园区网络安全设计——核心层
本机防攻击
本机防攻击是交换机的一个重要功能集合,可保护CPU,解决CPU因处理大量正常上送CPU的报文或者恶意攻击报文造成的业务中断问题,保证设备在受到攻击时已有业务可以正常运转,主要功能有:CPU防攻击、攻击溯源和端口防攻击。
CPU防攻击
CPU防攻击可以针对上送CPU的报文进行限制和约束,使单位时间内上送CPU报文的数量限制在一定的范围之内,从而保护CPU的安全,保证CPU对业务的正常处理。CPU防攻击的核心部分是CPCAR(Control Plane Committed Access Rate)和黑白名单。
CPCAR通过对上送控制平面的不同业务的协议报文分别进行限速,来保护控制平面的安全。针对不同类型的协议报文,通过独立的CP-CAR值,限制协议报文上送CPU的速率,保护CPU免受大量攻击而瘫痪。通过合理的调整CP-CAR的值,提升设备处理协议报文的能力,但CP-CAR不能任意放大,过大的话,CP-CAR将无法有效保护CPU。
随着接入用户数的不断增加,以及认证带来的协议报文的交互的增加,默认的CP-CAR将不再适用,不合理调整CP-CAR,结果往往就是协议报文被挤占而导致用户不能正常上线或者异常掉线。
下面以修改ARP Request报文的CAR值为例进行配置举例。
创建防攻击策略。
[Switch] cpu-defendpolicypolicy1#配置ARPRequest报文的CP-CAR值为120kbit/s。[Switch-cpu-defend-policy-policy1] carpacket-typearp-requestcir120Warning: Improperparametersettingsmayaffectstableoperatingofthesystem. UsethiscommandunderassistanceofHuaweiengineers. Continue? [Y/N]: y#应用防攻击策略到主控板。[Switch] cpu-defend-policypolicy1
应用防攻击策略到接口板。
[Switch] cpu-defend-policypolicy1globa
l结合之前项目采用的现网用户行为,进行现网用户一般行为实时调整CP-CAR值。
通过创建黑名单,把符合特定特征的用户纳入到黑名单中,设备将直接丢弃黑名单用户上送的报文;通过创建白名单,把符合特定特征的用户纳入到白名单中,设备将优先处理匹配白名单特征的报文。
定义ACL规则。
[Switch] aclnumber2001[Switch-acl-basic-2001] rulepermitsource10.1.1.00.0.0.255[Switch-acl-basic-2001] quit[Switch] aclnumber2002[Switch-acl-basic-2002] rulepermitsource10.2.2.00.0.0.255[Switch-acl-basic-2002] quit
创建防攻击策略。
[Switch] cpu-defendpolicypolicy1
配置CPU防攻击黑名单。
[Switch-cpu-defend-policy-policy1] blacklist1acl2001#配置CPU防攻击白名单。[Switch-cpu-defend-policy-policy1] whitelist1acl2002#应用防攻击策略到主控板。[Switch] cpu-defend-policypolicy1
应用防攻击策略到接口板。
[Switch] cpu-defend-policypolicy1global
通过统计功能,可以实时查看上送CPU的报文的转发和丢弃情况,能有效协助问题定位。
[HUAWEI] displaycpu-defendstatisticsall
攻击溯源
通过配置攻击溯源,设备可以分析上送CPU的报文是否会对CPU造成攻击,对可能造成攻击的报文通过日志或告警提醒网络管理员,以便管理员采用一定的措施来保护设备,交换机默认开启攻击溯源功能。
创建cpu-defend策略,使能攻击溯源,使能攻击溯源事件上报功能。
<HUAWEI>system-view[HUAWEI] cpu-defendpolicytest[HUAWEI-cpu-defend-policy-test] auto-defendenable[HUAWEI-cpu-defend-policy-test] auto-defendalarmenable[HUAWEI-cpu-defend-policy-test] quit[HUAWEI] cpu-defend-policytest
查看攻击源信息。
[HUAWEI] displayauto-defendattack-source
触发攻击溯源时,交换机有对应的动作可配置,比如丢弃,但一般不建议配置动作,因为网络中可能是突发的流量涌动,丢弃会影响业务。我们只用攻击溯源的监控功能即可,上述命令行可以随时监控当前网络中是不是持续性受到攻击或持续性涌流的影响。
端口防攻击
通过配置端口防攻击,设备可以基于端口维度对上送CPU的报文进行溯源和限速,以防御针对CPU的DoS攻击,交换机默认开启端口防攻击功能。
创建cpu-defend策略,使能端口防攻击。防攻击策略可以应用在主控板、所有接口板或指定接口板上,可以根据实际情况选择。
[HUAWEI] cpu-defendpolicydefend[HUAWEI-cpu-defend-policy-defend] auto-port-defendenable[HUAWEI-cpu-defend-policy-defend] quit[HUAWEI] cpu-defend-policydefend//在主控板上应用防攻击策略[HUAWEI] cpu-defend-policydefendglobal//在所有接口板上应用防攻击策略[HUAWEI] slot3[HUAWEI-slot-3] cpu-defend-policytest//在指定接口板上应用防攻击策略
