国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

技術特色在這種咄咄逼人的安全形勢下，數(shù)據(jù)中心需要一個全方位一體化的安全部署方式。H3C數(shù)據(jù)中心安全解決方案秉承了H3C一貫倡導的“安全滲透理念”，將安全部署滲透到整個數(shù)據(jù)中心的設計、部署、運維中，為數(shù)據(jù)中心搭建起一個立體的、無縫的安全平臺，真正做到了使安全貫穿數(shù)據(jù)鏈路層到網(wǎng)絡應用層的目標，使安全保護無處不在。H3C數(shù)據(jù)中心安全解決方案的技術特色可用十二個字概括：三重保護、多層防御；分區(qū)規(guī)劃，分層部署。三重保護，多層防御3 數(shù)據(jù)中心三重安全保護以數(shù)據(jù)中心服務器資源為核心向外延伸有三重保護功能。依拖具有豐富安全特性的交換機構成數(shù)據(jù)中心網(wǎng)絡的第一重保護；以ASIC、FPGA和NP技術組成的具有高性能精確檢測引擎的IPS提供對網(wǎng)絡報文深度檢測，構成對數(shù)據(jù)中心網(wǎng)絡的第二重保護；第三重保護是憑借高性能硬件防火墻構成的數(shù)據(jù)中心網(wǎng)絡邊界。用一個形象的比喻來說明數(shù)據(jù)的三重保護。數(shù)據(jù)中心就像一個欣欣向榮的國家，來往的商客就像訪問數(shù)據(jù)中心的報文；防火墻是駐守在國境線上的軍隊，一方面擔負著守衛(wèi)國土防御外族攻擊（DDOS）的重任，另一方面負責檢查來往商客的身份（訪問控制）；IPS是國家的警察，隨時準備捉拿雖然擁有合法身份，但仍在從事違法亂紀活動的商客（蠕蟲病毒），以保衛(wèi)社會秩序；具有各種安全特性的交換機就像商鋪雇傭的保安，提供最基本的安全監(jiān)管，時刻提防由內(nèi)部人員造成的破壞（STP 攻擊）。4 數(shù)據(jù)中心多層安全防御三重保護的同時為數(shù)據(jù)中心網(wǎng)絡提供了從鏈路層到應用層的多層防御體系，如圖。交換機提供的安全特性構成安全數(shù)據(jù)中心的網(wǎng)絡基礎，提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡邊界安全定位在傳輸層與網(wǎng)絡層的安全上，通過狀態(tài)防火墻可以把安全信任網(wǎng)絡和非安全網(wǎng)絡進行隔離，并提供對DDOS和多種畸形報文攻擊的防御。IPS可以針對應用流量做深度分析與檢測能力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡中的各種流量進行有效管理，從而達到對網(wǎng)絡應用層的保護。分區(qū)規(guī)劃，分層部署在網(wǎng)絡中存在不同價值和易受攻擊程度不同的設備，按照這些設備的情況制定不同的安全策略和信任模型，將網(wǎng)絡劃分為不同區(qū)域，這就是所謂的分區(qū)思想。數(shù)據(jù)中心網(wǎng)絡根據(jù)不同的信任級別可以劃分為：遠程接入?yún)^(qū)、園區(qū)網(wǎng)、Internet服務器區(qū)、Extranet服務器區(qū)、Intranet服務器區(qū)、管理區(qū)、核心區(qū)，如圖。5 數(shù)據(jù)中心分區(qū)規(guī)劃思想所謂多層思想（n-Tier）不僅體現(xiàn)在傳統(tǒng)的網(wǎng)絡三層部署（接入－匯聚－核心）上，更應該關注數(shù)據(jù)中心服務器區(qū)（Server Farm）的設計部署上。服務器資源是數(shù)據(jù)中心的核心，多層架構把應用服務器分解成可管理的、安全的層次?！岸鄬印敝笖?shù)據(jù)中心可以有任意數(shù)據(jù)的層次，但通常是3層。按照功能分層打破了將所有功能都駐留在單一服務器時帶來的安全隱患，增強了擴展性和高可用性。如圖，第一層，Web服務器層，直接與接入設備相連，提供面向客戶的應用；第二層，即應用層，用來粘合面向用戶的應用程序、后端的數(shù)據(jù)庫服務器或存儲服務器；第三層，即數(shù)據(jù)庫層，包含了所有的數(shù)據(jù)庫、存儲和被不同應用程序共享的原始數(shù)據(jù)。6 數(shù)據(jù)中心分層部署思想關鍵技術說明本節(jié)將按照“三重保護、多層防御”的思想，詳細說明每種安全技術的應用模式。本節(jié)的最后還將介紹另一個不容忽視的問題－“數(shù)據(jù)中心網(wǎng)絡管理安全技術”。數(shù)據(jù)中心網(wǎng)絡架構安全技術網(wǎng)絡基礎架構的安全特性是數(shù)據(jù)中心中各部件產(chǎn)品基本安全特性的通稱。架構安全特性涉及服務器、接入交換機、負載均衡器、匯聚交換機、核心交換機等設備，部署點多、覆蓋面大，是構成整個安全數(shù)據(jù)中心的基石。H3C憑借基于COMWARE的具有豐富安全特性全系列智能交換機為數(shù)據(jù)中心打造堅實的基礎構架。