数据中心解决方案安全技术白皮书.docx

1、数据中心解决方案安全技术白皮书数据中心解决方案安全技术白皮书数据中心解决方案安全技术白皮书1 前言数据集中是管理集约化、精细化的必然要求，是企业优化业务流程、管理流程的的必要手段。目前，数据集中已经成为国内电子政务、企业信息化建设的发展趋势。数据中心的建设已成为数据大集中趋势下的必然要求。做为网络中数据交换最频繁、资源最密集的地方，数据中心无疑是个充满着巨大的诱惑的数字城堡，任何防护上的疏漏必将会导致不可估量的损失，因此构筑一道安全地防御体系将是这座数字城堡首先面对的问题。2 数据中心面对的安全挑战随着Internet应用日益深化，数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转

2、型，受其影响，基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素，一些未实施正确安全策略的数据中心，黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害，而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备，但对于日趋成熟和危险的各类攻击手段，这些传统的防御措施仍然显现的力不从心。以下是当前数据中心面对的一些主要安全挑战。2.1 面向应用层的攻击常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等，最典型的应用攻击莫过于“蠕虫”。蠕虫是指通过计算机网络进行自我复制的恶意程

3、序，泛滥时可以导致网络阻塞和瘫痪。从本质上讲，蠕虫和病毒的最大的区别在于蠕虫是通过网络进行主动传播的，而病毒需要人的手工干预（如各种外部存储介质的读写）。蠕虫有多种形式，包括系统漏洞型蠕虫、群发邮件型蠕虫、共享型蠕虫、寄生型蠕虫和混和型蠕虫。其中最常见，变种最多的蠕虫是群发邮件型蠕虫，它是通过EMAIL进行传播的，著名的例子包括求职信、网络天空NetSky、雏鹰 BBeagle等，2005年11月爆发的Sober蠕虫，是一个非常典型的群发邮件型蠕虫。而传播最快，范围最广、危害最大是系统漏洞型蠕虫，例如利用TCP 445端口进行传播的windows PnP服务漏洞到2006年第一季度还在肆虐它的

4、余威。图1 应用协议攻击穿透防火墙应用攻击的共同特点是利用了软件系统在设计上的缺陷，并且他们的传播都基于现有的业务端口，因此应用攻击可以毫不费力的躲过那些传统的或者具有少许深度检测功能的防火墙。国际计算机安全协会 ICSA 实验室调查的结果显示，2005年病毒攻击范围提高了39%，重度被感染者提高了18%，造成的经济损失提高了31%，尤为引人注意的是，跨防火墙的应用层(ISO 7层)攻击提高了278%，即使在2004年，这一数字也高达249%。摆在我们面前的大量证据表明，针对系统缺陷的应用攻击已成为数据中心面临的主要威胁。造成应用攻击的根本原因在于软件开发人员编写程序时没有充分考虑异常情况的处

5、理过程，当系统处理处理某些特定输入时引起内存溢出或流程异常，因此形成了系统漏洞。黑客利用系统漏洞可以获得对系统非授权资源的访问。来自CERT（计算机紧急事件相应组）报告指出，从1995年开到2004年已有超过12，000个漏洞被报告，而且自1999年以来，每年的数量都翻翻，增长如此迅猛，如下图所示：图2 19952005 CERT/CC统计发现的漏洞如此多的漏洞，对数据中心意味着什么？系统安全小组必须及时采取行动获得补丁程序、测试、最后将其部署在服务器上，为什么不直接给服务器打补丁呢？因为不能保证补丁对应用系统没有影响，为了以防万一，必须对补丁程序进行测试和验证，然后才允许将其投入生产系统。从

6、补丁程序获得、测试和验证，再到最终的部署，完成这一系列任务需要多长时间？答案是，可能需要几个小时到几天，而在此期间攻击可能已经发生，损失已无法挽回。这也就是所谓的“零时差攻击”。如下表所示，从系统漏洞被发现到产生针对性应用攻击的时间已从以年计算降至以天，以小时计算。表1 系统漏洞与应用攻击爆发速度关系:应用攻击系统漏洞与应用攻击爆发周期MS05-03924 小时Witty48小时 （2天）Blast1个月 （26天）Slammer6个月 （185天）Nimida11个月 （336天）试想一下，这是一个何等恐怖的情况，数据中心庞大的服务器群还未来得及做出任何反应即遭到黑客发动的“闪击战”，大量敏

7、感数据被盗用、网络险入瘫痪 |。因此，数据中心面临的另一个严峻问题是如何应对由应用攻击造成的“零时差”效应。2.2 面向网络层的攻击除了由于系统漏洞造成的应用攻击外，数据中心还要面对拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）的挑战。DOS/DDOS是一种传统的网络攻击方式，然而其破坏力却十分强劲。据2004 美国CSI/FBI的计算机犯罪和安全调研分析，DOS和DDOS攻击已成为对企业损害最大的犯罪行为，超出其他各种犯罪类型两倍。常见的DDOS攻击方法有SYN Flood、Established Connection Flood和Connection Per Second Floo

