内网有线网络安全设计
智简园区中小型的有线网络通常采用单层接入架构。有线接入层作为园区网的边界,为用户提供各种接入方式,是PC终端、网络摄像机、打印机、IP电话、无线终端等设备接入网络的第一层,满足各终端的接入要求是接入层的首要任务。同时,接入层也需要对网络提供保护,防止未经授权的用户和应用进入网络,因此,接入层需要同时考虑网络的安全性和可用性,有如下几点建议:
- 建议1:开启广播风暴控制
当设备二层以太接口收到广播、组播或者未知单播报文时,如果设备根据报文的目的MAC地址不能明确报文的出接口,则设备会向同一VLAN内的其他二层以太接口转发这些报文,这样可能导致广播风暴,降低设备转发性能。
在接入层下行接口,部署广播、组播、未知单播报文的抑制,可有效减少广播风暴。
- 建议2:开启DHCP Snooping,上行口配置成trust
配置DHCP Snooping功能,可有效防止DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将接口设置为信任接口和非信任接口,信任接口正常转发接收到的DHCP报文,非信任接口接收到DHCP服务器响应的DHCP ACK和DHCP OFFER报文后,将丢弃该报文。
直接或者间接连接管理员信任的DHCP服务器的接口需要设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。
- 建议3:开启IPSG和DAI
在网络中经常出现利用仿冒合法用户的源IP、MAC等信息的报文访问或者攻击网络的情况,导致合法用户无法获得稳定、安全的网络服务。配置IP源防攻击功能,可以防范上述情况的发生。IP源防攻击(IPSG)可以防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或者攻击网络。
为了防御中间人攻击,避免合法用户的数据被中间人窃取,可以使能动态ARP检测功能。设备会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。
- 建议4:开启端口隔离
建议在接入交换机连接终端的接口上配置端口隔离,加强用户通信安全,同时避免无效的广播报文影响用户业务。