COMWARE是由H3C推出的支持多種網(wǎng)絡設備的網(wǎng)絡操作系統(tǒng)，它以強大的IP轉發(fā)引擎為核心，通過完善的體系結構設計，把實時操作系統(tǒng)和網(wǎng)絡管理、網(wǎng)絡應用、網(wǎng)絡安全等技術完美的結合在一起。作為一個不斷發(fā)展、可持續(xù)升級的平臺，它具有開放的接口，可靈活支持大量的網(wǎng)絡協(xié)議和安全特性。COMWARE可應用在分布式或集中式的網(wǎng)絡設備構架之上，也就是說，不僅可以運行在高端的交換機/路由器上，而且也可以運行在中低端的交換機/路由器上，不向其它廠商，不同的軟件運行在不同的設備上。COMWARE的這一特性可使網(wǎng)絡中各節(jié)點設備得到同一的安全特性，徹底避免了由于部件產(chǎn)品安全特性不一致、不統(tǒng)一造成的安全“短木板效應”。7 數(shù)據(jù)中心基礎架構安全相關架構1.    基于VLAN的端口隔離交換機可以由硬件實現(xiàn)相同VLAN中的兩個端口互相隔離。隔離后這兩個端口在本設備內(nèi)不能實現(xiàn)二、三層互通。當相同VLAN中的服務器之間完全沒有互訪要求時，可以設置各自連接的端口為隔離端口，如圖。這樣可以更好的保證相同安全區(qū)域內(nèi)的服務器之間的安全：?          即使非法用戶利用后門控制了其中一臺服務器，但也無法利用該服務器作為跳板攻擊該安全區(qū)域內(nèi)的其他服務器。?          可以有效的隔離蠕蟲病毒的傳播，減小受感染服務器可能造成的危害。比如：如果Web服務器遭到了Code-Red紅色代碼的破壞，即使其它Web服務器也在這個網(wǎng)段中，也不會被感染。2.    STP Root/BPDU Guard基于Root/BPDU Guard方式的二層連接保護保證STP/RSTP穩(wěn)定,防止攻擊,保障可靠的二層連接。如圖。9 交換機Root Guard/BPDU Guard 技術BPDU Guard對于接入層設備，接入端口一般直接與用戶終端（如PC機）或文件服務器相連，此時接入端口被設置為邊緣端口以實現(xiàn)這些端口的快速遷移；當這些端口接受到配置消息（BPDU報文）時系統(tǒng)會自動將這些端口設置為非邊緣端口，重新計算生成樹，引起網(wǎng)絡拓撲的震蕩。這些端口正常情況下應該不會收到生成樹協(xié)議的配置消息的。如果有人偽造配置消息惡意攻擊交換機，就會引起網(wǎng)絡震蕩。BPDU保護功能可以防止這種網(wǎng)絡攻擊。交換機上啟動了BPDU保護功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口shutdown，同時通知網(wǎng)管。被shutdown的端口只能由網(wǎng)絡管理人員恢復。推薦用戶在配置了邊緣端口的交換機上配置BPDU保護功能。ROOT Guard由于維護人員的錯誤配置或網(wǎng)絡中的惡意攻擊，網(wǎng)絡中的合法根交換機有可能會收到優(yōu)先級更高的配置消息，這樣當前根交換機會失去根交換機的地位，引起網(wǎng)絡拓撲結構的錯誤變動。這種不合法的變動，會導致原來應該通過高速鏈路的流量被牽引到低速鏈路上，導致網(wǎng)絡擁塞。Root保護功能可以防止這種情況的發(fā)生。對于設置了Root保護功能的端口，端口角色只能保持為指定端口。一旦這種端口上收到了優(yōu)先級高的配置消息，即其將被選擇為非指定端口時，這些端口的狀態(tài)將被設置為偵聽狀態(tài)，不再轉發(fā)報文（相當于將此端口相連的鏈路斷開）。當在足夠長的時間內(nèi)沒有收到更優(yōu)的配置消息時，端口會恢復原來的正常狀態(tài)。LOOP PROTECTION交換機的根端口和其他阻塞端口的狀態(tài)依靠不斷接收上游交換機發(fā)送的BPDU來維持的。但是由于鏈路擁塞或者單向鏈路故障，這些端口會收不到上游交換機的BPDU。此時交換機會重新選擇根端口，根端口會轉變?yōu)橹付ǘ丝?，而阻塞端口會遷移到轉發(fā)狀態(tài)，從而交換網(wǎng)絡中會產(chǎn)生環(huán)路。環(huán)路保護功能會抑制這種環(huán)路的產(chǎn)生。在啟動了環(huán)路保護功能后，根端口的角色如果發(fā)生變化就會設置它為Discarding狀態(tài)，阻塞端口會一直保持在Discarding狀態(tài)，不轉發(fā)報文，從而不會在網(wǎng)絡中形成環(huán)路。TC PROTECTION根據(jù)IEEE 802.1w和IEEE 802.1s協(xié)議，交換機監(jiān)測到拓撲變化或者接收到TC報文后會清空MAC表。如果受到TC攻擊(連續(xù)不斷收到TC報文)交換機就會一直進行MAC刪除操作，影響正常的轉發(fā)業(yè)務。使能TC PROTECTION功能后，將減少刪除MAC的次數(shù)，保證業(yè)務的正常運行。