8、d。已发现的DOS攻击程序有ICMP Smurf、UDP 反弹，而典型的DDOS攻击程序有Zombie、TFN2K、Trinoo 和 Stacheldraht等。DOS/DDoS攻击大行其道的原因主要是利用了TCP/IP的开放性原则，从任意源地址向任意目标地址都可以发送数据包。DOS/DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源，从而使合法用户无法得到服务的响应。早期的DOS攻击由单机发起，在攻击目标的CPU速度不高、内存有限、网络带宽窄的情况下效果是明显的。随着网络和系统性能的大幅提高，CPU的主频已达数G，服务器的内存通常在2G以上，此外网络的吞吐能力已达万兆，单机发起的DoS

9、攻击好比孤狼斗猛虎，没有什么威胁。狼的习性是群居，一只固然势单力薄，但如果群起而攻之，恐怕猛虎也难抵挡，这就是分布式拒绝服务攻击的原理。用一台攻击机来攻击不再起作用的话，攻击者使用10台攻击机、100台呢共同发起攻击呢？DDoS就是利用大量的傀儡机来发起攻击，积少成多超过网络和系统的能力的极限，最终击溃高性能的网络和系统。数据中心绝不允许DOS/DDOS垃圾报文肆虐于网络之中，因此如何实施边界安全策略，如何“拒敌于国门之外”将是数据中心面临的又一个挑战。2.3 对网络基础设施的攻击数据中心象一座拥有巨大财富的城堡，然而坚固的堡垒最容易从内部被攻破，来自数据中心内部的攻击也更具破坏性。隐藏在企业

10、内部的黑客不仅可以通过应用攻击技术绕过防火墙，对数据中心的网络造成损害，还可以凭借其网络构架的充分了解，通过违规访问、嗅探网络系统、攻击路由器/交换机设备等手段，访问非授权资源，这些行将对企业造成更大的损失。“木桶的装水量取决于最短的木板”，涉及内网安全防护的部件产品非常多，从接入层设备到汇聚层设备再到核心层设备，从服务器到交换机到路由器、防火墙，几乎每台网络设备都将参与到系统安全的建设中，任何部署点安全策略的疏漏都将成为整个安全体系的短木板。“木桶的装水量还取决于木板间的紧密程度”，一个网络的安全不仅依赖于单个部件产品的安全特性，也依赖于各安全部件之间的紧密协作。一个融合不同工作模式的安全部

11、件产品的无缝安全体系必须可以进行全面、集中的安全监管与维护。因此，数据中心的安全防护体系不能仅依靠单独的某个安全产品，还要依托整个网络中各部件的安全特性。3 技术特色在这种咄咄逼人的安全形势下，数据中心需要一个全方位一体化的安全部署方式。H3C数据中心安全解决方案秉承了H3C一贯倡导的“安全渗透理念”，将安全部署渗透到整个数据中心的设计、部署、运维中，为数据中心搭建起一个立体的、无缝的安全平台，真正做到了使安全贯穿数据链路层到网络应用层的目标，使安全保护无处不在。H3C数据中心安全解决方案的技术特色可用十二个字概括：三重保护、多层防御；分区规划，分层部署。3.1 三重保护，多层防御图3 数据中

12、心三重安全保护以数据中心服务器资源为核心向外延伸有三重保护功能。依拖具有丰富安全特性的交换机构成数据中心网络的第一重保护；以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的IPS提供对网络报文深度检测，构成对数据中心网络的第二重保护；第三重保护是凭借高性能硬件防火墙构成的数据中心网络边界。用一个形象的比喻来说明数据的三重保护。数据中心就像一个欣欣向荣的国家，来往的商客就像访问数据中心的报文；防火墙是驻守在国境线上的军队，一方面担负着守卫国土防御外族攻击（DDOS）的重任，另一方面负责检查来往商客的身份（访问控制）；IPS是国家的警察，随时准备捉拿虽然拥有合法身份，但仍在从事违法乱纪活

13、动的商客（蠕虫病毒），以保卫社会秩序；具有各种安全特性的交换机就像商铺雇佣的保安，提供最基本的安全监管，时刻提防由内部人员造成的破坏（STP 攻击）。图4 数据中心多层安全防御三重保护的同时为数据中心网络提供了从链路层到应用层的多层防御体系，如图。交换机提供的安全特性构成安全数据中心的网络基础，提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上，通过状态防火墙可以把安全信任网络和非安全网络进行隔离，并提供对DDOS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量

