园区网络安全性设计——接入层

简介: 园区网络安全性设计——接入层

园区网络安全性设计——接入层


接入层


广播风暴控制


当设备二层以太接口收到广播、组播或未知单播报文时,如果根据报文的目的MAC地址设备不能明确报文的出接口,设备会向同一VLAN内的其他二层以太接口转发这些报文,这样可能导致广播风暴,降低设备转发性能。

在接入层下行接口,部署广播、组播、未知单播报文的抑制,可有效减少广播风暴。

  • 可以按照百分比来设置抑制速率
<HUAWEI> system-view 
[HUAWEI] interface gigabitethernet 1/0/1 
[HUAWEI-GigabitEthernet1/0/1] broadcast-suppression 5  
[HUAWEI-GigabitEthernet1/0/1] multicast-suppression 5 
[HUAWEI-GigabitEthernet1/0/1] unicast-suppression 5
  • 如果对风暴控制要求较高的话,还可以基于字节速率和报文速率(小粒度控制)
<HUAWEI> system-view                     
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] broadcast-suppression cir 100
[HUAWEI-GigabitEthernet1/0/1] multicast-suppression cir 100
[HUAWEI-GigabitEthernet1/0/1] unicast-suppression cir 100      


防攻击


接入交换机建议配置DHCP Snooping,上行口配置成trust配置DHCP Snooping功能,可有效防止DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将接口设置为信任接口和非信任接口,信任接口正常转发接收到的DHCP报文,非信任接口接收到DHCP服务器响应的DHCP ACK和DHCP OFFER报文后,将丢弃该报文。


直接或间接连接管理员信任的DHCP服务器的接口需要设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。

DHCP Snooping可以基于接口配置,也可以基于VLAN配置。

基于接口配置接入交换机的DHCP Snooping,上行口配置为信任接口。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping trusted    //上行口配置为信任接口,使接入交换机只处理从该接口收到的DHCP服务器响应报文
[HUAWEI-GigabitEthernet0/0/1] quit
[HUAWEI] interface gigabitethernet 0/0/2 
[HUAWEI-GigabitEthernet0/0/2] dhcp snooping enable     //使能用户侧接口的DHCP Snooping功能
[HUAWEI-GigabitEthernet0/0/2] quit
  • 基于VLAN配置。
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 10
[HUAWEI-vlan10] dhcp snooping enable
[HUAWEI-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/1

如果网络中只有有线用户,DHCP Snooping可以基于接口配置,也可以基于VLAN配置。如果网络中同时存在有线用户和无线用户,交换机连接AP的接口不建议使能DHCP Snooping,可能会造成交换机用户绑定表超规格,所以针对有线用户,建议基于VLAN配置DHCP Snooping,针对无线用户,建议在无线侧VAP模板上配置。无线侧VAP模板上的配置。


建议在接口或VLAN下配置IP报文检查和动态ARP检测

在网络中经常出现利用仿冒合法用户的源IP、MAC等信息的报文访问或攻击网络的情况,导致合法用户无法获得稳定、安全的网络服务。配置IP源防攻击功能,可以防范上述情况的发生。IP源防攻击(IPSG)可以防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。


为了防御中间人攻击,避免合法用户的数据被中间人窃取,可以使能动态ARP检测功能。设备会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。

可在接口视图或VLAN视图下使能动态ARP检测功能。在接口视图下使能时,则对该接口收到的所有ARP报文进行绑定表匹配检查;在VLAN视图下使能时,则对加入该VLAN的接口收到的属于该VLAN的ARP报文进行绑定表匹配检查。

使能接口GE1/0/1下的IP报文检查功能和动态ARP检测功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] ip source check user-bind enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind alarm enable# 使能VLAN100下的动态ARP检测功能。
<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] arp anti-attack check user-bind enable这两个功能都是要基于绑定表进行检查的,绑定表可以是通过配置DHCP Snooping动态生成,也可以静态配置。

建议配置ARP/DHCP限速


由于终端行为未知,且终端数量大,为防止突发性的大量ARP/DHCP报文涌向核心,对核心造成较大的压力,可以在接入层设备的上行口配置出方向ARP/DHCP限速。

  • 创建ACL,分别匹配DHCP报文和ARP报文。
[HUAWEI] acl 3001  
[HUAWEI-acl-adv-3001] rule 5 permit udp destination-port eq bootps  
[HUAWEI] acl 4001 
[HUAWEI-acl-L2-4001] rule 5 permit l2-protocol arp destination-mac ffff-ffff-ffff  
[HUAWEI-acl-L2-4001] rule 10 permit l2-protocol arp # 上行接口配置限速。
  • 上行接口添加到白名单。
[HUAWEI] interface Eth-Trunk1 
[HUAWEI-Eth-Trunk1] traffic-limit outbound acl 3001 cir 192 pir 192 cbs 24000 pbs 24000
[HUAWEI-Eth-Trunk1] traffic-limit outbound acl 4001 cir 32 pir 32 cbs 4000 pbs 4000

