收藏
下载资源 加入VIP免费专享

基础网络保护策略NFPP技术白皮书.docx

上传人:牧羊曲112 文档编号:5089031 上传时间:2023-06-03 格式:DOCX 页数:17 大小:180.10KB
返回 下载 相关 举报
基础网络保护策略NFPP技术白皮书.docx_第1页
第1页 / 共17页
基础网络保护策略NFPP技术白皮书.docx_第2页
第2页 / 共17页
基础网络保护策略NFPP技术白皮书.docx_第3页
第3页 / 共17页
基础网络保护策略NFPP技术白皮书.docx_第4页
第4页 / 共17页
基础网络保护策略NFPP技术白皮书.docx_第5页
第5页 / 共17页
亲,该文档总共17页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《基础网络保护策略NFPP技术白皮书.docx》由会员分享,可在线阅读,更多相关《基础网络保护策略NFPP技术白皮书.docx(17页珍藏版)》请在三一办公上搜索。

1、基础网络保护策略NFPP技术白皮书-i-e-刖言摘要NFPP (Network Foundation Protection Policy基础网络保护策略)是用来增强交换机安全的一种 保护体系,通过对攻击源头采取隔离措施,可以使交换机的处理器和信道带宽资源得到保护, 从而保证报文的正常转发以及协议状态的正常。文章阐述了 NFPP的开发背景和基本技术原 理,以及锐捷网络在该项技术中的应用特点和配置实例。关键词NFPP、攻击、保护、隔离缩略语清单缩略语英文全名中文解释NFPPNetwork Foundation Protection Policy基础网络保护策略URPFUnchaste Revers

2、e Path Forwarding单播路径转发QOSQuality of Service服务质量CPPControl Plane Policy控制平台策略ACLAccess Control List访问控制列表1 前言12 NFPP技术框架22.1 交换机体系结构22.2 NFPP 技术22.2.1攻击检测的技术32.2.2实施保护的技术32.2.3检测、保护的过程43 NFPP工作原理53.1 NFPP保护策略53.1.1 分类53.1.2 入队53.1.3 策略63.2 NFPP的工作流程74 锐捷NFPP技术特点95 NFPP 应用105.1 设置策略105.2 识别攻击115.3 隔离

3、用户115.4 实例解析116 结束语131刖言由于计算机网络体系结构的复杂性及其开放性等特征,使得网络设备及数据的安全成为影响 网络正常运行的重要问题。分析当前网络设备受到的攻击主要表现如下: 拒绝服务攻击可能导致到大量消耗内存等资源,使用系统无法继续服务。 大量的报文流送向CPU,占用了整个送CPU的报文通路的带宽,导致正常的控制流和 管理流无法达到CPU,从而带来协议振荡无法管理,进而影响到数据面的转发。如果 是核心设备将导致整个网络无法正常运行。由于大量的报文导致控制的处理消耗了大 量的CPU资源,从而影响用户通过CLI对设备进行管理。 在发现有攻击现象时,即使能采取一些简单的安全防护

4、措施(如广播风暴控制)减缓 设备压力,但无法及时定位发现攻击源,然后由整网设备协作制定安全策略,防止异 常攻击数据影响到全网,无法从根本上杜绝网络中存在的安全问题。目前业界已开发了一些用于防攻击的功能模块(比如:ACL、QOS、URPF、SysGuard、CPP等 等),通过这些功能模块自行建立攻击检测和保护的机制,并提供对外的管理接口。但实现得 不够系统,基本是针对一个问题解决一个问题,在体系上没有统一的框架。从现有的数据帧实 现的流程来看,缺乏从流的主干上考虑实施防攻击保护。为了在这个日益重视安全性的环境中 应对日益复杂的攻击,锐捷网络致力开发出一套完整的网络基础保护体系,称之为基础网络保

5、 护策略(Network Foundation Protection Policy),简称NFPP。NFPP技术能够对设备本身实施保 护,通过对报文流进行限制、隔离,以保证设备及网络可靠、安全、有效地运行。2 NFPP技术框架2.1交换机体系结构交换机的功能在逻辑上可以划分为三个层面:数据面、管理面、控制面。 数据面(Data Plane):负责处理和转发不同端口上各种类型的数据,对交换机的性能表 现起决定作用,如IP报文。 控制面(Control Plane):控制面负责控制和管理所有网络协议的运行,它通过网络协议 提供给交换机对整个网络环境中网络设备、连接链路和交互状态的准确了解,并在网

