IDC數(shù)據(jù)中心設(shè)備安全加固方法探析論文

　　近幾年來(lái)， 互聯(lián)網(wǎng)數(shù)據(jù)中心在國(guó)內(nèi)發(fā)展迅猛， 與此同時(shí)互聯(lián)網(wǎng)安全事件也愈演愈烈， 數(shù)據(jù)中心安全事件的發(fā)生率呈指數(shù)上升趨勢(shì)。各種xxx攻擊軟件， 隱藏在服務(wù)器中的病毒， 以及網(wǎng)絡(luò)內(nèi)的僵尸主機(jī)， 都可能會(huì)成為網(wǎng)絡(luò)攻擊源。攻擊會(huì)導(dǎo)致網(wǎng)絡(luò)服務(wù)質(zhì)量下降導(dǎo)致網(wǎng)絡(luò)不可用， 嚴(yán)重影響運(yùn)營(yíng)商的品牌形象。在日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)面前， 需要盡可能地提高網(wǎng)絡(luò)健壯性， 有效抑止一些常見(jiàn)的攻擊和病毒， 降低安全事件發(fā)生的概率和影響程度。

　　目前針對(duì)數(shù)據(jù)中心基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒主要有以下幾類(lèi)：一類(lèi)是攻擊直接針對(duì)網(wǎng)絡(luò)設(shè)備， 造成網(wǎng)絡(luò)設(shè)備處理器和內(nèi)存資源大量消耗， 使得網(wǎng)絡(luò)性能收到影響， 甚至中斷；另一類(lèi)是采用大數(shù)據(jù)包的攻擊， 使網(wǎng)絡(luò)帶寬擁塞， 影響網(wǎng)絡(luò)的性能；還有一類(lèi)是采用小數(shù)據(jù)包的攻擊， 造成網(wǎng)絡(luò)設(shè)備三層轉(zhuǎn)發(fā)負(fù)載加重， 使設(shè)備性能降低， 影響網(wǎng)絡(luò)性能。

　　結(jié)合筆者十多年的數(shù)據(jù)中心建設(shè)維護(hù)和安全防御經(jīng)驗(yàn)， 提出從技術(shù)上建立數(shù)據(jù)中心網(wǎng)絡(luò)配置標(biāo)準(zhǔn)， 對(duì)設(shè)備進(jìn)行安全加固。通過(guò)對(duì)網(wǎng)絡(luò)安全體系的各個(gè)安全環(huán)節(jié)、各個(gè)保護(hù)對(duì)象的防御措施等方面的均衡， 提高IDC整體防護(hù)能力， 降低上述幾種攻擊模式對(duì)數(shù)據(jù)網(wǎng)絡(luò)的沖擊， 實(shí)現(xiàn)網(wǎng)絡(luò)整體安全水平的提高。

　　1 IDC數(shù)據(jù)中心設(shè)備進(jìn)行安全加固

　　主要實(shí)施對(duì)象是機(jī)房網(wǎng)絡(luò)設(shè)備， 通過(guò)對(duì)設(shè)備自身的安全加固， 提升網(wǎng)絡(luò)的自我防護(hù)能力， 加強(qiáng)重點(diǎn)設(shè)備的抗攻擊能力， 提高網(wǎng)絡(luò)的生存性和可用性。

　　1.1 通用性安全配置要求

　　為保證IDC內(nèi)數(shù)據(jù)安全， 建議對(duì)機(jī)房?jī)?nèi)各設(shè)備按照如下安全配置要求進(jìn)行策略部署：

　�。�1） 設(shè)備端口安全管理

　　對(duì)于網(wǎng)絡(luò)設(shè)備的服務(wù)端口遵循最小化原則， 關(guān)閉不必要的應(yīng)用端口和服務(wù)， 主要包括如下內(nèi)容：關(guān)閉IP直接廣播；關(guān)閉控制平面未使用的服務(wù)， 如代理ARP、IP源路由；關(guān)閉不使用的管理平面服務(wù)：Bootp, Finger、PAD、CDP, DHCP, 小TCP/UDP等， 對(duì)于不使用Web方式管理的網(wǎng)絡(luò)設(shè)備關(guān)閉其HTTP服務(wù)， 對(duì)于必須啟用WEB管理的設(shè)備， 需通過(guò)訪問(wèn)控制列表進(jìn)行訪問(wèn)限制。

