正確設(shè)置交換機 保證網(wǎng)絡(luò)安全
寬帶網(wǎng)接入交換機通常需要與用戶終端直接連接,一旦用戶終端感染蠕蟲病毒,病毒發(fā)作就會嚴(yán)重消耗帶寬和交換機資源,甚至造成網(wǎng)絡(luò)癱瘓,這一現(xiàn)象在Slammer和沖擊波事件中早已屢見不鮮。寬帶接入交換機究竟面臨哪些安全風(fēng)險?怎樣才能化解這些風(fēng)險?接下來我們將逐一揭示。
交換機的風(fēng)險
利用抓包工具,筆者經(jīng)常捕獲到大流量的異常報文,它們一方面消耗網(wǎng)絡(luò)帶寬,另一方面消耗網(wǎng)絡(luò)設(shè)備的資源,影響網(wǎng)絡(luò)的正常運行。
單播類異常報文:單播流量大多數(shù)是發(fā)送給網(wǎng)關(guān),網(wǎng)關(guān)設(shè)備根據(jù)路由表對這些報文做出轉(zhuǎn)發(fā)或丟棄處理。對私有IP地址,公網(wǎng)三層交換機或路由器會自動丟棄單播流量。如果用戶已經(jīng)獲得一個公網(wǎng)IP地址,這些單播流量就會被轉(zhuǎn)發(fā)出去,進而影響更大范圍的網(wǎng)絡(luò)。以沖擊波病毒為例,中毒主機只要監(jiān)測到網(wǎng)絡(luò)可用,就會啟動一個攻擊傳播線程,不斷隨機生成攻擊地址進行攻擊。在沖擊波發(fā)作嚴(yán)重的階段,網(wǎng)絡(luò)速度明顯變慢,一些接入層交換機和一些小型路由器甚至崩潰,核心三層交換機的CPU利用率達到100%,運營商不得不采取屏蔽ICMP報文的辦法加以應(yīng)對。
廣播類異常報文:廣播是實現(xiàn)某些協(xié)議的必要方式。廣播報文會發(fā)送給特定網(wǎng)段內(nèi)的所有主機,每臺主機都會對收到的報文進行處理,做出回應(yīng)或丟棄的決定,其結(jié)果是既消耗網(wǎng)絡(luò)帶寬又影響主機性能。利用端口隔離技術(shù),用戶可以限制廣播報文只發(fā)往上行端口,這樣可以減小對本網(wǎng)段鏈路和主機的影響,但無法解決對匯聚層和核心層設(shè)備造成的影響。如果在匯聚或核心設(shè)備上將多個小區(qū)劃在一個VLAN 內(nèi),廣播類流量就會通過上層設(shè)備返回到其他小區(qū),進而繼續(xù)占用這些小區(qū)的鏈路帶寬并影響主機性能,這種配置方法在當(dāng)前寬帶網(wǎng)絡(luò)中廣泛存在。
組播類異常報文:組播類信息本來只服務(wù)于網(wǎng)絡(luò)內(nèi)的部分用戶,其目的地址是網(wǎng)絡(luò)內(nèi)申請加入組播組的主機。一些主機并沒有申請加入組播組,這些組播報文本不應(yīng)該轉(zhuǎn)發(fā)給這些主機,但是事實上這些主機還是收到了組播信息。是什么原因?qū)е陆M播報文轉(zhuǎn)發(fā)給沒有申請加入的主機呢?原來,為了實現(xiàn)組播,二層交換機使用GMRP組播注冊協(xié)議或IGMP Snooping協(xié)議來維護一個動態(tài)組播表,然后把組播報文轉(zhuǎn)發(fā)給與該組播組成員相關(guān)的端口,以實現(xiàn)在VLAN 內(nèi)的二層組播,如果沒有運行IGMP Snooping,組播報文將在二層廣播,這就是導(dǎo)致組播泛濫的原因。
隨著寬帶網(wǎng)絡(luò)的進一步普及以及視頻應(yīng)用的逐漸增加,組播技術(shù)將會得到更廣泛地應(yīng)用,那時組播類異常流量不僅會出現(xiàn)在網(wǎng)絡(luò)的第二層,而且還會路由到整個組播樹。加上視頻類信息流量較大,很難區(qū)分正常流量和不正常流量。因而對組播進行控制也就更加困難了。
總之,局域網(wǎng)內(nèi)的應(yīng)用存在被病毒利用的可能性,如果不有效限制異常流量,就會對網(wǎng)絡(luò)帶寬以及網(wǎng)絡(luò)設(shè)備造成資源消耗。因此,為面向用戶的二層交換機增加智能,把問題隔離在最小的范圍內(nèi),就顯得尤為重要。
化解風(fēng)險的對策
利用交換機的流量控制功能,我們能夠把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。例如,Cisco交換機具有基于端口的流量控制功能,能夠?qū)崿F(xiàn)風(fēng)暴控制、端口保護和端口安全。風(fēng)暴控制能夠緩解單播、廣播或組播包導(dǎo)致的網(wǎng)絡(luò)變慢,通過對不同種類流量設(shè)定一個閾值,交換機在端口流量達到設(shè)定值時啟動流量控制功能甚至將端口宕掉。端口保護類似于端口隔離,設(shè)置了端口保護功能的端口之間不交換任何流量。端口安全是對未經(jīng)許可的地址進行端口級的訪問限制。無獨有偶,華為交換機提供流量控制和廣播風(fēng)暴抑制比等端口控制功能。流量控制功能用于交換機與交換機之間在發(fā)生擁塞時通知對方暫時停止發(fā)送數(shù)據(jù)包,以避免報文丟失。廣播風(fēng)暴抑制可以限制廣播流量的大小,對超過設(shè)定值的廣播流量進行丟棄處理。
不過,交換機的流量控制功能只能對經(jīng)過端口的各類流量進行簡單的速率限制,將廣播、組播的異常流量限制在一定的范圍內(nèi),而無法區(qū)分哪些是正常流量,哪些是異常流量。同時,如何設(shè)定一個合適的閾值也比較困難。如果需要對報文做更進一步的控制用戶可以采用ACL(訪問控制列表 )。ACL利用IP地址、TCP/UDP端口等對進出交換機的報文進行過濾,根據(jù)預(yù)設(shè)條件,對報文做出允許轉(zhuǎn)發(fā)或阻塞的決定。Cisco和華為的交換機均支持IP ACL和MAC ACL,每種ACL分別支持標(biāo)準(zhǔn)格式和擴展格式。標(biāo)準(zhǔn)格式的ACL根據(jù)源地址和上層協(xié)議類型進行過濾,擴展格式的ACL根據(jù)源地址、目的地址以及上層協(xié)議類型進行過濾。
通過細分不同的網(wǎng)絡(luò)流量,用戶可以針對性地對異常流量分別進行控制。通過IP報文的協(xié)議字段控制單播類異常流量,通過以太幀的協(xié)議字段控制廣播類異常報文,通過IP目的地址段控制組播類報文。除了這些控制手段之外,網(wǎng)絡(luò)管理員還需要經(jīng)常注意網(wǎng)絡(luò)異常流量,及時定位異常流量的源主機,并且排除故障。
【編輯推薦】
