網絡交換機安全加固策略探討

◆祝彥峰

(國家計算機網絡應急技術處理協調中心廣東分中心 廣東 510630)

1 概述

使用IP技術的因特網由于網絡的開放性和擴展性在全球范圍流行，深入社會的各個領域，同時IP網絡也因開放和擴展的原因在設計之初就存在固有的脆弱性，使得攻擊者很容易利用網絡的弱點發起各種各樣的攻擊。特別是隨著下一代網絡的興起，Everything over IP正在成為各種網絡技術發展的基礎。全球各個標準化研究組織和機構都開展了網絡安全體系架構、安全機制的研究。提出了一系列的安全標準。其中由ITU-T在2003年10月制定ITU-T X.805（10/2003）《提供端到端通信的系統的安全架構》比較全面地規定了信息網絡端到端安全服務體系的架構模型。包括三層三面八維，即應用層、業務層和傳送層，管理平面、控制平面和用戶平面，認證、可用性、接入控制、不可抵賴、機密性、數據完整性、私密性和通信安全。因此我們采用這個模型，從安全威脅角度和對應安全策略等方面進行探討，從管理平面、控制平面和轉發平面出發進行加固策略的研究。

2 管理平面

管理平面的安全加固，主要是對設備本身的操作通道和用戶權限等方面的加固管理，包括設備登錄方式、用戶管理、管理協議、鏈路層安全管理、業務平面隔離管理、設備資源防護管理、日志服務管理等。

管理通道分為協議管理通道和用戶管理通道，需要使用用戶名密碼對登錄的交換機串口（console口）和遠程虛接口連接均為用戶管理通道，采用的協議有rs232、telnet、ssh、http、https；協議管理通道通過網管協議進行設備監控和管理，一般采用服務器/客戶端的架構，當前主要協議有SNMP和telemetry。

按照最簡及安全的要求，僅開啟必要的登錄方式。不適用的服務應全部予以禁用。協議管理，也是同樣，在沒有網管系統的前提下，關閉所有管理協議。在有管理系統的情況下，配置必要的驗證手段，確保傳輸信息加密及獲取信息驗證等手段。用戶管理包括減少用戶數、合理設置用戶權限、制定用戶登錄策略等。

安全加固首要保障設備的物理安全、環境安全，攻擊者不能接觸到物理設備，制定用戶密碼安全策略，用戶管理通道的主要威脅有物理接觸、暴力破解密碼、拒絕服務攻擊等行為。配置相對應的安全策略為此采取設置物理設備啟動密碼、最小用戶數原則、啟用密碼符合復雜度和長度等級要求、啟用用戶認證失敗鎖定和設置重認證次數和時長、限制登錄用戶數、更換服務端口號、設置ACL限制訪問IP、服務綁定接口地址、啟用SSL加密協議等手段。在網管協議通道管理上，啟用安全等級高的SNMPv2c/v3協議，設置ACL限制訪問IP，采用加密通信防止信息偽裝、篡改、泄密等安全問題出現。在鏈路安全上，針對有需要二層鏈路，啟用MACsec技術加密保護以太網數據幀，防止二層網絡攻擊。

由于交換機的默認業務接口均支持管理協議，因此要在業務平面、管理平面采用ACL來限制登錄設備的IP的策略進行隔離。對于具備管理平面防護功能的交換機，可以限制上送CPU處理的報文協議和類型，降低惡意攻擊的風險、降低CPU占用率。

3 控制平面

網絡交換機需要運行各種各樣的協議來達成業務，這些協議自身需要考慮安全性，避免出現利用協議報文的變型、協議漏洞進行攻擊的行為。交換機控制平面主要包括業務平面協議安全管理、管理平面隔離管理、攻擊防范。具體按照業務協議有針對性的啟用協議安全機制，涉及協議有ARP、DHCP、路由、MPLS、組播、NTP、STP、VRRP、二層聚合鏈路協議等，攻擊行為有IP地址欺騙、數據傳輸等安全防護內容，配置相對應的安全策略。需要具體結合實際工程項目中的交換機選型配置和選擇加固項目。對于泛洪攻擊類可以采用安全的接入認證協議、黑白名單等形式進行防護，加強控制平面的安全性。

4 轉發平面

交換機業務轉發平面是交換機完成業務的執行平面，安全加固更為重要，加固方法主要采用ACL訪問控制列表的方式、流量抑制、風暴控制、轉發路徑管理等方法實現。可以選用端口保護、端口隔離、端口安全控制等技術進行進一步的安全防護。

4.1 訪問控制列表

交換機中信息流的轉發主要通過報文的目的MAC地址、目的IP地址來查找路徑轉發；相關安全性主要針對轉發路徑上如何避免對交換機自身的惡意攻擊行為，以及預防某些攻擊流量在IP網絡中的擴散。

結合實際業務，通過使用二層ACL、基本ACL、高級ACL和自定義ACL的精準控制規則實現對網絡中報文流的精確識別和控制，達到控制網絡訪問行為、防止網絡攻擊和提高網絡帶寬利用率的目的，從而切實保障網絡環境的安全性和網絡服務質量的可靠性。

4.2 流量抑制、風暴控制

交換機收到未知目的MAC地址的數據報文，將使用廣播的形式轉發報文至VLAN內所有出接口，形成大量轉發流量，在存在環路的網絡中，就形成了廣播風暴。應對策略為在用戶接入側使用流量抑制、網絡互聯側啟用風暴控制特性，通過在配置閾值來限制流量，關閉端口來阻斷流量的方式，限制和控制廣播、組播報文流量，防范廣播風暴。

4.3 端口相關技術

網絡中，對上行網關出口線路/端口故障的情況，可以通過建立端口保護組的形式，形成一主一備的端口級鏈路保障，在主線路出現故障時，自動切換至備用線路，保障業務無中斷。接入側網絡中，由于VLAN隔離方式形成的粒度較大，在業務主機之間沒有需要互訪的情況下，為了提供安全的業務環境，可以啟用端口隔離技術，將需要隔離的主機端口加入隔離組中，形成VLAN內的主機報文隔離，提供了更安全、更靈活的組網結構。

在對接入網絡的安全性要求較高的網絡中，可以進一步啟用端口安全功能，限制端口學習MAC地址數量，并將接口學習到的MAC地址轉換為安全MAC或Sticky MAC（設備重啟后依然存在的MAC表項），阻止其他非信任的MAC主機通過本接口和交換機通信，提高交換機與網絡的安全性。在形成環路或存在攻擊的網絡中會出現MAC地址漂移的情況，導致MAC轉發表不穩定。通過設置接口MAC地址學習優先級、禁止相同優先級接口MAC地址漂移等方式，可以限制MAC地址漂移。此時接口將不再學習相同的MAC地址，非法攻擊者將無法使用網絡設備MAC地址干擾網絡正常通信。

5 結束語

網絡交換機的安全加固是在對交換機應用場景的完全認知的情況下，適度的調整加固策略，防護安全威脅。因此需要對當前網絡提供的服務業務的流程深入了解，分析業務面臨的安全威脅，評估安全加固后的代價，設計安全防護的合理方案，結合選用產品的功能性能指標制定和實施精準的安全策略。

安全是一個需要持續改進的過程,安全策略也要因時因地不斷優化、改進、應用、驗證，才能更好地保障設備安全、網絡安全，這樣才會有信息的安全。