14、中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络应用层的保护。3.2 分区规划，分层部署在网络中存在不同价值和易受攻击程度不同的设备，按照这些设备的情况制定不同的安全策略和信任模型，将网络划分为不同区域，这就是所谓的分区思想。数据中心网络根据不同的信任级别可以划分为：远程接入区、园区网、Internet服务器区、Extranet服务器区、Intranet服务器区、管理区、核心区，如图。图5 数据中心分区规划思想所谓多层思想（n-Tier）不仅体现在传统的网络三层部署（接入汇聚核心）上，更应该关注数据中心服务器区（Server Farm）的设计部署上。服务器资

15、源是数据中心的核心，多层架构把应用服务器分解成可管理的、安全的层次。“多层”指数据中心可以有任意数据的层次，但通常是3层。按照功能分层打破了将所有功能都驻留在单一服务器时带来的安全隐患，增强了扩展性和高可用性。如图，第一层，Web服务器层，直接与接入设备相连，提供面向客户的应用；第二层，即应用层，用来粘合面向用户的应用程序、后端的数据库服务器或存储服务器；第三层，即数据库层，包含了所有的数据库、存储和被不同应用程序共享的原始数据。图6 数据中心分层部署思想4 关键技术说明本节将按照“三重保护、多层防御”的思想，详细说明每种安全技术的应用模式。本节的最后还将介绍另一个不容忽视的问题“数据中心网络

16、管理安全技术”。4.1 数据中心网络架构安全技术网络基础架构的安全特性是数据中心中各部件产品基本安全特性的通称。架构安全特性涉及服务器、接入交换机、负载均衡器、汇聚交换机、核心交换机等设备，部署点多、覆盖面大，是构成整个安全数据中心的基石。H3C凭借基于COMWARE的具有丰富安全特性全系列智能交换机为数据中心打造坚实的基础构架。COMWARE是由H3C推出的支持多种网络设备的网络操作系统，它以强大的IP转发引擎为核心，通过完善的体系结构设计，把实时操作系统和网络管理、网络应用、网络安全等技术完美的结合在一起。作为一个不断发展、可持续升级的平台，它具有开放的接口，可灵活支持大量的网络协议和安全

17、特性。COMWARE可应用在分布式或集中式的网络设备构架之上，也就是说，不仅可以运行在高端的交换机/路由器上，而且也可以运行在中低端的交换机/路由器上，不向其它厂商，不同的软件运行在不同的设备上。COMWARE的这一特性可使网络中各节点设备得到同一的安全特性，彻底避免了由于部件产品安全特性不一致、不统一造成的安全“短木板效应”。图7 数据中心基础架构安全相关架构4.2 基于VLAN的端口隔离交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的服务器之间完全没有互访要求时，可以设置各自连接的端口为隔离端口，如图。这样可以更好的保

18、证相同安全区域内的服务器之间的安全： 即使非法用户利用后门控制了其中一台服务器，但也无法利用该服务器作为跳板攻击该安全区域内的其他服务器。 可以有效的隔离蠕虫病毒的传播，减小受感染服务器可能造成的危害。比如：如果Web服务器遭到了Code-Red红色代码的破坏，即使其它Web服务器也在这个网段中，也不会被感染。图8 交换机Isolated Vlan 技术4.3 STP Root/BPDU Guard基于Root/BPDU Guard方式的二层连接保护保证STP/RSTP稳定,防止攻击,保障可靠的二层连接。如图。图9 交换机Root Guard/BPDU Guard 技术4.3.1 BPDU G

19、uard对于接入层设备，接入端口一般直接与用户终端（如PC机）或文件服务器相连，此时接入端口被设置为边缘端口以实现这些端口的快速迁移；当这些端口接受到配置消息（BPDU报文）时系统会自动将这些端口设置为非边缘端口，重新计算生成树，引起网络拓扑的震荡。这些端口正常情况下应该不会收到生成树协议的配置消息的。如果有人伪造配置消息恶意攻击交换机，就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上启动了BPDU保护功能以后，如果边缘端口收到了配置消息，系统就将这些端口shutdown，同时通知网管。被shutdown的端口只能由网络管理人员恢复。推荐用户在配置了边缘端口的交换机上配置BPD

20、U保护功能。4.3.2 ROOT Guard由于维护人员的错误配置或网络中的恶意攻击，网络中的合法根交换机有可能会收到优先级更高的配置消息，这样当前根交换机会失去根交换机的地位，引起网络拓扑结构的错误变动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞。Root保护功能可以防止这种情况的发生。对于设置了Root保护功能的端口，端口角色只能保持为指定端口。一旦这种端口上收到了优先级高的配置消息，即其将被选择为非指定端口时，这些端口的状态将被设置为侦听状态，不再转发报文（相当于将此端口相连的链路断开）。当在足够长的时间内没有收到更优的配置消息时，端口会恢复原来的

