搜索
24H咨询热线:13811311699

?思科技术实现内部网络安全方案

2020-05-28 13:39浏览数:53

思科技术实现内部网络安全方案

1)DHCP 拒绝服务攻击防御

page6image15742576

通过开启 DHCP 监听特性,交换机限制用户端口(非信任端口)只能够发送 DHCP 请求,丢弃来自用户端口的所有其它 DHCP 报文,例如 DHCP Offer 报文等。 而且,并非所有来自用户端口的 DHCP 请求都被允许通过,交换机还会比较 DHCP 请求报文的(报文头里的)源 MAC 地址和(报文内容里的)DHCP 客户机的硬件 地址(即CHADDR 字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。 这样就防止了 DHCP 耗竭攻击。信任端口可以接收所有的 DHCP 报文。通过只将交 换机连接到合法 DHCP 服务器的端口设置为信任端口,其他端口设置为非信任端 口,就可以防止用户伪造 DHCP 服务器来攻击网络。DHCP 监听特性还可以对端口 的DHCP 报文进行限速。通过在每个非信任端口下进行限速,将可以阻止合法 DHCP 请求报文的广播攻击。DHCP 监听还有一个非常重要的作用就是建立一张 DHCP 监 听绑定表(DHCP Snooping Binding)。一旦一个连接在非信任端口的客户端获得 一个合法的 DHCP Offer,交换机就会自动在 DHCP 监听绑定表里添加一个绑定条 目,内容包括了该非信任端口的客户端 IP 地址、MAC 地址、端口号、VLAN 编号、 租期等信息。

page7image15772224

在部署了 DHCP 监听后(如上图所示)通过将交换机之间端口和 DHCP 服务 器所连端口设为“可信任”状态,同时将所有其他端口设为不可信任状态,可以 阻止第二种攻击-DHCP 伪装。被设为 DHCP 可信任的端口可以转发 DHCP 答复, 而被设为不可信任的端口则不可以。不可信任端口只能发出 DHCP 请求。这使得 攻击者无法通过伪造的 IP 信息响应 DHCP 请求。Cisco Catalyst 端口安全可以 进一步阻止 DHCP 拒绝服务攻击。一旦设置了端口安全,攻击者将无法通过请求 超出该网段可用数量的地址攻击 DHCP 服务器。

2)基于 ARP 的中间人监听及 MAC 泛洪攻击防御

page7image15775136

基于 ARP 的中间人监听--利用一种免费软件工具(例如 ettercap 或者 dsniff),攻击者可以利用以太网标准中的一个漏洞,冒充网络上其他主机(包 括路由器)的身份。这使得攻击者可以拦截所有发往其他资源(例如电子邮件和 Web 服务器)的流量。这相当于网络世界中的窃听器。

基于 IP 的中间人监听--与 ARP 监听攻击类似,IP 地址伪装是指攻击者 “窃取”网络上另外一台主机的 IP 地址,从而中断通信或者获取发往该主机的 信息。

page8image15793392

MAC 泛洪攻击--攻击者向交换机发送数千个 MAC 地址,导致交换机的 MAC 地址表溢出。该交换机随后必须将所有分组转发到所有端口,直到交换机重建 MAC 表。因此在攻击期间,交换机的作用就像是一个集线器。在某些极端情况下, 交换机甚至会发生崩溃。

3)解决方案

对于以上网络中可能出现的各种二层、三层等非法行为,包括 ARP、IP 欺 骗攻击, Cisco 在相应的产品和解决方案中都有充分的考虑和设计了相应的功 能,可以进行有效防御。对于神化煤制油的升级后的网络拓扑和应用情况,我们 认为最好的办法就是在接入层交换机上开启动态 ARP 检测功能 DAI – 该功能 就是针对 ARP 欺骗行为的,它可以监控相应端口的 ARP 广播,对其是否真伪、 发送速度是否超出限制都进行实时监控,其会丢弃非法的 ARP 广播,并且对于 上述非法行为进行限制、惩罚和进行日志记录,可以十分有效地解决上述问题。

  采用的技术和安全防范功能:

page9image16188016

通过动态 ARP 检查 (DAI - Dynamic ARP Inspection) 功能防止用户 ARP 欺骗攻击,通过 Port Security 的最大MAC 数量限制可以限制用户上网电脑数 量,同时防范 MAC 泛滥攻击。

2.2.3 无线方案设计 在本项目中无线网络是作为有线网络的一项补充方案,所以在无线信号覆盖

方面只包括部分区域。各办公室楼层信号要求情况如下:

楼层 信号覆盖区域 备注

要求实现无线 Wi-Fi 客户端在上述区域的所有地方都能无线上网,且用户可 以在有无线信号的地方无缝的漫游,以提供安全的移动联网环境,实现真正的安 全移动,减少布线的繁琐和成本,提高员工协同工作效率,从而节省成本并提高 生产率。

page9image1773696page9image1780608page9image1772352

4号 楼

活动区域

含室外

7号 楼

活动区域

含室外

注:以上为初期需求,如有调整将随时更新。

设计原则

? 可靠性
n 有效发现非Wifi无线干扰并且能实现快速恢复,保证关键业务的

可靠运行。

n 无需客户端特殊驱动支持,即可实现波束成形,对各个方向上多 个无线客户端实现信号增强,并可有效保证整体无线覆盖的稳定性 。

n 可自行恢复的WLAN提供了高可用性,包括覆盖范围漏洞检测和修 复

? 高密度部署能力
n 5G优先,无需终端设置,就可将双频终端自动导引到更多频点更

干净的5G频段。

n 已经经过大量企业现网部署验证的AP动态频率,降低AP之间的同 频干扰和邻频干扰,有效提高无线网络吞吐量并简化无线网络部署。

n 独有的无线终端的动态功率控制技术,有效减少了无线终端之间 的相互干扰,提高无线网络吞吐量。

? 安全
n 通过多种验证和加密策略,包括8 02.11i、Wi - Fi受保护接入 (WPA、

WPA2等,提供WLAN的可控接入

n 基于用户、设备、时间、地点以及接入方式的五元组安全防护

n 无线控制器内置的无线安全防范,可检测并防御非法AP和蜜罐 攻 击、并可防止合法无线用户接入到其他网络

? 移动性

提供业界最优最优的快速安全切换时间:
n 在控制器内和控制器间进行第二层和第三层快速漫游。 n 室内和室外无缝切换。

? 可扩展性

无线网络必须能够扩展,以满足当前和未来的业务需求:
n 无缝实现802.11n到802.11ac的过渡
n 支持WLAN在园区、分支机构、远程地点和室外地点的部署 n 支持数个、数百乃至数千中央或远程接入点的部署


总总部地址:北京市海淀区苏州街55号名商大厦502室              联系电话:010-62536188(总机)             联系邮箱:zhangh@bjzwhx.com    
北京众维和讯科技有限公司