查看端口防攻击记录。
[HUAWEI] displayauto-port-defendattack-source
上述命令可以查看触发端口防攻击的记录,触发端口防攻击并不代表一定是出现大量的攻击,只是一个设备CPU自我保护的一个过程,当网络中出现短暂的ARP涌动时,也会触发端口防攻击,针对这种瞬时的ARP涌动,或者持续性的攻击,端口防攻击会有效限制这些报文对CPU的冲击。
如果有特殊业务需求,例如网络侧的端口通常会收到大量协议报文,然而这些协议报文一般为合法报文,此时通过将该端口或者该端口连接的其他网络节点加入端口防攻击白名单,使设备不对其溯源和限速,可以避免因网络侧大量协议报文得不到CPU及时处理而影响正常业务。
配置网络侧接口GE1/0/0为端口防攻击白名单,避免网络侧的协议报文得不到CPU及时处理而影响正常业务。
[Switch-cpu-defend-policy-policy1] auto-port-defendwhitelist1interfacegigabitethernet1/0/0
TC防攻击
设备收到TC报文时会通知ARP模块对ARP表项进行老化或者删除,此时设备需要重新进行ARP学习,以获得最新的ARP表项信息。但是如果网络的拓扑变化频繁,或者网络中设备的ARP表项很多,ARP的重新学习会导致网络中的ARP报文过多。
设备在接收到拓扑变化报文后,会执行MAC地址表项和ARP表项的删除操作,如果频繁操作则会对CPU的冲击很大,可能造成CPU占用率过高。建议在使能STP协议的所有设备上开启TC保护。
<HUAWEI>system-view[HUAWEI] stptc-protection
去使能设备响应TC报文并配置MAC刷新ARP功能,使设备收到TC报文的时候,ARP表项不再进行老化或者删除。
<HUAWEI>system-view[HUAWEI] mac-addressupdatearp[HUAWEI] arptopology-changedisable
ARP安全
当前核心上用到的ARP安全功能主要包含:ARP优化应答和ARP防网关冲突。
ARP优化应答
当设备作为接入网关时,设备会收到大量请求本机接口MAC地址的ARP请求报文。如果全部将这些ARP请求报文上送主控板处理,将会导致主控板CPU使用率过高,影响CPU对正常业务的处理。
为了避免上述危害,可以使能ARP优化应答功能。使能该功能后,对于目的IP地址是本设备接口IP地址的ARP请求报文,接口板直接回复ARP应答,从而可以提高设备防御ARP泛洪攻击的能力。该功能尤其适用于设备上安装了多块接口板的场景。缺省情况下,ARP优化应答功能处于使能状态。
[HUAWEI] undoarpoptimized-replydisable
ARP防网关冲突
如果有攻击者仿冒网关,在局域网内部发送源IP地址是网关IP地址的ARP报文,会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。这样其他用户主机就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到他们发送的数据内容,并且最终会造成这些用户主机无法访问网络。
为了防范攻击者仿冒网关,当用户主机直接接入网关时,可以在网关设备上使能ARP防网关冲突攻击功能。当设备收到的ARP报文存在下列情况之一:
ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同。
ARP报文的源IP地址是入接口的虚拟IP地址,但ARP报文源MAC地址不是VRRP虚MAC。
设备就认为该ARP报文是与网关地址冲突的ARP报文,设备将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。
[HUAWEI] arpanti-attackgateway-duplicateenable
ARP代理
对于集中转发模式,由于下行二层设备都配置了端口隔离,需要核心网关上配置对应的ARP代理,一般采用的是VLAN内ARP代理。
[HUAWEI] interfacevlanif100[HUAWEI-Vlanif100] arp-proxyinner-sub-vlan-proxyenable
说明:此场景下,接入设备和汇聚设备都需要配置端口隔离。
配置接口GE1/0/1和GE1/0/2的端口隔离功能,实现两个接口之间的二层数据隔离,三层数据互通。
[HUAWEI] interfacegigabitethernet1/0/1[HUAWEI-GigabitEthernet1/0/1] port-isolateenablegroup1[HUAWEI-GigabitEthernet1/0/1] quit[HUAWEI] interfacegigabitethernet1/0/2[HUAWEI-GigabitEthernet1/0/2] port-isolateenablegroup1[HUAWEI-GigabitEthernet1/0/2] quit
IPv6防攻击
建议配置IPv6安全防攻击在网络正常的情况下,设备可以正确接收ICMPv6报文。但是,在网络流量较大时,如果频繁出现主机不可达、端口不可达的现象,则设备会接收大量的ICMPv6报文,这样会增大网络的流量负担,明显降低设备的性能。同时,网络攻击者经常利用ICMPv6差错报文非法刺探网络内部结构以达到攻击目的。
为了提高网络的性能和增强网络的安全,可以去使能系统接收ICMPv6应答报文、主机不可达报文、端口不可达报文功能,防止针对这些ICMPv6报文的安全攻击。
去使能系统接收ICMPv6应答报文、主机不可达报文与端口不可达报文的功能。
<HUAWEI>system-view[HUAWEI] undoipv6icmpecho-replyreceive[HUAWEI] undoipv6icmpport-unreachablereceive[HUAWEI] undoipv6icmphost-unreachablereceive
