IDC数据中心设备安全加固方法探析论文
近几年来, 互联网数据中心在国内发展迅猛, 与此同时互联网安全事件也愈演愈烈, 数据中心安全事件的发生率呈指数上升趋势。各种xxx攻击软件, 隐藏在服务器中的病毒, 以及网络内的僵尸主机, 都可能会成为网络攻击源。攻击会导致网络服务质量下降导致网络不可用, 严重影响运营商的品牌形象。在日趋严峻的网络安全形势面前, 需要尽可能地提高网络健壮性, 有效抑止一些常见的攻击和病毒, 降低安全事件发生的概率和影响程度。
目前针对数据中心基础架构的网络攻击和网络病毒主要有以下几类:一类是攻击直接针对网络设备, 造成网络设备处理器和内存资源大量消耗, 使得网络性能收到影响, 甚至中断;另一类是采用大数据包的攻击, 使网络带宽拥塞, 影响网络的性能;还有一类是采用小数据包的攻击, 造成网络设备三层转发负载加重, 使设备性能降低, 影响网络性能。
结合笔者十多年的数据中心建设维护和安全防御经验, 提出从技术上建立数据中心网络配置标准, 对设备进行安全加固。通过对网络安全体系的各个安全环节、各个保护对象的防御措施等方面的均衡, 提高IDC整体防护能力, 降低上述几种攻击模式对数据网络的冲击, 实现网络整体安全水平的提高。
1 IDC数据中心设备进行安全加固
主要实施对象是机房网络设备, 通过对设备自身的安全加固, 提升网络的自我防护能力, 加强重点设备的抗攻击能力, 提高网络的生存性和可用性。
1.1 通用性安全配置要求
为保证IDC内数据安全, 建议对机房内各设备按照如下安全配置要求进行策略部署:
(1) 设备端口安全管理
对于网络设备的`服务端口遵循最小化原则, 关闭不必要的应用端口和服务, 主要包括如下内容:关闭IP直接广播;关闭控制平面未使用的服务, 如代理ARP、IP源路由;关闭不使用的管理平面服务:Bootp, Finger、PAD、CDP, DHCP, 小TCP/UDP等, 对于不使用Web方式管理的网络设备关闭其HTTP服务, 对于必须启用WEB管理的设备, 需通过访问控制列表进行访问限制。
(2) 设备认证控制和密码管理
设备采用集中认证方式, 通过Radius或者Tacacs+认证模式登录, 由认证服务器对维护操作人员进行认证授权, 用户权限遵循最小授权原则, 在设备增加本地账户, 作为认证服务器失效时的备用管理账号。对于所有的设备配置中登录密码, 必须使用加密显示, 控制台接口必须启用密码保护功能。认证服务器可将相关的认证授权操作信息送到安全管理平台。
不允许使用系统缺省配置的用户和口令, 应给网管人员配置各自的用户名和口令, 做到个人账号专人专用, 建议每三个月进行一次密码更新, 口令要求不少于8个字符, 口令使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少三种的组合, 口令以加密方式存储。网管人员离职、岗位调动必须通过相应的管理流程对其账号、密码进行删除。
(3) 设备访问限制
在网络设备上限定只允许网管地址网段能实现和设备之间的管理通信;限定设备登录的并发连接数, 限定登录最大连接时长, 对于支持SSH模式的设备, 一律采用SSH方式进行远程访问。需要外网操作的设备, 建议采用VPN方式登录到网管中心, 然后通过网管中心作为跳板进行设备访问。为加强跳板的可用性, 可以采用主备冗余方式。
(4) 设备关键资源保护
使用RACL和COPP等类似技术部署设备控制卡板的防护策略, 对设备处理能力进行保护, 增强设备本身的安全性。
(5) 路由安全
对于启用动态路由的设备, 要求在建立邻接关系时使用MD5算法加密, 保证路由信息的可信度。对于无需参与动态路由计算的端口, 建议配置为被动接口。对于多跳EBGP互联邻居, 为避免路由震荡和攻击, 在确定路由跳数的情况下, 应启用BGPTTLsecurity-check功能。与用户通过BGP互连时, 在EBGP邻接上使用AS-PATH严格匹配对方广播的路由, 并使用IP prefix-list过滤缺省和私有路由, 原则上只接收掩码为/24或以内等路由。
(6) 服务质量配置要求
与信任域进行对接时, 如对方服务质量 (QOS) 标记规则与网内不一致, 在对接处需要按照流量标记对应关系对每类流量进行标记重置, 对非信任域的所有流量的标记应重置为0.