　　（2） 設(shè)備認(rèn)證控制和密碼管理

　　設(shè)備采用集中認(rèn)證方式， 通過(guò)Radius或者Tacacs+認(rèn)證模式登錄， 由認(rèn)證服務(wù)器對(duì)維護(hù)操作人員進(jìn)行認(rèn)證授權(quán)， 用戶權(quán)限遵循最小授權(quán)原則， 在設(shè)備增加本地賬戶， 作為認(rèn)證服務(wù)器失效時(shí)的備用管理賬號(hào)。對(duì)于所有的設(shè)備配置中登錄密碼， 必須使用加密顯示， 控制臺(tái)接口必須啟用密碼保護(hù)功能。認(rèn)證服務(wù)器可將相關(guān)的認(rèn)證授權(quán)操作信息送到安全管理平臺(tái)。

　　不允許使用系統(tǒng)缺省配置的用戶和口令， 應(yīng)給網(wǎng)管人員配置各自的用戶名和口令， 做到個(gè)人賬號(hào)專(zhuān)人專(zhuān)用， 建議每三個(gè)月進(jìn)行一次密碼更新， 口令要求不少于8個(gè)字符， 口令使用大寫(xiě)字母、小寫(xiě)字母、數(shù)字、標(biāo)點(diǎn)及特殊字符四種字符中至少三種的組合， 口令以加密方式存儲(chǔ)。網(wǎng)管人員離職、崗位調(diào)動(dòng)必須通過(guò)相應(yīng)的管理流程對(duì)其賬號(hào)、密碼進(jìn)行刪除。

　�。�3） 設(shè)備訪問(wèn)限制

　　在網(wǎng)絡(luò)設(shè)備上限定只允許網(wǎng)管地址網(wǎng)段能實(shí)現(xiàn)和設(shè)備之間的管理通信；限定設(shè)備登錄的并發(fā)連接數(shù)， 限定登錄最大連接時(shí)長(zhǎng)， 對(duì)于支持SSH模式的設(shè)備， 一律采用SSH方式進(jìn)行遠(yuǎn)程訪問(wèn)。需要外網(wǎng)操作的設(shè)備， 建議采用VPN方式登錄到網(wǎng)管中心， 然后通過(guò)網(wǎng)管中心作為跳板進(jìn)行設(shè)備訪問(wèn)。為加強(qiáng)跳板的可用性， 可以采用主備冗余方式。

　�。�4） 設(shè)備關(guān)鍵資源保護(hù)

　　使用RACL和COPP等類(lèi)似技術(shù)部署設(shè)備控制卡板的防護(hù)策略， 對(duì)設(shè)備處理能力進(jìn)行保護(hù)， 增強(qiáng)設(shè)備本身的安全性。

　�。�5） 路由安全

　　對(duì)于啟用動(dòng)態(tài)路由的設(shè)備， 要求在建立鄰接關(guān)系時(shí)使用MD5算法加密， 保證路由信息的可信度。對(duì)于無(wú)需參與動(dòng)態(tài)路由計(jì)算的端口， 建議配置為被動(dòng)接口。對(duì)于多跳EBGP互聯(lián)鄰居， 為避免路由震蕩和攻擊， 在確定路由跳數(shù)的情況下， 應(yīng)啟用BGPTTLsecurity-check功能。與用戶通過(guò)BGP互連時(shí)， 在EBGP鄰接上使用AS-PATH嚴(yán)格匹配對(duì)方廣播的路由， 并使用IP prefix-list過(guò)濾缺省和私有路由， 原則上只接收掩碼為/24或以?xún)?nèi)等路由。

　�。�6） 服務(wù)質(zhì)量配置要求

　　與信任域進(jìn)行對(duì)接時(shí)， 如對(duì)方服務(wù)質(zhì)量 （QOS） 標(biāo)記規(guī)則與網(wǎng)內(nèi)不一致， 在對(duì)接處需要按照流量標(biāo)記對(duì)應(yīng)關(guān)系對(duì)每類(lèi)流量進(jìn)行標(biāo)記重置， 對(duì)非信任域的所有流量的標(biāo)記應(yīng)重置為0.