3.    端口安全端口安全（Port Security）的主要功能就是通過定義各種安全模式，讓設備學習到合法的源MAC地址，以達到相應的網(wǎng)絡管理效果。對于不能通過安全模式學習到源MAC地址的報文或802.1x認證失敗的0當發(fā)現(xiàn)非法報文后，系統(tǒng)將觸發(fā)相應特性，并按照預先指定的方式自動進行處理，減少了用戶的維護工作量，極大地提高了系統(tǒng)的安全性和可管理性。端口安全的特性包括：NTK：NTK（Need To Know）特性通過檢測從端口發(fā)出的數(shù)據(jù)幀的目的MAC地址，保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過認證的設備上，從而防止非法設備竊聽網(wǎng)絡數(shù)據(jù)。Intrusion Protection：該特性通過檢測端口接收到的數(shù)據(jù)幀的源MAC地址或802.1x認證的用戶名、密碼，發(fā)現(xiàn)非法報文或非法事件，并采取相應的動作，包括暫時斷開端口連接、永久斷開端口連接或是過濾此MAC地址的報文，保證了端口的安全性。Device Tracking：該特性是指當端口有特定的數(shù)據(jù)包（由非法入侵，用戶不正常上下線等原因引起）傳送時，設備將會發(fā)送Trap信息，便于網(wǎng)絡管理員對這些特殊的行為進行監(jiān)控。表2 端口的安全模式：安全模式類型描述特性說明secure禁止端口學習MAC地址，只有源MAC為端口上已經(jīng)配置的靜態(tài)MAC的報文，才能通過該端口在左側列出的模式下，當設備發(fā)現(xiàn)非法報文后，將觸發(fā)NTK特性和Intrusion Protection特性userlogin對接入用戶采用基于端口的802.1x認證此模式下NTK特性和Intrusion Protection特性不會被觸發(fā)userlogin-secure接入用戶必須先通過802.1x認證，認證成功后端口開啟，但也只允許認證成功的用戶報文通過；此模式下，端口最多只允許接入一個經(jīng)過802.1x認證的用戶；當端口從正常模式進入此安全模式時，端口下原有的動態(tài)MAC地址表項和已認證的MAC地址表項將被自動刪除在左側列出的模式下，當設備發(fā)現(xiàn)非法報文后，將觸發(fā)Need To Know特性和Intrusion Protection特性userlogin-withoui與userlogin-secure類似，端口最多只允許一個802.1x認證用戶，但同時，端口還允許一個oui地址的報文通過；當用戶從端口的正常模式進入此模式時，端口下原有的動態(tài)MAC地址表項和已認證的MAC地址表項將被自動刪除mac-authentication基于MAC地址對接入用戶進行認證userlogin-secure-or-mac表示mac-authentication和userlogin-secure模式下的認證可以同時進行，如果都認證通過的話，userlogin-secure的優(yōu)先級高于mac-authentication模式userlogin-secure-else-mac表示先進行mac-authentication認證，如果成功則表明認證通過，如果失敗則再進行userlogin-secure認證userlogin-secure-ext與userlogin-secure類似，但端口下的802.1x認證用戶可以有多個userlogin-secure-or-mac-ext與userlogin-secure-or-mac類似，但端口下的802.1x認證用戶可以有多個userlogin-secure-else-mac-ext與mac-else-userlogin-secure類似，但端口下的802.1x認證用戶可以有多個4.    防IP偽裝病毒和非法用戶很多情況會偽裝IP來實現(xiàn)攻擊。偽裝IP有三個用處：?          本身就是攻擊的直接功能體。比如smurf攻擊。?          麻痹網(wǎng)絡中的安全設施。比如繞過利用源IP做的接入控制。?          隱藏攻擊源設備防止IP偽裝的關鍵在于如何判定設備接收到的報文的源IP是經(jīng)過偽裝的。這種判定的方式有三種。分別在內(nèi)網(wǎng)和內(nèi)外網(wǎng)的邊界使用。在internet出口處過濾RFC3330和RFC1918所描述的不可能在內(nèi)外網(wǎng)之間互訪的IP地址。由于現(xiàn)今internet上的大多數(shù)攻擊者都不具備很高的網(wǎng)絡技術水平，其攻擊手段僅僅是比較機械利用現(xiàn)有的攻擊工具。同時一些攻擊工具雖然做到了使用方便，但其攻擊方法設計也相對簡單，沒有辦法根據(jù)網(wǎng)絡實際狀況進行調(diào)整。因此，網(wǎng)絡中大多數(shù)的攻擊方式是帶有盲目性的。