(7) 时间同步和流量监控
机房网络设备必须采用网络时间协议 (NTP) 方式实现时间同步。全网设备使用统一的时间服务器, 在服务器上通过访问控制列表对客户端接入限制。要求机房内设备都启用简单网络管理协议 (SNMP) 来监控端口流量, 应只采用只读模式, 同时要求设备只允许网管网络的网段来读取流量, 共同体字串建议采用强口令要求长度8位以上, 包含特殊字符、大小写和数字。要求网管软件能对端口流量设置基线, 当端口流量严重超过基线时能发出告警。
(8) 设备日志要求
设备必须配置日志功能, 其中必须包括设备访问、配置、状态等安全相关事件的来源、时间、描述等信息内容, 并对高风险的事件产生告警;将设备产生的日志信息发送至日志服务器;为了保障日志信息的安全性, 必须严格限制设备日志发送的目的设备。对于接入层设备, 要求日志服务器保存至少3个月的原始设备日志;对于汇聚层以上设备, 要求保存至少6个月原始设备日志。系统日志可通过接口将相关的日志信息送到安全管理平台。
1.2 核心层设备特殊配置要求
核心层设备主要实现数据报文的高速转发, 在安全方面的措施主要目的是为了保障设备正常稳定的运行, 除了一些通用性要求之外还要求核心层设备实施以下安全措施。
核心设备的重要部件、模块实现冗余, 即主控单元1:1备份, 交换单元N:1备份, 电源风扇冗余。核心层设备间建议使用全网状连接模式。启用Netflow功能实施流量分析和建立流量基线。配置主备日志服务器。与城域网互联的出口路由器需要做路由聚合, 只向城域网发布城域聚合路由, 原则上掩码在/25以内 (如:/21、/20、/19等掩码的路由) .
1.3 汇聚层设备特殊安全配置要求
汇聚层设备可实施较全面的安全策略, 建议除满足基本安全配置要求外使用如下策略:
(1) 端口过滤
禁止常见及危害程度较大的病毒、木马常用端口, 主要如下:
(2) 源路由监测和流量分析
设备上启用单播反向路由查找 (URPF) 功能, 防范假冒源地址攻击;启用Netflow功能, 实施流量分析。
(3) ICMP控制
建议对ICMP流量进行限制, 仅允许通过一些必须的ICMP报文, 包括ICMP-echo、ICMPecho-reply、ICMPpacket-too-big、ICMPsource-quench、ICMPtime-exceeded、ttl-exceeded、port-unreachable.建议对ICMP协议的echo、echo-reply流量限制为700K/S;建议对ICMP协议ttl-exceeded、port-unreachable和packet-too-big流量限制为500K/S;建议对Traceroute所用的UDP协议, 端口范围从33434到33678流量限制为500K/S/路由器。
(4) 非法地址过滤
1.4 接入层设备特殊安全配置要求
接入层设备连接用户网络和运营商网络, 是实现安全过滤的第一道防线, 建议在用户接入层面除了配置上述通用策略外, 实施以下安全策略:
首先在接入设备侧针对用户接入端口实施限速策略, 其次在接入设备侧针对用户接入端口实施广播包速率抑制, 最后在用户接入端口启用MAC数量限制策略。对于接入用户应尽可能实现PUPV, 减少用户之间的干扰。对于接入用户群中必须通过同一VLAN承载的业务, 尽量采用私有VLAN等端口隔离技术进行用户间隔离, 避免用户之间的相互干扰。
2 网络设计安全要求
对于网络建设设计需要遵循一定的安全配置要求, 保障网络的高可用性, 主要包括以下方面:地址统一规划, 体现网络层次性, 有利于路由的组织。要求路由设计具备较高的可用性和扩展性。汇聚层及以上设备必须使用双链路上联, 实现链路备份和负载均衡。
设备选型优先选择支持NSF/SSO/ISSU功能的设备, 应考虑部署防火墙、流量清洗等安全设备。当安全设备性能不足以保护整个机房网络时, 采用旁挂在核心设备侧方式, 当被攻击时采用路由引流模式将攻击流量导引到安全设备进行处理。安全设备应该具备防应用层DDOS攻击能力, 应用层DDOS攻击一般消耗很小的带宽, 而特性更加隐秘, 比如不断与服务器上的应用建立连接, 从而耗尽应用的表项空间等资源, 导致正常的用户无法连接。针对大流量流量, 应该考虑购买运营商的防DDOS服务, 将攻击流量进入机房前导引到城域网防DDOS平台进行清洗。
3 结束语
本文在目前网络安全理论基础上, 提出一种对IDC机房网络设备建立配置安全基线, 进行网络安全加固的方案。本方法已经在中国电信上海分公司上海热线机房、真西北机房、海量存储机房、全华机房、市北机房采用。实际运行结果表明, 采用本方法后机房网络设备安全故障率和影响业务时间均有较大程度减少。同时, 本文的结果也适应于在不同场景下的运营商网络设备安全加固。
【IDC数据中心设备安全加固方法探析论文】相关文章:
IDC小知识:数据中心的等级 -管理资料01-01
水利工程中边坡加固处理探析论文06-16
自动存取鞋仓库设备探析论文07-11
中小桥梁加固措施探析07-03
质量综合评价方法探析论文11-29
安全进行化学实验教学方法探析论文09-10
浅谈公路危桥的加固方法论文10-02
工程软弱地基塔吊综合加固方法论文10-01