流量及端口限速控制技术
为了防止因大流量数据传输引起的端口阻塞,消除恶意用户或者中毒用户对网络的影响,可以采用流量及端口限速控制技术,
交换机安全防范技术(下)(一)
。配置端口流量阈值
通过配置端口流量阈值,系统可以周期性地对端口的数据流量进行监控。当端口的数据流量超出配置的阈值后,系统将根据指定的方式进行处理:自动关闭端口并发送告警信息或仅发送告警信息。在以太网端口视图下配置端口的流量阈值及超出阈值后的处理方式:
flow-constrain time-value flow-value { bps | pps } flow-constrain method { shutdown | trap }
流量监管
流量监管是基于流的速率限制,它可以监督某一流量的速率,如果流量超出指定的规格,就采用相应的措施,如丢弃那些超出规格的报文或重新设置它们的优先级。
端口限速
端口限速就是基于端口的速率限制,它对端口输出报文的总速率进行限制。
TCP属性及CPU负载控制技术
扫描、蠕虫病毒等都会引起过多TCP连接,CPU负载过重与此也有关系,适当地调整交换机的TCP属性和送达CPU的报文,可以有效地降低CPU负载。
配置TCP 属性
synwait定时器:当发送SYN报文时,TCP启动synwait定时器,如果synwait超时前未收到回应报文,则TCP连接将被终止。synwait定时器的超时时间取值范围为2~600秒,缺省值为75秒:
tcp timer syn-timeout time-value
finwait定时器:当TCP的连接状态由FIN_WAIT_1变为FIN_WAIT_2时,启动finwait 定时器,如果finwait定时器超时前仍未收到FIN报文,则TCP连接被终止。finwait的取值范围为76~3600秒,finwait的缺省值为675秒:
tcp timer fin-timeout time-value
面向连接Socket的接收和发送缓冲区的大小:范围为1~32K字节,缺省值为4K字节:
tcp window window-size
配置特殊IP报文是否送CPU处理
在交换机的IP报文转发过程中,通常重定向、TTL超时及路由不可达的报文会送到CPU,CPU在收到以上报文后会通知对方处理。但如果配置错误或有人恶意攻击,则会造成CPU负载过重,这时便可通过下面的命令设置相应报文不送CPU处理,以保护系统的正常运行。缺省情况下,重定向、路由不可达的报文不送CPU处理,TTL超时报文送CPU处理:
undo ip { redirects | ttl-expires | unreachables }
ARP技术
IP地址不能直接用来进行通信,因为链路层的网络设备只能识别MAC地址。ARP用于将IP地址解析为MAC地址,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入,也可以手工维护。通常将手工配置的IP地址到MAC地址的映射,称之为静态ARP。
免费ARP技术通过对外发送免费ARP报文,防止通过各种ARP欺骗手段产生的攻击。
动态ARP老化定时器
交换机允许用户指定动态ARP老化定时器的时间。动态地址表的老化时间是指在该表项从交换机地址表中删除之前的生存时间,若定时器超时,就将该表项从地址表中删除。缺省情况下,动态ARP老化定时器为20分钟:
arp timer aging aging-time
免费ARP技术
免费ARP功能:网络中设备可以通过发送免费ARP报文来确定其他设备的IP地址是否与自己冲突,
电脑资料
《交换机安全防范技术(下)(一)》(https://www.unjs.com)。如果发送免费ARP报文的设备正好改变了硬件地址,那么这个报文就可以通知其他设备及时更新高速缓存中旧的硬件地址。例如:设备收到一个免费ARP报文后,如果高速缓存中已存在此报文对应的ARP表项,那么此设备就用免费ARP报文中携带的发送端硬件地址(如以太网地址)对高速缓存中相应的内容进行更新。设备接收到任何免费ARP报文都要完成这个操作。免费ARP报文的特点:报文中携带的源IP和目的IP地址都是本机地址,报文源MAC地址是本机MAC地址。当设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址冲突,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。缺省情况下,交换机的免费ARP报文发送功能处于开启状态,免费ARP报文学习功能处于关闭状态。在系统视图下免费ARP的配置过程如下:
arp send-gratuitous enable gratuitous-arp-learning enable
登录和访问交换机控制技术
目前,以太网交换机提供了多种用户登录、访问设备的方式,主要有通过Console口、SNMP访问、通过TELNET或SSH访问和通过HTTP访问等方式。以太网交换机提供对这几种访问方式进行安全控制的特性,防止非法用户登录、访问交换机设备。
安全控制分为两级:第一级安全通过控制用户的连接实现,通过配置ACL对登录用户进行过滤,只有合法用户才能和交换机设备建立连接;第二级安全主要通过用户口令认证实现,连接到设备的用户必须通过口令认证才能真正登录到设备。
设置口令
为防止未授权用户的非法侵入,必须在不同登录和访问的用户界面(AUX用户界面用于通过Console口对以太网交换机进行访问,VTY用户界面用于通过Telnet对以太网交换机进行访问)设置口令,包括容易忽略的SNMP的访问口令(一定不要用“public”的默认口令 )和Boot Menu口令,同时设置登录和访问的默认级别和切换口令。
在不同登录和访问的用户界面,使用如下命令设置口令:
authentication-mode passwordset authentication password { cipher | simple } password
配置ACL对登录用户进行过滤
通过配置ACL对登录用户进行过滤控制,可以在进行口令认证之前将一些恶意或者不合法的连接请求过滤掉,保证设备的安全。配置ACL对登录用户进行过滤控制需要定义访问控制列表和引用访问控制列表。
配置举例及步骤:仅允许来自10.10.1.66和10.10.1.78的TELNET用户访问交换机:
# 定义基本访问控制列表。 acl number 2008 match-order config rule 1 permit source 10.10.1.66 0 rule 2 permit source 10.10.1.78 0 quit# 引用访问控制列表。 user-interface vty 0 4 acl 2008 inbound
镜像技术
以太网交换机提供基于端口和流的镜像功能,即可将指定的1个或多个端口的报文或数据包复制到监控端口,用于报文的分析和监视、网络检测和故障排除(以S6500系列为例):
mirroring-group groupId { inbound | outbound } mirroring-port-list &<1-8> mirrored-to mornitor-port
由于大多数对局域网危害较大的网络病毒和人为破坏都具有典型的欺骗和扫描、快速发包、大量ARP请求等特征,考虑局域网的实际情况,综合采用上述技术中的某几种,在接入层、汇聚层交换机上分级配置,可以在一定程度上自动阻断恶意数据包,及时告警,准确定位病毒源、故障或干扰点,及时采取措施,把对局域网的危害减轻到尽可能小的程度。