局域網(wǎng)在其internet出入口處過濾掉不可能出現(xiàn)的IP地址，可以緩解非法用戶簡單的隨機偽裝IP所帶來的危害。利用IP和MAC的綁定關系?          網(wǎng)關防御利用DHCP relay特性，網(wǎng)關可以形成本網(wǎng)段下主機的IP、MAC映射表。當網(wǎng)關收到一個ARP報文時，會先在映射表中查找是否匹配現(xiàn)有的映射關系。如果找到則正常學習，否則不學習該ARP。這樣偽裝IP的設備沒有辦法進行正常的跨網(wǎng)段通信。?          接入設備防御利用DHCP SNOOPING特性，接入設備通過監(jiān)控其端口接收到的DHCP request、ACK、release報文，也可以形成一張端口下IP、MAC的映射表。設備可以根據(jù)IP、MAC、端口的對應關系，下發(fā)ACL規(guī)則限制從該端口通過的報文源IP必須為其從DHCP 服務器獲取的IP地址。UPRFUPRF會檢測接收到的報文中的源地址是否和其接收報文的接口相匹配。其實現(xiàn)機制如下：設備接收到報文后，UPRF會比較該報文的源地址在路由表中對應的出接口是否和接收該報文的接口一致。如果兩者不一致，則將報文丟棄。5.    路由協(xié)議認證攻擊者也可以向網(wǎng)絡中的設備發(fā)送錯誤的路由更新報文，使路由表中出現(xiàn)錯誤的路由，從而引導用戶的流量流向攻擊者的設備。為了防止這種攻擊最有效的方法就是使用局域網(wǎng)常用路由協(xié)議時，必須啟用路由協(xié)議的認證。?          OSPF協(xié)議，支持鄰居路由器之間的明文/MD5認證和OSPF區(qū)域內(nèi)的明文/MD5認證；?          RIPv2協(xié)議，支持鄰居路由器之間的明文/MD5認證另外，在不應該出現(xiàn)路由信息的端口過濾掉所有路由報文也是解決方法之一。但這種方法會消耗掉許多ACL資源。數(shù)據(jù)中心網(wǎng)絡邊界安全技術邊界安全的一項主要功能是實現(xiàn)網(wǎng)絡隔離，通過防火墻可以把安全信任網(wǎng)絡和非安全網(wǎng)絡進行隔離。H3C SecPath系列防火墻以其高效可靠的防攻擊手段，和靈活多變的安全區(qū)域配置策略擔負起是守護數(shù)據(jù)中心邊界安全的的重任。1.    狀態(tài)防火墻實現(xiàn)網(wǎng)絡隔離的基本技術是IP包過濾，ACL是一種簡單可靠的技術，應用在路由器或交換機上可實現(xiàn)最基本的IP包過濾，但單純的ACL包過濾缺乏一定的靈活性。對于類似于應用FTP協(xié)議進行通信的多通道協(xié)議來說，配置ACL則是困難的。FTP包含一個預知端口的TCP控制通道和一個動態(tài)協(xié)商的TCP數(shù)據(jù)通道，對于一般的ACL來說，配置安全策略時無法預知數(shù)據(jù)通道的端口號，因此無法確定數(shù)據(jù)通道的入口。狀態(tài)防火墻設備將狀態(tài)檢測技術應用在ACL技術上，通過對連接狀態(tài)的狀態(tài)的檢測，動態(tài)的發(fā)現(xiàn)應該打開的端口，保證在通信的過程中動態(tài)的決定哪些數(shù)據(jù)包可以通過防火墻。狀態(tài)防火墻還采用基于流的狀態(tài)檢測技術可以提供更高的轉發(fā)性能，因為基于ACL的包過濾技術是逐包檢測的，這樣當規(guī)則非常多的時候包過濾防火墻的性能會變得比較低下，而基于流的狀態(tài)防火墻可以根據(jù)流的信息決定數(shù)據(jù)包是否可以通過防火墻，這樣就可以利用流的狀態(tài)信息決定對數(shù)據(jù)包的處理結果加快了轉發(fā)性能。2.    防火墻安全區(qū)域管理邊界安全的一項主要功能是網(wǎng)絡隔離，并且這種網(wǎng)絡隔離技術不是簡單的依靠網(wǎng)絡接口來劃分的，因為網(wǎng)絡的實際拓撲是千差萬別的，使用固定接口來進行網(wǎng)絡隔離不能適應網(wǎng)絡的實際要求。SecPath防火墻提供了基于安全區(qū)域的隔離模型，每個安全區(qū)域可以按照網(wǎng)絡的實際組網(wǎng)加入任意的接口，因此SecPath的安全管理模型是不會受到網(wǎng)絡拓撲的影響。業(yè)界很多防火墻一般都提供受信安全區(qū)域（trust）、非受信安全區(qū)域（untrust）、非軍事化區(qū)域（DMZ）三個獨立的安全區(qū)域，這樣的保護模型可以適應大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場合，這樣的保護模型還是不能滿足要求。SecPath防火墻默認提供四個安全區(qū)域：trust、untrust、DMZ、local，在提供三個最常用的安全邏輯區(qū)域的基礎上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到防火墻本身的報文，保證了防火墻本身的安全防護，使得對防火墻本身的安全保護得到加強。