所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
IPSG与其他相关特性的比较

IPSG与其他相关特性的比较

IPSG、动态ARP检测DAI(Dynamic ARP Inspection)、静态ARP、端口安全都是提高网络安全的技术,以下分别介绍IPSG与DAIIPSG与静态ARPIPSG与端口安全的主要区别。

IPSG与DAI

IPSG和DAI都是利用绑定表(静态绑定表或者DHCP Snooping绑定表)实现对报文过滤的技术。它们的主要区别如表11-3所示。

表11-3  IPSG与DAI的区别

特性

功能介绍

应用场景

IPSG

利用绑定表对IP报文进行过滤。设备会匹配检查接口上接收到的IP报文,只有匹配绑定表的IP报文才允许通过。

防止IP地址欺骗攻击。如防止非法主机盗用合法主机的IP地址,非法获取上网权限或者攻击网络。

DAI

利用绑定表对ARP报文进行过滤。设备会匹配检查接口上接收到的ARP报文,只有匹配绑定表的ARP报文才允许通过。

防御中间人攻击。中间人通过ARP欺骗,引导流量从自己这里经过,从而可以截获他人信息。

另外,IPSG无法避免地址冲突。例如,当非法主机在合法主机在线时盗用其IP地址,非法主机发送的ARP请求会广播到合法主机,从而产生地址冲突。所以,为了避免IP地址冲突,可以在部署IPSG的同时配置DAI。

有关DAI的详细介绍,请参见ARP安全配置

IPSG与静态ARP

IPSG(指基于静态绑定表的IPSG)和静态ARP都可以实现IP和MAC的绑定,它们的主要区别如表11-4所示。

表11-4  IPSG和静态ARP的区别

特性

功能介绍

应用场景

IPSG

通过静态绑定表固定IP地址和MAC地址之间映射关系,设备会匹配检查接口上接收到的报文,只有匹配绑定表报文才允许通过。

一般部署在与用户直连的接入设备(也可以是汇聚或者核心设备)上,防止内网中的IP地址欺骗攻击,如非法主机仿冒合法主机的IP地址获取上网权限。

静态ARP

通过静态ARP表固定IP地址和MAC地址之间映射关系,静态ARP表项不会被动态刷新,设备根据静态ARP表转发接收到的报文。

一般部署在网关上,配置重要服务器的静态ARP表项,防止ARP欺骗攻击,保证主机和服务器之间的正常通信。

举例说明IPSG和静态ARP的应用,如图11-7所示。
  • 通过在Switch上配置IPSG,防止非法主机随意更改IP地址、仿冒合法主机取得上网权限。
  • 通过在Gateway上配置服务器的静态ARP表项,防止非法服务器的ARP攻击、错误刷新ARP表项,导致主机无法和合法服务器通信。
图11-7  IPSG和静态ARP的应用组网图

IPSG和静态ARP的功能区别如下:

  • 静态ARP防止不了IP地址欺骗攻击

    假设Switch上未配置IPSG,而是在网关上配置了主机的静态ARP。当非法主机仿冒合法主机的IP地址访问Internet,报文转发过程如下:

    1. 非法主机发送的报文到达Switch
    2. Switch将报文转发到Gateway。
    3. Gateway将报文发往Internet。
    4. Internet回程报文到达Gateway。
    5. Gateway根据目的IP地址(即仿冒的合法主机的IP地址)查找静态ARP表项,这个IP对应的MAC为合法主机的MAC,Gateway将封装后的报文发送给Switch
    6. Switch根据目的MAC地址将报文转发到合法主机。

    从过程来看,如果伪造的是合法主机的IP地址,配置静态ARP也能防止非法主机更改IP地址上网,但是会导致合法主机收到大量非法回应报文。如果合法主机在线时,非法主机不断构造并发送这种报文,则会对合法主机造成攻击。

    如果非法主机仿冒的IP地址是一个未使用的IP地址,并且这个IP地址没有被添加到静态ARP表中,则会仿冒成功,回程报文可以到达非法主机。如果是希望通过配置静态ARP来防止主机仿冒IP,那就需要把所有的IP(包括未使用的IP)都添加到静态ARP表项中,这样配置工作量会很大。

    另外,因为是在网关上配置的静态ARP,所以Switch所连接的网络内是存在IP欺骗攻击的,这个无法避免。

    所以,如果是为了防止内网中的IP地址欺骗的攻击行为,建议在Switch上配置IPSG更为合适。

  • IPSG防止不了ARP欺骗攻击

    假设Switch上配置了IPSG,而网关上未配置主机的静态ARP。
    1. 非法主机伪造了合法主机的IP地址发送了虚假的ARP请求报文到达Switch
    2. Switch会转发到Gateway,导致Gateway将合法主机的ARP表项刷新成错误的表项(IP为合法主机的IP,MAC为非法主机的MAC)。
    3. 当合法主机访问Internet,Internet回程报文将被转发到非法主机,导致合法主机也上不了网。

      而且,从Internet主动发给合法主机的报文也会被非法主机截获,无法正常发送到合法主机。

    为了解决这个问题,一种方法是在网关上同时配置主机的静态ARP,但是对于主机规模较大的场景下配置和维护会非常复杂。另一种方法是在Switch上同时配置DAI功能,Switch对于接口上收到的ARP报文也会匹配绑定表,对于非法的ARP报文同样会因与绑定表不匹配而被Switch丢弃。非法ARP报文到达不了网关,也就更改不了ARP表项。

有关静态ARP的详细介绍,请参见S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-IP业务》 ARP配置。

IPSG与端口安全

IPSG(指基于静态绑定表的IPSG)和端口安全都可以实现MAC地址和接口的绑定,它们的主要区别如表11-5所示。

表11-5  IPSG与端口安全的区别

特性

功能介绍

应用场景

IPSG

通过在绑定表中固定MAC和接口的绑定关系,实现固定主机只能从固定接口上线,并且绑定表以外的非法MAC主机无法通过设备通信。

绑定表项需要手工配置,如果主机较多,配置工作量比较大。

绑定MAC和接口只是IPSG的一部分功能,IPSG能实现IP地址、MAC地址、VLAN和接口之间的任意绑定。它主要用来防止IP地址欺骗攻击,如防止非法主机盗用合法主机的IP地址,非法获取上网权限或者攻击网络。

端口安全

通过将接口学习到的指定数量的动态MAC地址转换为安全MAC地址,以固定MAC表项,实现固定主机只能从固定接口上线,并且MAC表以外的非法MAC主机无法通过设备通信。

安全MAC地址是动态生成的,无需手工配置。

防止非法主机接入,还可以控制接入主机的数量,比较适合于主机较多的场景。

因此,如果只是希望阻止非法MAC通过设备通信,并且在主机较多的环境下,配置端口安全更合适。

另外,IPSG不会固定MAC表项,无法防止MAC表被错误刷新而产生MAC漂移问题。如图11-8所示,非法主机伪造合法主机的MAC地址发送数据(例如发送伪造的ARP报文)到达Switch,会错误刷新MAC表,导致非法主机截获发往合法主机的报文。

图11-8  MAC表错误刷新示意图

此时,可设置根据绑定表生成Snooping类型的MAC表项(也是一种安全MAC),解决上述问题。

有关端口安全的详细介绍,请参见端口安全配置

由此可见,IPSG、DAI、静态ARP、端口安全是针对不同需求的,它们都有自己独特的价值。为了网络更加安全,建议综合考虑,灵活应用。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32114

下载量:932

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页