园区网络安全性设计——接入层
接入层
广播风暴控制
当设备二层以太接口收到广播、组播或未知单播报文时,如果根据报文的目的MAC地址设备不能明确报文的出接口,设备会向同一VLAN内的其他二层以太接口转发这些报文,这样可能导致广播风暴,降低设备转发性能。
在接入层下行接口,部署广播、组播、未知单播报文的抑制,可有效减少广播风暴。
- 可以按照百分比来设置抑制速率
<HUAWEI> system-view [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] broadcast-suppression 5 [HUAWEI-GigabitEthernet1/0/1] multicast-suppression 5 [HUAWEI-GigabitEthernet1/0/1] unicast-suppression 5
- 如果对风暴控制要求较高的话,还可以基于字节速率和报文速率(小粒度控制)
<HUAWEI> system-view [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] broadcast-suppression cir 100 [HUAWEI-GigabitEthernet1/0/1] multicast-suppression cir 100 [HUAWEI-GigabitEthernet1/0/1] unicast-suppression cir 100
防攻击
接入交换机建议配置DHCP Snooping,上行口配置成trust配置DHCP Snooping功能,可有效防止DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将接口设置为信任接口和非信任接口,信任接口正常转发接收到的DHCP报文,非信任接口接收到DHCP服务器响应的DHCP ACK和DHCP OFFER报文后,将丢弃该报文。
直接或间接连接管理员信任的DHCP服务器的接口需要设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。
DHCP Snooping可以基于接口配置,也可以基于VLAN配置。
基于接口配置接入交换机的DHCP Snooping,上行口配置为信任接口。
<HUAWEI> system-view [HUAWEI] dhcp enable [HUAWEI] dhcp snooping enable [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] dhcp snooping trusted //上行口配置为信任接口,使接入交换机只处理从该接口收到的DHCP服务器响应报文 [HUAWEI-GigabitEthernet0/0/1] quit [HUAWEI] interface gigabitethernet 0/0/2 [HUAWEI-GigabitEthernet0/0/2] dhcp snooping enable //使能用户侧接口的DHCP Snooping功能 [HUAWEI-GigabitEthernet0/0/2] quit
- 基于VLAN配置。
[HUAWEI] dhcp enable [HUAWEI] dhcp snooping enable [HUAWEI] vlan 10 [HUAWEI-vlan10] dhcp snooping enable [HUAWEI-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/1
如果网络中只有有线用户,DHCP Snooping可以基于接口配置,也可以基于VLAN配置。如果网络中同时存在有线用户和无线用户,交换机连接AP的接口不建议使能DHCP Snooping,可能会造成交换机用户绑定表超规格,所以针对有线用户,建议基于VLAN配置DHCP Snooping,针对无线用户,建议在无线侧VAP模板上配置。无线侧VAP模板上的配置。
建议在接口或VLAN下配置IP报文检查和动态ARP检测
在网络中经常出现利用仿冒合法用户的源IP、MAC等信息的报文访问或攻击网络的情况,导致合法用户无法获得稳定、安全的网络服务。配置IP源防攻击功能,可以防范上述情况的发生。IP源防攻击(IPSG)可以防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
为了防御中间人攻击,避免合法用户的数据被中间人窃取,可以使能动态ARP检测功能。设备会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。
可在接口视图或VLAN视图下使能动态ARP检测功能。在接口视图下使能时,则对该接口收到的所有ARP报文进行绑定表匹配检查;在VLAN视图下使能时,则对加入该VLAN的接口收到的属于该VLAN的ARP报文进行绑定表匹配检查。
使能接口GE1/0/1下的IP报文检查功能和动态ARP检测功能。
<HUAWEI> system-view [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] ip source check user-bind enable [HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind enable [HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind alarm enable# 使能VLAN100下的动态ARP检测功能。 <HUAWEI> system-view [HUAWEI] vlan 100 [HUAWEI-vlan100] arp anti-attack check user-bind enable这两个功能都是要基于绑定表进行检查的,绑定表可以是通过配置DHCP Snooping动态生成,也可以静态配置。
建议配置ARP/DHCP限速
由于终端行为未知,且终端数量大,为防止突发性的大量ARP/DHCP报文涌向核心,对核心造成较大的压力,可以在接入层设备的上行口配置出方向ARP/DHCP限速。
- 创建ACL,分别匹配DHCP报文和ARP报文。
[HUAWEI] acl 3001 [HUAWEI-acl-adv-3001] rule 5 permit udp destination-port eq bootps [HUAWEI] acl 4001 [HUAWEI-acl-L2-4001] rule 5 permit l2-protocol arp destination-mac ffff-ffff-ffff [HUAWEI-acl-L2-4001] rule 10 permit l2-protocol arp # 上行接口配置限速。
- 上行接口添加到白名单。
[HUAWEI] interface Eth-Trunk1 [HUAWEI-Eth-Trunk1] traffic-limit outbound acl 3001 cir 192 pir 192 cbs 24000 pbs 24000 [HUAWEI-Eth-Trunk1] traffic-limit outbound acl 4001 cir 32 pir 32 cbs 4000 pbs 4000
接入交换机连接网关的上行接口建议配置为攻击溯源的白名单
当希望某些用户无论其是否存在攻击都不对其进行攻击溯源分析和攻击溯源惩罚时,则可以配置攻击溯源的白名单。网关报文一般不丢弃,所以建议将接入交换机连接网关的
在防攻击策略test视图下,将接口GE1/0/1加入攻击溯源与端口防攻击的白名单。
<HUAWEI> system-view [HUAWEI] cpu-defend policy test [HUAWEI-cpu-defend-policy-test] auto-defend enable [HUAWEI-cpu-defend-policy-test] auto-defend whitelist 2 interface gigabitethernet 1/0/1 [HUAWEI-cpu-defend-policy-test] auto-port-defend enable [HUAWEI-cpu-defend-policy-test] auto-port-defend whitelist 2 interface gigabitethernet 1/0/1
环路检测
- 针对环路可以在下行接口配置环路检测。
[HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] loopback-detect enable • 1 • 2
- 接入用户限制
- 一般接入设备接口所接用户数固定,对于办公位而言,
- 一般就是IP Phone和PC两类有线终端,对于宿舍而言
- 一般Hub扩展成4~8个用户,可通过配置接入用户限制,防止大量用户攻击涌入和非法用户接入。
端口隔离
建议在接入交换机连接终端的接口上配置端口隔离,加强用户通信安全,同时避免无效的广播报文影响用户业务。
- 配置接入交换机接口GE1/0/1的端口隔离功能。
<HUAWEI> system-view [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] port-isolate enable