6、络状况发生改变时做出及时的调整以维护网络的正常运行。 管理面(Management Plane):管理面是提供给网络管理人员,使其能够以TELNET、 WEB、SSH、SNMP、RMON等方式来管理设备,并支持、理解和执行管理人员对于 网络设备各种网络协议的设置操作。针对交换机设备而言,数据的路由和交换过程主要由硬件来完成,而CPU主要对控制流、管 理流和部分交换芯片无法处理的数据流进行处理,并同时提供交互界面供用户进行本地管理 配置。2.2 NFPP 技术大量的报文流送向CPU,占用了整个送CPU的报文通路的带宽,导致正常的控制流和管理流 无法达到CPU,从而带来协议振荡无法管理,进而影响到

7、数据面的转发,如果是核心设备将 导致整个网络无法正常运行。NFPP接受报文的端口或者发送到CPU通过对送往CPU的报文进行攻击检测,的场景进行安 全检测,采取相应保护措施,从而达到对管理面、数据面和控制面的保护作用。NFPP整体框架(见下图):A. 异步发布攻击消息通告.E.调用驱动设置硬件实现保护B. 实施软件保护策略.F.配置与回显C. 实施硬件保护策略(option).G.配置与回显D. 收帧驱动回调流传递保护模块的帧处理图2-1NFPP整个框架可以分为软件平台和硬件平台两大部分,软件平台主要复杂报文流的分类和策 略的实施,NFPP工作原理对此由详细讲述。硬件平台主要对非法用户进行硬件隔

8、离,以达到 保护cpu资源的目的。这也符合NFPP“早发现,早隔离”的原则。同时结合IPFIX(IP information Flow eXport)流量监控技术基于端口进行流量监测,帮助网络管理者快速锁定异常不安全的数 据源,在网络管理平台全网下发NFPP安全策略,及早的隔离非法数据源。2.2.1攻击检测的技术对攻击的检测技术主要是通过将具体报文流的数量、内容以及来源根据预设定的条件进行判 断,或者根据设备本身进行智能判断。同时可结合锐捷网络的IPFIX(IP information Flow eXpor) 流量监控技术,基于端口发现网络中存在的异常数据流,并上报事件到全网统一的安全管理平

9、台,网络管理者锁定异常目标后并通过安全管理平台下发NFPP安全策略,隔绝异常数据源, 从而达到全网安全防护的效果。2.2.2实施保护的技术NFPP针对检测到的攻击流主要采取主动保护和被动保护措施:主动保护的技术主要是对操作对象制定某些操作行为约束,按照该约束就尽可能的避免被攻击。 被动保护的技术主要是对攻击源进行抑制,抑制的方式包括拒绝、限速、隔离。.保护技术还可以分为软件保护和硬件保护两类,硬件保护在前,软件保护在后。他们是一种相辅相成的关系。 硬件保护可以使软件保护在尽量少占用资源的情况下更高效的执行。 软件保护可以弥补硬件保护中的不足,使保护策略更加细化,更加灵活。结合IPFIX技术,将

10、流量发送到安全事件中心,判断出攻击源后全网设备协作,共同下发NFPP 安全防护策略,保证整网设备都不受到异常数据的影响,保证整网稳定。2.2.3检测、保护的过程1. 在实施保护前,检测出攻击,然后通过手动和自动(CLI、TRAP)的方式实施保护。检 测出攻击后,实施保护的方法: 可以通过设备提供数据信息进行人为判断的方式,在判断为攻击的情况下将实施手动 保护配置; 可以通过设备本身进行智能判断,而后自动的实施保护配置。对于智能判断以及自动 实施保护配置,能够支持用户预配置以按照用户的意愿在过程中自动的进行。2. 所有的保护如果通过一个设备来进行,显然并不是最明智的。对于一个网络而言,需要 从接

11、入设备、汇聚设备、核心设备共同进行协作来完成保护功能。为了实现跨设备间的 协作保护,主要是通过IPFIX流量监控技术传递攻击信息,并上报到安全管理平台。再 由安全管理平台下发安全策略,整网协作完成保护功能。3. 相对于上述的被动保护,主动保护过程相对比较简单。主动保护往往是设备启动服务之 前就已经启动了。约束的条件或者方法允许用户在设备启动服务前进行配置。3.1 NFPP保护策略NFPP对报文流策略的实施可以分为三个主要的步骤:分类3入队3策略3.1.1分类流分类是指采用一定的规则识别出符合某类特征的报文。分类规则指管理员根据管理需求配 置的过滤规则。 首先报文的作用,将报文分为控制流,管理流

12、和数据流三大类。 然后在此基础上,依据报文的类型,将报文分为ARP,IPv4,IPv6,other四大类。 最后可以继续细分到用户。如在ARP报文中还可以根据源MAC地址、源端口、vlan 等相关信息来确定出某用户的ARP报文。一般的分类依据都局限在封装报文的头部信 息,如,源 mac,源 IP,vlan,端 口,TTL 值,源 TCP/UDP 端口号、目的 TCP/UDP 端口号等,这样的细分,也是为了后面更有针对性的实施保护。鉴于此,NFPP不但可以在总体上对某类流进行策略的实施,还可以在细分流的基础上对某端 口或某个用户进行限速甚至隔离。例如可以根据smac/sport/vlan三个特定