　�。�7） 時(shí)間同步和流量監(jiān)控

　　機(jī)房網(wǎng)絡(luò)設(shè)備必須采用網(wǎng)絡(luò)時(shí)間協(xié)議 （NTP） 方式實(shí)現(xiàn)時(shí)間同步。全網(wǎng)設(shè)備使用統(tǒng)一的時(shí)間服務(wù)器， 在服務(wù)器上通過(guò)訪問(wèn)控制列表對(duì)客戶端接入限制。要求機(jī)房?jī)?nèi)設(shè)備都啟用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 （SNMP） 來(lái)監(jiān)控端口流量， 應(yīng)只采用只讀模式， 同時(shí)要求設(shè)備只允許網(wǎng)管網(wǎng)絡(luò)的網(wǎng)段來(lái)讀取流量， 共同體字串建議采用強(qiáng)口令要求長(zhǎng)度8位以上， 包含特殊字符、大小寫(xiě)和數(shù)字。要求網(wǎng)管軟件能對(duì)端口流量設(shè)置基線， 當(dāng)端口流量嚴(yán)重超過(guò)基線時(shí)能發(fā)出告警。

　�。�8） 設(shè)備日志要求

　　設(shè)備必須配置日志功能， 其中必須包括設(shè)備訪問(wèn)、配置、狀態(tài)等安全相關(guān)事件的來(lái)源、時(shí)間、描述等信息內(nèi)容， 并對(duì)高風(fēng)險(xiǎn)的事件產(chǎn)生告警；將設(shè)備產(chǎn)生的日志信息發(fā)送至日志服務(wù)器；為了保障日志信息的安全性， 必須嚴(yán)格限制設(shè)備日志發(fā)送的目的設(shè)備。對(duì)于接入層設(shè)備， 要求日志服務(wù)器保存至少3個(gè)月的原始設(shè)備日志；對(duì)于匯聚層以上設(shè)備， 要求保存至少6個(gè)月原始設(shè)備日志。系統(tǒng)日志可通過(guò)接口將相關(guān)的日志信息送到安全管理平臺(tái)。

　　1.2 核心層設(shè)備特殊配置要求

　　核心層設(shè)備主要實(shí)現(xiàn)數(shù)據(jù)報(bào)文的高速轉(zhuǎn)發(fā)， 在安全方面的措施主要目的是為了保障設(shè)備正常穩(wěn)定的運(yùn)行， 除了一些通用性要求之外還要求核心層設(shè)備實(shí)施以下安全措施。

　　核心設(shè)備的重要部件、模塊實(shí)現(xiàn)冗余， 即主控單元1:1備份， 交換單元N:1備份， 電源風(fēng)扇冗余。核心層設(shè)備間建議使用全網(wǎng)狀連接模式。啟用Netflow功能實(shí)施流量分析和建立流量基線。配置主備日志服務(wù)器。與城域網(wǎng)互聯(lián)的出口路由器需要做路由聚合， 只向城域網(wǎng)發(fā)布城域聚合路由， 原則上掩碼在/25以?xún)?nèi) （如：/21、/20、/19等掩碼的路由） .

　　1.3 匯聚層設(shè)備特殊安全配置要求

　　匯聚層設(shè)備可實(shí)施較全面的安全策略， 建議除滿足基本安全配置要求外使用如下策略：

　�。�1） 端口過(guò)濾

　　禁止常見(jiàn)及危害程度較大的病毒、木馬常用端口， 主要如下：

　�。�2） 源路由監(jiān)測(cè)和流量分析

　　設(shè)備上啟用單播反向路由查找 （URPF） 功能， 防范假冒源地址攻擊；啟用Netflow功能， 實(shí)施流量分析。

　�。�3） ICMP控制

　　建議對(duì)ICMP流量進(jìn)行限制， 僅允許通過(guò)一些必須的ICMP報(bào)文， 包括ICMP-echo、ICMPecho-reply、ICMPpacket-too-big、ICMPsource-quench、ICMPtime-exceeded、ttl-exceeded、port-unreachable.建議對(duì)ICMP協(xié)議的echo、echo-reply流量限制為700K/S;建議對(duì)ICMP協(xié)議ttl-exceeded、port-unreachable和packet-too-big流量限制為500K/S;建議對(duì)Traceroute所用的UDP協(xié)議， 端口范圍從33434到33678流量限制為500K/S/路由器。

　　（4） 非法地址過(guò)濾

　　1.4 接入層設(shè)備特殊安全配置要求

　　接入層設(shè)備連接用戶網(wǎng)絡(luò)和運(yùn)營(yíng)商網(wǎng)絡(luò)， 是實(shí)現(xiàn)安全過(guò)濾的第一道防線， 建議在用戶接入層面除了配置上述通用策略外， 實(shí)施以下安全策略：