例如，通過對本地安全區(qū)域的報文控制，可以很容易的防止不安全區(qū)域對防火墻本身的Telnet、ftp等訪問。SecPath防火墻還提供自定義安全區(qū)域，可以最大定義16個安全區(qū)域，每個安全區(qū)域都可以加入獨立的接口。SecPath系列防火墻支持根據(jù)不同的安全區(qū)域之間的訪問設計不同的安全策略組，每條安全策略組支持若干個獨立的規(guī)則。這樣的規(guī)則體系使得防火墻的策略十分容易管理，方面用戶對各種邏輯安全區(qū)域的獨立管理。部分防火墻還是采用基于接口的安全策略管理機制，如圖。10 防火墻安全區(qū)域管理兩個接口：trust接口和DMZ接口共享untrust接口訪問internet，如果在接口上使用安全策略進行控制，則會導致策略混亂。因為在untrust接口流量中，即有從DMZ和internet之間的流量，也有從trust和internet之間的流量。這樣的策略控制模型不適合用戶進行策略配置。而基于安全區(qū)域的策略控制模型，可以清晰的分別定義從trust到untrust、從DMZ到untrust之間的各種訪問，這樣的策略控制模型使得SecPath防火墻的網(wǎng)絡隔離功能具有很好的管理能力。3.    防火墻DOS/DDOS防御Dos（Deny of service）是一類攻擊方式的統(tǒng)稱（DDos也是Dos的一種），其攻擊的基本原理就是通過發(fā)送各種垃圾報文導致網(wǎng)絡的阻塞、服務的癱瘓。Dos攻擊方式其利用IP無連接的特點，可以制造各種不同的攻擊手段，而且攻擊方式非常簡單。在Internet上非常流行，對企業(yè)網(wǎng)、甚至骨干網(wǎng)都造成了非常嚴重的影響，引發(fā)很大的網(wǎng)絡事故，因此優(yōu)秀的Dos攻擊防范功能是防火墻的必備功能?，F(xiàn)在幾乎所有的防火墻設備都宣傳具有Dos攻擊防御功能，但是那么為什么Dos攻擊導致網(wǎng)絡癱瘓的攻擊事件為什么還是層出不窮呢？一個優(yōu)秀的Dos攻擊防御體系，應該具有如下最基本的特征：防御手段的健全和豐富。因為Dos攻擊手段種類比較多，因此必須具有豐富的防御手段，才可以保證真正的抵御Dos攻擊。優(yōu)秀的處理性能。因為Dos攻擊伴隨這一個重要特征就是網(wǎng)絡流量突然增大，如果防火墻本身不具有優(yōu)秀的處理能力，則防火墻在處理Dos攻擊的同時本身就成為了網(wǎng)絡的瓶頸，根本就不可能抵御Dos攻擊。因為Dos攻擊的一個重要目的就是使得網(wǎng)絡癱瘓，網(wǎng)絡上的關鍵設備點發(fā)生了阻塞，則Dos攻擊的目的就達到了。防火墻設備不但要注重轉發(fā)性能，同時一定要保證對業(yè)務的處理能力。在進行Dos攻擊防御的過程中，防火墻的每秒新建能力就成為保證網(wǎng)絡通暢的一個重要指標，Dos攻擊的過程中，攻擊者都是在隨機變化源地址因此所有的連接都是新建連接。準確的識別攻擊能力。很多防火墻在處理Dos攻擊的時候，僅僅能保證防火墻后端的流量趨于網(wǎng)絡可以接受的范圍，但是不能保證準確的識別攻擊報文。這樣處理雖然可以保證網(wǎng)絡流量的正常，可以保證服務器不會癱瘓，但是這樣處理還是會阻擋正常用戶上網(wǎng)、訪問等的報文，因此雖然網(wǎng)絡層面是正常的，但是真正的服務還是被拒絕了，因此還是不能達到真正的Dos攻擊防御的目的。SecPath系列防火墻產(chǎn)品，在對上述各個方面都做了詳盡的考慮，因此Dos防御的綜合性能、功能等方面在同類防火墻產(chǎn)品中都具有很強的優(yōu)勢。4.    防火墻TCP代理Tcp代理是SecPath系列防火墻為防止SYN Flood類的Dos攻擊，而專門開發(fā)的一個安全特性。SYN Flood攻擊可以很快的消耗服務器資源，導致服務器崩潰。在一般的Dos防范技術中，在攻擊發(fā)生的時候不能準確的識別哪些是合法用戶，哪些是攻擊報文。Eudemon防火墻采用了TCP透明代理的方式實現(xiàn)了對這種攻擊的防范，Eudemon防火墻通過精確的驗證可以準確的發(fā)現(xiàn)攻擊報文，對正常報文依然可以通過允許這些報文訪問防火墻資源，而攻擊報文則被Eudemon防火墻丟棄。有些攻擊是建立一個完整的TCP連接用來消耗服務器的資源。Eudemon系列防火墻可以實現(xiàn)增強代理的功能，在客戶端與防火墻建立連接以后察看客戶是否有數(shù)據(jù)報文發(fā)送，如果有數(shù)據(jù)報文發(fā)送防火墻再與服務器端建立連接否則丟棄客戶端的報文。這樣可以保證即使采用完成TCP三次握手的方式消耗服務器資源，也可以被Eudemon防火墻發(fā)現(xiàn)。11 防火墻TCP代理防火墻在數(shù)據(jù)中心的部署點ServerFarm 網(wǎng)絡邊界上的狀態(tài)防火墻園區(qū)網(wǎng)絡通常包括園區(qū)核心網(wǎng)、邊界網(wǎng)絡、內(nèi)部網(wǎng)絡、分支結構網(wǎng)絡、數(shù)據(jù)中心(ServerFarm)網(wǎng)絡。