13、字段对ARP类报文细分到用户的程度,这样当检测到 此用户发送大量ARP报文时,就可以根据指定的策略对此用户进行限速或者隔离。3.1.2入队在整个NFPP实施的过程中,流表起到了举足轻重的作用。每一个经过分类后的报文在流表中 都可以找到对应的节点。在节点结构中维护着此类报文流所对应的策略项,如限速水线,告警 水线等。根据数据流的报文类型以及细分的程度,维护节点结构的队列可以分为一级流表和二级流表。 他们均采用高效的哈希链进行组织,有效保证了报文收发过程中的高效率。一级流表是静态创建的,根据ARP,IPv4,IPv6, MAC Extended四个一级分类定义的所有关键字组织的,记录了最完整的流信

14、息,一级流表对于每一个一级分类只能有一 个,并且由流平台初始化静态创建。二级流表是可以由用户动态创建和删除的,是在一级流表的关键字基础上,根据某些 分类规则组成的二级关键字再次组织的节点集合,允许在每一个一级分类下多个并列 共存。二级流表可以支持对于扫描攻击的检测,允许用户在二级关键字基础上增加扫 描字段和扫描间隔的配置。3.1.3策略经过分类的流要放入对应的队列,队列节点中不但保存着报文流的特征信息,还维护着此类流 所对应的策略信息。如限速水线,告警水线,防扫描信息等。这些策略信息可以有效避免cpu 资源过多的浪费在攻击报文上,保证其处理正常的控制管理等报文。策略可以分为软件保护和硬件隔离

15、软件保护是指NFPP会根据其对应的策略对报文做相应的处理,如计算报文的速度和 在规定时间内接受的此类报文数量,并和其设置的策略值相比较。根据比较的结果向 具体防攻击模块发出告警等通告,然后由模块判断作出相应的处理。 在软件保护的基础上,硬件隔离室指,当防攻击模块收到NFPP发出的告警通告时, 根据攻击的性质会做出相应的处理措施,对特定的报文流进行限制。如可以调用NFPP 的底层接口对攻击源进行限速甚至硬件隔离。限速就是规定cpu在单位时间内接受此 用户报文流的最大值,超过的部分进行丢弃。如果发现某用户确实是在发送大量的攻 击报文,也可以将此用户进行硬件隔离,即在特定时间内不在接受此用户发出的报

16、 文。流数据-库一)图3-1队列限制攻击检测策略分保护策略队列限制攻击检测策略分保护策略队列限制1攻击检测策略-4分保护策略报文流被接收后就会根据预先定义好的分类规则进行流分类,这些规则和各种类型流的关键 信息都保存在流数据库中。首先报文会按作用类型分发管理类,控制类,数据类三种流,并对 每一种流实施攻击检测策略。然后,再按照类型对报文分成ARP,IPv4, IPv6, other四种流。 如果用户还注册了更为详细的划分,此分类过程还会继续执行。等分类完成后,就会执行每一 种流定义的策略。分类后的报文流进入分保护策略模块,就会根据该流的类型判断其是否超过速率限制,以决定 该流的行为。保护的行为

17、主要为:处理该限速范围的流、丢弃所有流、丢弃超过限速范围的流。 配置相应的流类型将同时更新该类型到流分类及流数据库管理模块。该模块可以进行动态的 配置,配置的方法就是按照QOS的方法进行配置。然后报文流会进入攻击检测模块,这些检测机制也主要基于帧的数目,比如说检测同一目的IP 每秒攻击的帧数目等。同时在检测到攻击后,将异步发送攻击消息给外部模块,消息的内容可 以在注册接收时同时指定。当报文流经过各种策略保护后,将被放入报文队列。但在放入队列前要对此类型的报文在队列 中所占的比例进行限制。这样可以避免某种类型的流占满队列,导致各层的报文分发器一直处 理某种类型的流而使其他类型的流得不到处理。当进

18、行完上面的操作,如果报文合法,没有被丢弃,就会送到报文队列等待后面的处理。4锐捷NFPP技术特点防止多种攻击NFPP能够防止目前网络上常见的多种攻击手段,包括ARP攻击、ICMP攻击、IP扫描攻击及 DHCP耗竭攻击等,形成一套完整的保护体系,为用户提供一个安全可靠的网络平台。配置灵活方便NFPP的用户界面CLI命令设计简单方便,这样使用户无需对相关专业知识有很深认识的情况 下,也能完成配置。NFPP所实现的防攻击技术如ARP防攻击、ICMP防攻击都集中在NFPP 配置模式下进行配置,且对各种类型防攻击的配置基本相仿,使得用户只须熟悉其中一种配置 就可以了。同时,用户可以根据实际需要选择相应功

