思科_网络自身安全白皮书
1 网络自身安全威胁和问题
今天的企业越来越多地把关键业务应用、语音、视频等新型应用融合到IP网络上,一个安全、可靠的网络是企业业务成功的关键。
但是随着网络应用的不断深入和广泛,网络自身安全的威胁和问题也愈发严重和复杂。
等等
这些问题,都对网络自身的稳定运行带来了极大的安全隐患,问题一旦发作,会导致网络设备资源耗尽,网络带宽被塞满,网络系统无法正常工作,使得企业业务不能有效进行,应用系统被侵入或篡改,造成的损失非常巨大,后果极为严重。
2 普通技术解决方案和不足
如何应对现在新的网络安全环境呢?如何在我们的网络上确保安全,及时地发现问题、跟踪定位和阻止泛滥,是每个网络管理人员所思考的问题。
为了应对网络平台日益泛滥的安全问题,普通的技术解决方案是针对问题的出现区域增加专门的安全设备,包括:
等等。
由于在网络设计的初期,缺少对网络安全的整体考虑,特别是没有网络自身层面去规划安全的要素,导致“头痛医头,脚痛医脚”,完全是“救火式”网络安全保护,结果自然是:
因此,我们需要从网络自身基础架构的层面上,考虑安全,规划安全,部署安全和实施安全。
安全已经不是网络中的一个选项,安全是网络中必不可少的重要组成部分,通过智能集成,分工协作,全局部署,做到真正融于网络内部,真正成为网络规划的核心,真正确保整体网络的稳定、可靠、高效运营。
3 思科网络自身安全解决方案
思科网络自身安全解决方案,通过设备及网络两个层面的安全保护,各自分工,系统协作,全面部署,从网络到主机,从核心层到分布层、接入层,我们要采取全面的企业安全策略来保护整个网络基础构架和其所连接的系统,即使当攻击,蠕虫和病毒发生时,我们的网络基础设施要具备相当的抵抗和承受能力,在自动适应“变化”的基础上,充分利用网络基础平台的优势,协助专门的安全系统,定位问题,提供数据,有效隔离,快速清楚,确保整体网络的稳定运行。
3.1 设备级保护
设备级别保护,是要求设备自身具备多种安全保护的功能与能力,从控制平面、管理平面和数据平面三个方面实现立体化全面安全防范机制,使得作为网络基本组成部分的每个元素都能够实现自我保护,自我安全。
3.1.1控制平面保护
3.1.1.1 控制平台保护
即使是最健全的软件设施和硬件架构面对拒绝服务(DoS)攻击也存在漏洞。DoS攻击属恶意行为,旨在用毫无价值的信息流充塞网络基础设施,使其陷入瘫痪,它们会伪装成某种控制分组,发往控制平面的处理器。为阻止这种以及类似的威胁网络核心的行为,通过收购防御DDos的专业安全公司Riverhead, Cisco IOS软件在路由器上增添了可编程监管功能 ,它可以限制目的地为控制平面的流量速率或监管该流量。此特性被称之为控制平面监管功能(CPP),可以配置,用于识别某种类型流量,当其达到某种阈值水平时予以限制可进行全面限制。CPP可以在即使是在DDoS攻击发生的时候也确保对控制层面的访问。
Cisco IOS软件允许就路由器的内存使用设置总体内存阈值,当达到阈值时系统将及时发布通知。通过预留CPU和内存,该特性使路由器在可能是由于攻击所造成的高负载情况下,依然能够保持运行。
3.1.1.2 安全高效的交换转发机制CEF
Cisco快速转发(Cisco Express Forwarding,CEF)是一种高级的第三层IP交换技术。可以在网络的任何地方使用CEF,特别是在企业骨干网的交换方面。此外,CEF可以优化像Internet这样带有大规模的、动态数据流的网络的性能和伸缩性。在网络核心中,骨干路由器上的CEF提供了高性能和伸缩性,用来对付网络规模的不断加大和稳定增长的数据流量。CEF是一种分散式交换机制,它随着接口卡数量和安装在路由器中带宽的变化而线性地变化。
CEF的安全优势