核心網(wǎng)絡是所有網(wǎng)絡區(qū)域的中心，內(nèi)部網(wǎng)絡、數(shù)據(jù)中心、邊界網(wǎng)絡以星狀連接在核心周圍，邊界網(wǎng)的另一端還與Internet相連，可以為園區(qū)提供Internet出口，并且作為分支網(wǎng)絡的接入點，如圖所示。防火墻應該部署在信任與非信任網(wǎng)絡的鄰接點上，避免不安全因素的擴散。上述園區(qū)網(wǎng)絡模型中存在兩個這樣的鄰接點，一是邊界網(wǎng)絡與Internet的接入點上，這個位置部署放火墻可以隔離來自Internet或外部網(wǎng)絡的有害數(shù)據(jù)；另一個在數(shù)據(jù)中心（ServerFarm）匯聚交換機與核心網(wǎng)交換機的接的接入點上，在此部署防火墻可避免來自內(nèi)部網(wǎng)絡的威脅，這種威脅可能是內(nèi)網(wǎng)員工惡意攻擊造成的，也可能是一些不恰當?shù)牟僮鲗W(wǎng)絡造成的。多層服務器區(qū)內(nèi)部的狀態(tài)防火墻在ServerFarm內(nèi)部多層服務器區(qū)的各層之間也可以部署防火墻以增強不同層次之間的安全性，如圖。由于web服務器直接面對訪問者，通常來說是網(wǎng)絡中的薄弱環(huán)節(jié)，使用分層防御可以將重要的服務器通過防火墻進行保護，即使web服務器被攻陷，也不會造成應用服務器與數(shù)據(jù)庫服務器的進一步破壞。數(shù)據(jù)中心應用防護技術IPS可以針對應用流量做深度分析與檢測能力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡中的各種流量進行有效管理，從而達到對網(wǎng)絡上應用的保護、網(wǎng)絡基礎設施的保護和網(wǎng)絡性能的保護。以下介紹H3C H3C IPS應用防護功能的幾項關鍵技術：1.    IPS in-line 部署方式H3C IPS可以被“in-line”地部署到網(wǎng)絡當中去，對所有流經(jīng)的流量進行深度分析與檢測，從而具備了實時阻斷攻擊的能力，同時對正常流量不產(chǎn)生任何影響?；谄涓咚俸涂蓴U展的硬件平臺，H3C IPS不斷優(yōu)化檢測性能，使其能夠達到與交換機同等級別的高吞吐量和低延時，同時可以對所有主要網(wǎng)絡應用進行分析，精確鑒別和阻斷攻擊。H3C IPS的出現(xiàn)使得應用層威脅問題迎刃而解。2.    硬件引擎H3C基于ASIC、FPGA和NP技術開發(fā)的威脅抑制引擎（TSE，Threat Suppression Engine）是高性能和精確檢測的基礎。TSE的核心架構由以下部件有機融合而成：13 IPS 的基于硬件的威脅抑止引擎定制的ASICFPGA(現(xiàn)場可編程門陣列)20G高帶寬背板高性能網(wǎng)絡處理器該核心架構提供的大規(guī)模并行處理機制，使得H3C IPS對一個報文從2層到7層所有信息的檢測可以在215微秒內(nèi)完成，并且保證處理時間與檢測特征數(shù)量無線性關系。采用流水線與大規(guī)模并行處理融合技術的TSE可以對一個報文同時進行幾千種檢測，從而將整體的處理性能提高到空前水平。在具備高速檢測功能的同時，TSE還提供增值的流量分類、流量管理和流量整形功能。TSE可以自動統(tǒng)計和計算正常狀況下網(wǎng)絡內(nèi)各種應用流量的分布，并且基于該統(tǒng)計形成流量框架模型；當短時間內(nèi)大規(guī)模爆發(fā)的病毒導致網(wǎng)絡內(nèi)流量發(fā)生異常時，TSE將根據(jù)已經(jīng)建立的流量框架模型限制或者丟棄異常流量，保證關鍵業(yè)務的可達性和通暢性。此外，為防止大量的P2P、IM流量侵占帶寬，TSE還支持對100多種點到點應用的限速功能，保證關鍵應用所需的帶寬。3.    應用防護能力H3C IPS在跟蹤流狀態(tài)的基礎上，對報文進應用層信息的深度檢測，可以在蠕蟲、病毒、木馬、DoS/DDoS、后門、Walk-in蠕蟲、連接劫持、帶寬濫用等威脅發(fā)生前成功地檢測并阻斷。14 IPS 的應用防護能力H3C IPS還支持以下檢測機制：基于訪問控制列表（ACL）的檢測基于統(tǒng)計的檢測基于協(xié)議跟蹤的檢測基于應用異常的檢測報文規(guī)范檢測（Normalization）IP報文重組TCP流恢復以上機制協(xié)同工作，H3C IPS可以對應用流量進行細微粒度的識別與控制，有效檢測流量激增、緩沖區(qū)溢出、漏洞探測、IPS規(guī)避等一些已知的、甚至未知的攻擊。H3C的安全威脅分析團隊也處于業(yè)界領先的地位。該團隊是安全威脅快訊SANS @Risk的主要撰稿人，SANS @Risk每周定期向其全球范圍內(nèi)30萬專業(yè)訂閱者摘要披露最新安全威脅的公告，內(nèi)容包含最新發(fā)現(xiàn)的漏洞、漏洞所帶來的影響、表現(xiàn)形式，而且指導用戶如何采取防范措施。