfacegigabitethernet0/0/1


如果网络中只有有线用户,DHCP Snooping可以基于接口配置,也可以基于VLAN配置。如果网络中同时存在有线用户和无线用户,交换机连接AP的接口不建议使能DHCP Snooping,可能会造成交换机用户绑定表超规格,所以针对有线用户,建议基于VLAN配置DHCP Snooping,针对无线用户,建议在无线侧VAP模板上配置。无线侧VAP模板上的配置。


建议在接口或VLAN下配置IP报文检查和动态ARP检测

在网络中经常出现利用仿冒合法用户的源IP、MAC等信息的报文访问或攻击网络的情况,导致合法用户无法获得稳定、安全的网络服务。配置IP源防攻击功能,可以防范上述情况的发生。IP源防攻击(IPSG)可以防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。


为了防御中间人攻击,避免合法用户的数据被中间人窃取,可以使能动态ARP检测功能。设备会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。


可在接口视图或VLAN视图下使能动态ARP检测功能。在接口视图下使能时,则对该接口收到的所有ARP报文进行绑定表匹配检查;在VLAN视图下使能时,则对加入该VLAN的接口收到的属于该VLAN的ARP报文进行绑定表匹配检查。


使能接口GE1/0/1下的IP报文检查功能和动态ARP检测功能。

<HUAWEI>system-view[HUAWEI] interfacegigabitethernet1/0/1[HUAWEI-GigabitEthernet1/0/1] ipsourcecheckuser-bindenable[HUAWEI-GigabitEthernet1/0/1] arpanti-attackcheckuser-bindenable[HUAWEI-GigabitEthernet1/0/1] arpanti-attackcheckuser-bindalarmenable#使能VLAN100下的动态ARP检测功能。<HUAWEI>system-view[HUAWEI] vlan100[HUAWEI-vlan100] arpanti-attackcheckuser-bindenable这两个功能都是要基于绑定表进行检查的,绑定表可以是通过配置DHCPSnooping动态生成,也可以静态配置。


建议配置ARP/DHCP限速

由于终端行为未知,且终端数量大,为防止突发性的大量ARP/DHCP报文涌向核心,对核心造成较大的压力,可以在接入层设备的上行口配置出方向ARP/DHCP限速。


创建ACL,分别匹配DHCP报文和ARP报文。

[HUAWEI] acl3001[HUAWEI-acl-adv-3001] rule5permitudpdestination-porteqbootps[HUAWEI] acl4001[HUAWEI-acl-L2-4001] rule5permitl2-protocolarpdestination-macffff-ffff-ffff[HUAWEI-acl-L2-4001] rule10permitl2-protocolarp#上行接口配置限速。


上行接口添加到白名单。

[HUAWEI] interfaceEth-Trunk1[HUAWEI-Eth-Trunk1] traffic-limitoutboundacl3001cir192pir192cbs24000pbs24000[HUAWEI-Eth-Trunk1] traffic-limitoutboundacl4001cir32pir32cbs4000pbs4000


接入交换机连接网关的上行接口建议配置为攻击溯源的白名单

当希望某些用户无论其是否存在攻击都不对其进行攻击溯源分析和攻击溯源惩罚时,则可以配置攻击溯源的白名单。网关报文一般不丢弃,所以建议将接入交换机连接网关的


在防攻击策略test视图下,将接口GE1/0/1加入攻击溯源与端口防攻击的白名单。

<HUAWEI>system-view[HUAWEI] cpu-defendpolicytest[HUAWEI-cpu-defend-policy-test] auto-defendenable[HUAWEI-cpu-defend-policy-test] auto-defendwhitelist2interfacegigabitethernet1/0/1[HUAWEI-cpu-defend-policy-test] auto-port-defendenable[HUAWEI-cpu-defend-policy-test] auto-port-defendwhitelist2interfacegigabitethernet1/0/1


环路检测

针对环路可以在下行接口配置环路检测。

[HUAWEI] interfacegigabitethernet1/0/1[HUAWEI-GigabitEthernet1/0/1] loopback-detectenable


接入用户限制

一般接入设备接口所接用户数固定,对于办公位而言,

一般就是IP Phone和PC两类有线终端,对于宿舍而言

一般Hub扩展成4~8个用户,可通过配置接入用户限制,防止大量用户攻击涌入和非法用户接入。

[HUAWEI] interfacegigabitethernet1/0/1[HUAWEI-GigabitEthernet1/0/1] mac-limitmaximum2


端口隔离

建议在接入交换机连接终端的接口上配置端口隔离,加强用户通信安全,同时避免无效的广播报文影响用户业务。


配置接入交换机接口GE1/0/1的端口隔离功能。

<HUAWEI>system-view[HUAWEI] interfacegigabitethernet1/0/1[HUAWEI-GigabitEthernet1/0/1] port-isolateenable
相关文章
|
3月前
|
设计模式 安全 网络安全
|
6月前
|
监控 安全 数据安全/隐私保护
企业组网:构建智慧型网络基础设施,驱动未来商业发
随着数字化进程,企业组网演变为创新与竞争力的关键。智慧型网络基础设施助力企业内部协作效率提升,外部市场拓展及应对未来挑战。核心要素包括前瞻网络架构、高性能硬件、智能化软件和全面安全。实施策略涉及明确需求、制定方案、精细化实施、全面测试及持续优化,确保网络稳定、高效、安全。
98 3
企业组网:构建智慧型网络基础设施,驱动未来商业发
|
6月前
|
网络协议 安全 网络安全
4. 网络安全基础与网络接入
4. 网络安全基础与网络接入
|
网络协议 安全 网络虚拟化
园区网络安全性设计——接入层
园区网络安全性设计——接入层
139 0
|
存储 安全 网络协议
IoT亿级设备接入层建设实践
互联网的产品基本都需要解决终端的接入问题,每个接入层会因为终端数量、终端能力、网络环境等不同的因素有各自的设计特性。物联网场景下由于IoT设备的特点,不同的&quot;物&quot;特性催生了不同的IoT接入层。本文详细介绍了阿里云IoT在接入层的一些关键策略和设计。
1349 0
|
运维 监控 Cloud Native
云杉网络DeepFlow帮助5G核心网和电信云构建可观测性
为什么5G核心网和电信云需要可观测性?在过去的2021年,其实5G核心网在全球发生了多次影响范围大、持续时间长、社会影响广的故障。2021年的4月份加拿大Rogers发生了一次长达26个小时全国范围的移动通信网故障,故障发生后缺乏快速定位手段,导致故障难以在短时间内定位、消除。
258 0
云杉网络DeepFlow帮助5G核心网和电信云构建可观测性
|
存储 运维 安全
解读|阿里云IoT亿级设备接入层如何建设实践
"物"的种类非常多,应用场景、成本各不同,比如水表一般安装在户外,一般采用电池供电,这种设备对能耗的要求非常苛刻,比如基站铁塔的后备电源,一般安装在荒野,这种设备对网络的要求非常苛刻,比如开关,这种设备对存储、内存、cpu的要求非常苛刻,不同的"物"特性催生了不同的IoT接入层,下面来看看IoT接入层需要做什么?
解读|阿里云IoT亿级设备接入层如何建设实践
|
算法 中间件 Java
工行银企互联接入详解(1)--流程说明
本文目录 1. 背景 2. 业务流程 3. 开发流程
808 0
下一篇
无影云桌面