CEF可以通过大规模的动态通讯方式优化网络的性能和伸缩性,它的安全优点如下。 高效转发处理 和常规的快速交换路由相比较,CEF可以使用较少的内存容量来实现数据包的转发,这样,就可以节省更多处理器的资源,使得处理器能够专用于第三层的服务,比如提高服务质量(QoS)和加密功能等。 良好的伸缩能力 当启用分散式CEF模式时,CEF的每个线路卡上维护着一个与转发信息库 (Forwarding Information Base,FIB)和邻接表相同的拷贝,它能独自提供完全的交换能力。 可靠稳定运行 在大规模的动态网络中,CEF能提供了更好的交换的一致性和稳定性。在动态网络中,因为路由的改变会导致快速交换高速缓存条目频繁地失效,这些变化可能的结果就是要通过路由表对数据进行过程交换,而不是通过路由高速缓存进行快速交换。因为FIB查阅表中包含所有路由表中已知的路由,这样就不用维护路由高速缓存了,也不用采用快速交换和过程交换相互转换这种转发方案了。CEF能够比典型的高速缓存技术更稳定可靠地交换数据流。 较强的抗攻击能力
基于Flow的交换技术对于一个Flow的第一个包必须由主控引擎以软件方式处理,然后建立Flow表项,后续包才能进行线速交换。曾经发生的几大网络病毒和蠕虫导致网络内Flow的数量爆炸性增长,通常基于Flow的核心交换机所提供的几十万条Flow的容量远远不能满足,主控引擎的CPU也不堪重负发生死机,最后整个局域网瘫痪。
只有CEF的先进交换技术不受Flow数量的影响,具备抵抗类似蠕虫网络病毒攻击的能力。
3.1.2管理平面保护
3.1.2.1 “一键”保护设备安全Cisco AutoSecure
在当前复杂的网络环境中,联网设备提供稳定的配置选件来满足不同业务的要求。为网络选择适当的配置参数是非常复杂的过程:设置正确的参数,创建适当的过滤方式,启动或禁止服务分类,从而确保网络环境及设备的安全。安全配置是详细了解各个设置参数安全性的必要条件。参数配置的任何错误或过失都可能破坏网络安全,因为它可能导致安全漏洞,损害通过或连接到网络的信息的可用性、完整性和保密性。
AutoSecure是Cisco IOS软件的一个特性,它简化了路由器安全配置,降低了错误配置的风险。AutoSecure的交互模式适用于拥有丰富经验的客户,用户可依此定制安全设置和路由器服务,为路由器安全功能提供了更强大的控制功能。如果未培训过的用户需在不采取过多人工干预的情况下迅速保护路由器,可采用AutoSecure的非交互模式。这种模式可以自动启用由思科设定的缺省路由器安全功能 。一条指令就可以快速配置路由器安全状态,并使不必要的系统流程和服务被禁用,消除了潜在的网络安全威胁。
3.1.2.2 基于角色权限的管理访问CLI/SDM
基于角色的CLI接入特性使网络管理员可以定义“浏览权限”,即一组运行指令和配置功能,提供了对Cisco IOS软件的可选或部分接入限制。浏览权限限制了用户对Cisco IOS命令行界面 (CLI)和配置信息的访问,并可以定义可接受的指令和可视的配置信息。基于角色的CLI接入的应用包括网络管理员为安全人员提供对于某种功能的接入能力。此外,电信运营商可以利用该特性授予终端用户有限的接入能力,以帮助诊断网络故障。Cisco SDM还提供了管理员浏览和只读浏览、防火墙策略和EzVPN远程出厂缺省设置。用户通过基于角色的特定接入功能登陆Cisco SDM, 只可以浏览限于其角色的GUI屏幕。
每台Cisco 1800、2800和3800都带有在工厂中安装的思科路由器和安全设备管理器(SDM) 。Cisco SDM是一种直观的、基于Web的设备 管理器(GUI),用于思科路由器的部署和管理。Cisco SDM通过将启动向导用于快速部署和路由器锁定、有助于实施安全和路由功能的智能向导、思科技术支持中心 (TAC)批准的路由器配置,以及对象相关教育内容等,实现了路由器的简便配置和监控。
Cisco SDM 2.0将路由、安全和管理结合,使用方便的智能向导和深入排障功能,提供了将服务集成到路由器之上的简便工具。目前,客户可以在整个网络内将路由和安全策略同步化,拥有更全面的路由器服务状态浏览能力,并降低了运营成本。
Cisco SDM 2.0的全新关键特性包括:
|