4.     “零時差攻擊”防御H3C實時更新、發(fā)布的數(shù)字疫苗（DV，Digital Vaccine）是網(wǎng)絡免疫的保障與基礎。在撰寫SANS @Risk公告的同時，H3C的專業(yè)團隊同時跟蹤其它知名安全組織和廠商發(fā)布的安全公告；經(jīng)過跟蹤、分析、驗證所有這些威脅，生成供H3C IPS使用的可以保護這些漏洞的特征知識庫 – 數(shù)字疫苗，它針對漏洞的本質(zhì)進行保護，而不是根據(jù)特定的攻擊特征進行防御。數(shù)字疫苗以定期（每周）和緊急（當重大安全漏洞被發(fā)現(xiàn)）兩種方式發(fā)布，并且能夠通過內(nèi)容發(fā)布網(wǎng)絡自動地分發(fā)到用戶駐地的IPS設備中，從而使得用戶的IPS設備在漏洞被公布的同時立刻具備防御零時差攻擊的能力。H3C還與全球著名的系統(tǒng)軟件廠商，如Microsoft、Oracle等，保持了良好的合作關系。在某個漏洞被發(fā)現(xiàn)后，H3C能夠在第一時間（即廠商公布安全公告之前）獲得該漏洞的詳細信息，并且利用這一時間差及時制作可以防御該漏洞的數(shù)字疫苗，使得用戶的網(wǎng)絡免遭這種“零時差攻擊”（Zero-day Attack）。15 IPS的數(shù)字疫苗系統(tǒng)數(shù)據(jù)中心網(wǎng)絡管理安全技術1.    SSH由于Telnet沒有提供安全的認證方式，且通過TCP傳輸?shù)耐ㄐ艃?nèi)容都是明文的，即使啟用了AAA認證，輸入的用戶名和密碼也可以通過抓包分析來獲得；由于系統(tǒng)對Telnet用戶不進行復雜的驗證，DoS攻擊、主機IP欺騙、路由欺騙等攻擊都可能給服務器帶來致命威脅，因此存在著相當大的安全隱患。SSH（Secure Shell）是在Telnet基礎上發(fā)展起來的一種安全的遠程登錄協(xié)議，協(xié)議號22，它支持password和RSA認證，對數(shù)據(jù)進行DES和3DES等加密（由于DES的安全性不高，SSH2中已不支持DES），有效防止了對密碼的竊聽，保護了數(shù)據(jù)的完整性和可靠性，保證了數(shù)據(jù)的安全傳輸。特別是對于RSA認證的支持，對稱加密和非對稱加密的混合應用，密鑰的安全交換，最終實現(xiàn)了安全的會話過程。在不安全的網(wǎng)絡上直接進行遠程登陸和文件傳輸是不安全的，用戶名、密碼、數(shù)據(jù)都可能被非法人員截獲。SSH使用認證和加密來保護不安全的網(wǎng)絡上的通信，SSH分為客戶端和服務端，服務端的知名端口號為22。SSH是Secure Shell的簡稱，中文可叫做安全外殼，目前有stelnet(secure telnet)和SFTP(Secure FTP)兩種應用。Stelnet完成遠程登陸，SFTP完成文件傳輸，與telnet和FTP的功能相同，但是協(xié)議的處理完全不同。2.    SNMPV3由于SNMP承載于UDP之上，因而SNMP很容易被非法用戶利用偽裝IP進行攻擊。特別是當攻擊者先捕獲到合法SNMP流量后，SNMP對其幾乎不設防。也正因為如此，SNMP一直未能得到大規(guī)模的使用。在這種前提下。SNMP V3應運而生。SNMP V3支持MD5或SHA認證和DES或AES加密。從而為SNMP協(xié)議提供了合理的安全特性。3.    常見協(xié)議的信任源控制設備支持對SNMP、TELNET/SSH設定軟件ACL，來限定只有合法的網(wǎng)段或者IP才能訪問設備的這些協(xié)議。4.    端口鏡像由于現(xiàn)階段網(wǎng)絡對人們的工作、生活都有極其深遠的影響。高可用的網(wǎng)絡也越來越受到關注。高可用包含兩層含義：一是網(wǎng)絡本身不出現(xiàn)異常；二是網(wǎng)絡出現(xiàn)異常后能夠迅速恢復。因此，現(xiàn)階段對網(wǎng)絡管理維護人員迅速定位問題的能力提出了很高的要求。端口鏡像作為網(wǎng)絡管理維護人員很好的網(wǎng)絡狀況監(jiān)控手段成為網(wǎng)絡管理維護人員定位問題的一個重要組成部分。端口鏡像有兩類：遠程端口鏡像和本地鏡像。本地鏡像是指將交換機的1個或多個端口的報文復制到本交換機的一個監(jiān)控端口，用于報文的分析和監(jiān)視。例如：可以將Ethernet0/1端口上的報文復制到指定監(jiān)控口Ethernet0/2，通過監(jiān)控口Ethernet0/2上連接的協(xié)議分析儀進行測試和記錄。目前我司所有的可管理交換機都實現(xiàn)了這個功能。但本地鏡像在實際應用中存在一定的缺陷，例如：當交換機不是集中放置在一個中心機房中時，為了檢測分散在不同地域的交換機上的端口需要維護人員跑到現(xiàn)場進行鏡像觀測。為了降低維護人員的維護工作量，遠程鏡像的功能隨即在一些廠商的交換機上產(chǎn)生了。