所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 安全加固 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
概述

概述

NE40E的安全防御体系结构如下图所示:

图6-1  NE40E安全防御体系结构

路由器中,安全防御体系主要包括如下几种类型:

转发引擎安全防御机制

路由器转发引擎,由于处理性能高,如果能够在转发面实现安全检测,把非法的报文识别出来并合理的处理,对网络安全来说是最好的方案。

但是转发引擎一般都是硬件实现,基于ASIC或者NP,灵活性不如纯软件。因此,转发引擎只能检测具有固定特征、无需复杂的计算和处理的非法报文,安全处理机制要求较为简单且流程相对固定。

例如:

畸形报文检测,把明显违反协议规则的报文检测出来并丢弃;

广播风暴抑制,检测到广播风暴之后,直接在转发面把风暴来源利用动态ACL等方法,丢弃或者限速广播报文;

URPF直接在这方面查找端口和源地址匹配信息,不匹配直接丢弃;

分片报文泛洪时,由转发面直接进行分片报文限速;

对简单的ARP、ICMP、PPP Keep Alive等报文,直接由转发面应答客户端的请求,避免上送控制面。

采用转发引擎来实施安全策略,由于性能高,因此对流量泛洪攻击类的安全事件,能够非常好的应对,避免转发面把报文发给CPU处理,由于CPU的处理能力局限导致CPU过载,影响路由器可靠性。

转发面与控制面上送管道安全防御机制

转发面相对于控制面来说,其处理能力可以认为是无限的。因此,转发面能够轻易的上送海量的报文,把控制面直接冲击过载。

为了防止转发面上送过多的报文给控制面,需要对上送管道进行限速;同时为了不影响正常的业务运行,也需要对高优先级的和通过安全检测的正常业务放行。综合了安全性和可用性,路由器使用了如下几种机制,来综合保障在路由器可靠运行的前提下,尽可能提供高性能的业务处理能力:

  • 协议CPCAR:针对每一种协议(或者协议的某种典型的消息,如ARP Request和ARP Reply分开设置CPCAR),设置一个上送控制面的带宽限制;
  • 动态/静态黑名单:当动态检测到存在攻击事件,或者静态配置拒绝访问的策略,黑名单策略拒绝所有报文上送,防止被非法攻击;
  • 动态/静态白名单:当控制面的通信会话已经通过安全检查证明是可靠的,或者静态配置某些访问对象是可信的,通过白名单保证它们的报文不受限速控制;

综合以上措施,能够保证转发面上送控制面的报文不会把CPU冲击过载,同时也保证CPU尽最大能力为业务服务不会造成资源浪费。

应用层业务内嵌的安全检测与防御机制

转发面由于无法感知每一种协议内部的机制,因此复杂的、深层次的安全攻击无法被转发面检测并控制。

转发面与控制面间的管道控制机制只能保证CPU不会被攻击过载,并不感知上送的报文是否存在安全隐患。

因此,需要在应用层模块内部,内嵌的安全检测引擎:每一个协议栈模块,都需要能够动态检查报文和会话的合法性,需要把非法的报文或者会话及时丢弃,以防造成协议栈的安全危害。

下载文档
更新时间:2018-07-12

文档编号:EDOC1100028554

浏览量:4368

下载量:129

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页