接入交换机连接网关的上行接口建议配置为攻击溯源的白名单

当希望某些用户无论其是否存在攻击都不对其进行攻击溯源分析和攻击溯源惩罚时,则可以配置攻击溯源的白名单。网关报文一般不丢弃,所以建议将接入交换机连接网关的


在防攻击策略test视图下,将接口GE1/0/1加入攻击溯源与端口防攻击的白名单。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-defend enable
[HUAWEI-cpu-defend-policy-test] auto-defend whitelist 2 interface gigabitethernet 1/0/1
[HUAWEI-cpu-defend-policy-test] auto-port-defend enable
[HUAWEI-cpu-defend-policy-test] auto-port-defend whitelist 2 interface gigabitethernet 1/0/1

环路检测

  • 针对环路可以在下行接口配置环路检测。
[HUAWEI] interface gigabitethernet 1/0/1   
[HUAWEI-GigabitEthernet1/0/1] loopback-detect enable 
• 1
• 2
  • 入用户限制
  • 一般接入设备接口所接用户数固定,对于办公位而言,
  • 一般就是IP Phone和PC两类有线终端,对于宿舍而言
  • 一般Hub扩展成4~8个用户,可通过配置接入用户限制,防止大量用户攻击涌入和非法用户接入。

端口隔离

建议在接入交换机连接终端的接口上配置端口隔离,加强用户通信安全,同时避免无效的广播报文影响用户业务。

  • 配置接入交换机接口GE1/0/1的端口隔离功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-isolate enable


目录
相关文章
|
1月前
|
存储 安全 网络安全
远程工作的新常态:确保家庭网络的安全性
远程工作的新常态:确保家庭网络的安全性
30 3
|
3月前
|
安全 算法 网络安全
无线网络中的WEP协议及其安全性问题
无线网络中的WEP协议及其安全性问题
107 0
|
6月前
|
安全 Java 网络安全
Java网络编程:高级应用与安全性探讨
Java网络编程:高级应用与安全性探讨
|
5月前
|
安全 Java 网络安全
Java网络编程:高级应用与安全性探讨
Java网络编程:高级应用与安全性探讨
|
5月前
|
安全 NoSQL Java
网络安全-----Redis12的Java客户端----客户端对比12,Jedis介绍,使用简单安全性不足,lettuce(官方默认)是基于Netty,支持同步,异步和响应式,并且线程是安全的,支持R
网络安全-----Redis12的Java客户端----客户端对比12,Jedis介绍,使用简单安全性不足,lettuce(官方默认)是基于Netty,支持同步,异步和响应式,并且线程是安全的,支持R
|
7月前
【专栏】子网划分在现代网络工程中的重要性,包括管理网络、增强安全性和优化IP地址使用
【4月更文挑战第28天】本文介绍了子网划分在现代网络工程中的重要性,包括管理网络、增强安全性和优化IP地址使用。文章阐述了子网划分的原理,如通过子网掩码划分广播域以减少网络风暴。接着,详细说明了子网划分的方法,涉及需求分析、选择子网掩码、计算子网及广播地址等步骤,并提到了VLSM和CIDR等高效技术。最后,通过实例展示了如何进行子网划分,强调实践对于掌握这项技能的关键作用。学习子网划分能提升网络管理和设计能力。
196 4
|
7月前
|
运维 安全 网络架构
【专栏】NAT技术是连接私有网络与互联网的关键,缓解IPv4地址短缺,增强安全性和管理性
【4月更文挑战第28天】NAT技术是连接私有网络与互联网的关键,缓解IPv4地址短缺,增强安全性和管理性。本文阐述了五大NAT类型:全锥形NAT(安全低,利于P2P)、限制锥形NAT(增加安全性)、端口限制锥形NAT(更安全,可能影响协议)、对称NAT(高安全,可能导致兼容性问题)和动态NAT(公网IP有限时适用)。选择NAT类型需考虑安全性、通信模式、IP地址数量和设备兼容性,以确保网络高效、安全运行。
626 1
|
Rust 监控 并行计算
用Rust构建电脑网络监控软件:内存安全性和多线程编程
在当今数字化世界中,网络安全一直是至关重要的问题。电脑网络监控软件是确保网络系统安全和高效运行的关键工具。然而,编写电脑网络监控软件需要处理复杂的多线程编程和内存安全性问题。Rust编程语言提供了一种强大的方式来构建安全的电脑网络监控软件,同时避免了许多常见的编程错误。
355 0
|
7月前
|
安全
哪些因素影响网络交易商品(服务)的安全性?
【5月更文挑战第14天】哪些因素影响网络交易商品(服务)的安全性?
61 0
|
网络协议 安全 网络安全
《计算机系统与网络安全》 第二章 计算机网络基础与TCPIP协议安全性
《计算机系统与网络安全》 第二章 计算机网络基础与TCPIP协议安全性
101 0
下一篇
DataWorks