19、能,即可以选择打开ARP防攻击功能而 关闭ICMP防攻击功能。整网设备联动结合锐捷网络的IPFIX流量监控技术,可以基于端口进行流量检测,将流量发送到上层网络管 理中心。一旦有异常流量,安全管理平台就立即协助网络管理者发现网络中的非法数据源,并 由网络设备联动整网下发NFPP安全策略,最终杜绝攻击保证全网安全。支持特权用户NFPP支持特权用户,即管理者能够设置一些可信任用户为特权用户。设置为特权用户后,就 不会对该用户进行监控,即该用户不会被限速,更不会被隔离。需要注意的是,特权用户是针 对某种攻击而言,即若该用户为ARP特权用户,仅表示该用户的ARP报文不受监控。基于对NFPP技术原理的理解

20、,在此以ARP抗攻击为例对NFPP的应用进行详细剖析,下图 为NFPP对ARP攻击的处理过程:图5-15.1设策略由防攻击模块向NFPP框架下发策略,说明需要创建的二级流表的类型。对于一种攻击,可能 会同时创建几张二级流表,以识别更多种类的攻击。例如针对ARP攻击创建的二级流表类型 表示如下:.per-src-ip:表示由源IP地址、vlan和物理端口组成的三元组来确定一张二级流表。.per-src-mac:表示由源mac地址、vlan和物理端口组成的三元组来确定一张二级流表。.per-port:表示由端口确定一张二级流表。每张二级流表都包含限速水线和攻击水线值。5.2识别攻击假设用户只开启A

21、RP抗攻击功能,那么仅创建ARP报文的三张二级流表,该流表只对ARP 报文生效。如果IP报文到达NFPP框架时,由于找不到对应的二级流表,可以直接通过,不对该报文进 行监控。如果ARP报文到达,则会匹配相应的二级流表。以persrcip为例,会根据ARP报文的源IP、 vlan和物理端口号进行匹配。 如果匹配到二级流表的一条表项,则把该表项的统计值加1。 如果没有则增加一条表项。然后将这个统计值与限速水线相比较,如果超过就将报文 丢弃。但报文统计值依然会增加。当这个值超过攻击水线时,将打印出攻击日志,并根据配置决定是否将该源IP的用户进行隔 离。5.3隔离用户当识别出攻击时,NFPP会根据用户

22、的配置决定是否对识别出的攻击源进行隔离。攻击源一旦 被隔离,它所发送的相应的报文就会被立即丢弃。这里应该注意的是:隔离操作只是隔离该攻击源发出的被识别出攻击的类型报文,而不会隔离 攻击源发送的其它类型的报文。比如,用户因ARP攻击而被隔离,这时它发出的ARP报文会 立即被丢弃,但它发出的IP报文则不会被丢弃。对于隔离用户有一些可操作的属性:隔离超时和解除隔离。隔离超时分为全局隔离超时和端口隔离超时,后者优先级比前者高。端口隔离超时用来支持对 端口进行特殊设置。比如某个端口连接的用户攻击比较频繁,就可以将这个端口隔离超时设置 为较长的时间而不改变其它端口的隔离超时。5.4实例解析根据以上对ARP

23、抗攻击的处理过程的描述,列举简单配置如下:先进入NFPP配置模式,打开arpguard功能,根据用户需要假设设置隔离时间为300秒。对 于限速水线和攻击水线都有一个默认值,每个mac地址默认的ARP限速水线为4pps,默认的 ARP攻击水线为8pps,这些默认值在大部分的网络环境下是适用的,所以通常情况下,不需 要修改这两个值。通过该配置,当某个用户疯狂地向设备发送ARP报文时,假设速度是每秒10000个。在1秒 的时间内,NFPP在收到第一个ARP报文,送给CPU处理;收到第2个报文,发现超过限速 水线1,就将它丢弃。收到第3个,丢弃;一直到9个报文时,NFPP判断到每秒收到该用户 的ARP报文超过攻击水线8,就将该用户加入到隔离表中。之后的300秒内,凡是收到该用 户的ARP报文就直接丢弃,不送给CPU处理,这样就保证了 CPU不被非法的ARP报文占用 而无法处理合法的ARP报文。6结束语目前锐捷网络产品基于NFPP框架实现ARP抗攻击功能、ICMP防攻击、IP扫瞄攻击及DHCP 耗竭攻击,将来会扩展支持抵抗更多类型的攻击,使交换机的安全保护能力得到更大的提升。 同时结合锐捷网络新一代IPFIX流量监控技术,可以基于端口进行流量检测,协助网络管理者 发现网络中的非法数据源,并上报到安全管理中心,由网络设备联动整网下发安全策略,最终 杜绝攻击保证全网安全。全文完

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号