遠程鏡像突破了被鏡像端口和鏡像端口必須在同一臺交換機上的限制，使被鏡像端口和鏡像端口間可以跨越多個網(wǎng)絡設備，這樣維護人員就可以坐在中心機房以通過分析儀觀測遠端被鏡像端口的數(shù)據(jù)報文了。理想狀態(tài)下被鏡像的數(shù)據(jù)報文應該能夠穿越三層網(wǎng)絡到達遠端的鏡像端口，但由于目前被鏡像的端口所在的交換機多為低端二層交換機，出于成本和實現(xiàn)難度的考慮，目前廠家實現(xiàn)的遠程鏡像功能都無法穿越三層網(wǎng)絡。遠程鏡像功能簡稱為RSPAN。RSPAN實現(xiàn)的功能為將所有的被鏡像報文通過一個特殊的RSPAN VLAN傳遞到遠端的鏡像端口。在整個功能實現(xiàn)上主要由以下設備來參與完成：Source switch需要被監(jiān)測的端口所在的交換機，在該交換機上存在三種端口：Source port被檢測的用戶端口，通過在ASIC中設置鏡像bit屬性將用戶數(shù)據(jù)報文復制到指定的Reflector port。source port可以有多個，對于低端交換機只能實現(xiàn)入方向報文的鏡像，對于復雜的交換機可以實現(xiàn)端口雙向報文的鏡像。Reflector port該端口的Pvid為專用的RSPAN vlan id，且為untag端口，同時該端口處于內(nèi)部自環(huán)狀態(tài)。從source port鏡像來的TAG報文從該端口輸出時tag被剝離，同時由于該端口自環(huán)，因此所有報文又被重新從該端口輸入，由于該端口的Pvid為RSPAN vlan id，因此所有的鏡像報文會以新的RSPAN vlan在所有vlan trunk端口上進行廣播（目的MAC永遠學習不到，所以永遠為所有端口廣播）。Trunk端口將鏡像報文發(fā)送到中間交換機或者目的交換機。Intermediate switch該設備上只存在Trunk端口，是中間交換機專為RSPAN vlan開辟的一條通路。在所有的vlan trunk端口上廣播RSPAN vlan的報文，為了減少不必要的垃圾廣播，需要在中間交換機上對于vlan trunk端口進行RSPAN vlan的裁減，使中間交換機和接監(jiān)測設備的交換機相連的vlan trunk端口才具備RSPAN vlan的通過的能力。Destination switch連接監(jiān)測設備的交換機，在該交換機上存在兩種端口：Destination port遠程鏡像報文的監(jiān)控端口。源端口的報文經(jīng)過RSPAN vlan的巧妙轉發(fā)，最終可以在Destination port上接收到。Trunk端口接收遠程鏡像報文。Remote-probe VLAN即上文所說的RSPAN vlan。為了實現(xiàn)遠程端口管理功能，在三類交換機上需要定義一個特殊的VLAN，這個VLAN稱之為Remote-probe VLAN。所有的被鏡像的報文通過該VLAN從源交換機傳遞到目的交換機的鏡像端口，實現(xiàn)從目的交換機對源交換機的遠程端口的報文進行監(jiān)控。Remote-probe VLAN具有以下特點：該VLAN內(nèi)的所有端口的PVID（Port VLAN ID）都不能為Remote-probe VLAN ID；該VLAN中的所有端口都必須是Trunk端口或Fabric端口，不能包含Access端口和Hybrid端口；對于缺省VLAN、管理VLAN 、Fabric VLAN、協(xié)議VLAN不能配成Remote-probe VLAN；該VLAN中不能包含遠程鏡像源端口。5.    用戶的分級管理對登錄用戶采取分級機制，權限從低到高分為四級，依次為：訪問級、監(jiān)視級、系統(tǒng)級、管理級。對用戶密碼采用加密算法進行保存，并限制一次連接登錄不成功的次數(shù)來防止口令被窮舉得到，并在設備上設置警示性的登錄提示。6.    用戶視圖保護當管理員有事走開時可以鎖定當前用戶視圖。防止非法人員乘機盜用管理員的權限。同時設備還提供超時鎖定功能。典型組網(wǎng)方案數(shù)據(jù)中心綜合組網(wǎng)圖19 數(shù)據(jù)中心綜合組網(wǎng)圖Server farm 組網(wǎng)圖20 服務器區(qū)（Server Farm）典型組網(wǎng)圖綜述H3C數(shù)據(jù)中心安全解決方案為數(shù)據(jù)中心提供了建立在全線速網(wǎng)絡基礎上的防護攻擊所需的邊界安全、深度防御及構架安全解決之道。它可保護數(shù)據(jù)中心中關鍵應用和保密數(shù)據(jù)；增強數(shù)據(jù)中心的運營效率，并迅速創(chuàng)建新的安全應用環(huán)境來支持新的業(yè)務流程。通過擁有一個高度永續(xù)、有效、可調(diào)整的數(shù)據(jù)中心網(wǎng)絡，企業(yè)可緩解競爭壓力、拓展市場范圍、加速新服務的面世，面向未來提供一條高效安全的可持續(xù)發(fā)展之路。