　　首先在接入設(shè)備側(cè)針對(duì)用戶接入端口實(shí)施限速策略， 其次在接入設(shè)備側(cè)針對(duì)用戶接入端口實(shí)施廣播包速率抑制， 最后在用戶接入端口啟用MAC數(shù)量限制策略。對(duì)于接入用戶應(yīng)盡可能實(shí)現(xiàn)PUPV, 減少用戶之間的干擾。對(duì)于接入用戶群中必須通過(guò)同一VLAN承載的業(yè)務(wù)， 盡量采用私有VLAN等端口隔離技術(shù)進(jìn)行用戶間隔離， 避免用戶之間的相互干擾。

　　2 網(wǎng)絡(luò)設(shè)計(jì)安全要求

　　對(duì)于網(wǎng)絡(luò)建設(shè)設(shè)計(jì)需要遵循一定的安全配置要求， 保障網(wǎng)絡(luò)的高可用性， 主要包括以下方面：地址統(tǒng)一規(guī)劃， 體現(xiàn)網(wǎng)絡(luò)層次性， 有利于路由的組織。要求路由設(shè)計(jì)具備較高的可用性和擴(kuò)展性。匯聚層及以上設(shè)備必須使用雙鏈路上聯(lián)， 實(shí)現(xiàn)鏈路備份和負(fù)載均衡。

　　設(shè)備選型優(yōu)先選擇支持NSF/SSO/ISSU功能的設(shè)備， 應(yīng)考慮部署防火墻、流量清洗等安全設(shè)備。當(dāng)安全設(shè)備性能不足以保護(hù)整個(gè)機(jī)房網(wǎng)絡(luò)時(shí)， 采用旁掛在核心設(shè)備側(cè)方式， 當(dāng)被攻擊時(shí)采用路由引流模式將攻擊流量導(dǎo)引到安全設(shè)備進(jìn)行處理。安全設(shè)備應(yīng)該具備防應(yīng)用層DDOS攻擊能力， 應(yīng)用層DDOS攻擊一般消耗很小的帶寬， 而特性更加隱秘， 比如不斷與服務(wù)器上的應(yīng)用建立連接， 從而耗盡應(yīng)用的表項(xiàng)空間等資源， 導(dǎo)致正常的用戶無(wú)法連接。針對(duì)大流量流量， 應(yīng)該考慮購(gòu)買(mǎi)運(yùn)營(yíng)商的防DDOS服務(wù)， 將攻擊流量進(jìn)入機(jī)房前導(dǎo)引到城域網(wǎng)防DDOS平臺(tái)進(jìn)行清洗。

　　3 結(jié)束語(yǔ)

　　本文在目前網(wǎng)絡(luò)安全理論基礎(chǔ)上， 提出一種對(duì)IDC機(jī)房網(wǎng)絡(luò)設(shè)備建立配置安全基線， 進(jìn)行網(wǎng)絡(luò)安全加固的方案。本方法已經(jīng)在中國(guó)電信上海分公司上海熱線機(jī)房、真西北機(jī)房、海量存儲(chǔ)機(jī)房、全華機(jī)房、市北機(jī)房采用。實(shí)際運(yùn)行結(jié)果表明， 采用本方法后機(jī)房網(wǎng)絡(luò)設(shè)備安全故障率和影響業(yè)務(wù)時(shí)間均有較大程度減少。同時(shí)， 本文的結(jié)果也適應(yīng)于在不同場(chǎng)景下的運(yùn)營(yíng)商網(wǎng)絡(luò)設(shè)備安全加固。

【IDC數(shù)據(jù)中心設(shè)備安全加固方法探析論文】相關(guān)文章：

淺談公路危橋的加固方法論文04-30

安全進(jìn)行化學(xué)實(shí)驗(yàn)教學(xué)方法探析論文05-02

中小橋梁加固措施探析04-26

工程軟弱地基塔吊綜合加固方法論文05-01

現(xiàn)代漢語(yǔ)造詞方法探析的論文04-27

幼兒安全教育探析論文05-02

淺談砌體結(jié)構(gòu)的加固方法04-28

橋梁加固的方法與方案選擇04-27

橋梁的抗震檢測(cè)與加固方法05-02

淺談頂進(jìn)橋施工中軌道的加固方法論文05-03