21、正常状态。4.3.3 LOOP PROTECTION交换机的根端口和其他阻塞端口的状态依靠不断接收上游交换机发送的BPDU来维持的。但是由于链路拥塞或者单向链路故障，这些端口会收不到上游交换机的BPDU。此时交换机会重新选择根端口，根端口会转变为指定端口，而阻塞端口会迁移到转发状态，从而交换网络中会产生环路。环路保护功能会抑制这种环路的产生。在启动了环路保护功能后，根端口的角色如果发生变化就会设置它为Discarding状态，阻塞端口会一直保持在Discarding状态，不转发报文，从而不会在网络中形成环路。4.3.4 TC PROTECTION根据IEEE 802.1w和IEEE 802.1

22、s协议，交换机监测到拓扑变化或者接收到TC报文后会清空MAC表。如果受到TC攻击(连续不断收到TC报文)交换机就会一直进行MAC删除操作，影响正常的转发业务。使能TC PROTECTION功能后，将减少删除MAC的次数，保证业务的正常运行。4.3.5 端口安全端口安全（Port Security）的主要功能就是通过定义各种安全模式，让设备学习到合法的源MAC地址，以达到相应的网络管理效果。对于不能通过安全模式学习到源MAC地址的报文或802.1x认证失败的0当发现非法报文后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。端口安

23、全的特性包括：NTK：NTK（Need To Know）特性通过检测从端口发出的数据帧的目的MAC地址，保证数据帧只能被发送到已经通过认证的设备上，从而防止非法设备窃听网络数据。Intrusion Protection：该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码，发现非法报文或非法事件，并采取相应的动作，包括暂时断开端口连接、永久断开端口连接或是过滤此MAC地址的报文，保证了端口的安全性。Device Tracking：该特性是指当端口有特定的数据包（由非法入侵，用户不正常上下线等原因引起）传送时，设备将会发送Trap信息，便于网络管理员对这些特殊的行为进行

24、监控。表2 端口的安全模式：安全模式类型描述特性说明secure禁止端口学习MAC地址，只有源MAC为端口上已经配置的静态MAC的报文，才能通过该端口在左侧列出的模式下，当设备发现非法报文后，将触发NTK特性和Intrusion Protection特性userlogin对接入用户采用基于端口的802.1x认证此模式下NTK特性和Intrusion Protection特性不会被触发userlogin-secure接入用户必须先通过802.1x认证，认证成功后端口开启，但也只允许认证成功的用户报文通过；此模式下，端口最多只允许接入一个经过802.1x认证的用户；当端口从正常模式进入此安全模式时

25、，端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除在左侧列出的模式下，当设备发现非法报文后，将触发Need To Know特性和Intrusion Protection特性userlogin-withoui与userlogin-secure类似，端口最多只允许一个802.1x认证用户，但同时，端口还允许一个oui地址的报文通过；当用户从端口的正常模式进入此模式时，端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除mac-authentication基于MAC地址对接入用户进行认证userlogin-secure-or-mac表示mac-authenticati

26、on和userlogin-secure模式下的认证可以同时进行，如果都认证通过的话，userlogin-secure的优先级高于mac-authentication模式userlogin-secure-else-mac表示先进行mac-authentication认证，如果成功则表明认证通过，如果失败则再进行userlogin-secure认证userlogin-secure-ext与userlogin-secure类似，但端口下的802.1x认证用户可以有多个userlogin-secure-or-mac-ext与userlogin-secure-or-mac类似，但端口下的802.1x认证

27、用户可以有多个userlogin-secure-else-mac-ext与mac-else-userlogin-secure类似，但端口下的802.1x认证用户可以有多个4.3.6 防IP伪装病毒和非法用户很多情况会伪装IP来实现攻击。伪装IP有三个用处： 本身就是攻击的直接功能体。比如smurf攻击。 麻痹网络中的安全设施。比如绕过利用源IP做的接入控制。 隐藏攻击源设备防止IP伪装的关键在于如何判定设备接收到的报文的源IP是经过伪装的。这种判定的方式有三种。分别在内网和内外网的边界使用。 在internet出口处过滤RFC3330和RFC1918所描述的不可能在内外网之间互访的IP地址。由

28、于现今internet上的大多数攻击者都不具备很高的网络技术水平，其攻击手段仅仅是比较机械利用现有的攻击工具。同时一些攻击工具虽然做到了使用方便，但其攻击方法设计也相对简单，没有办法根据网络实际状况进行调整。因此，网络中大多数的攻击方式是带有盲目性的。局域网在其internet出入口处过滤掉不可能出现的IP地址，可以缓解非法用户简单的随机伪装IP所带来的危害。 利用IP和MAC的绑定关系 网关防御利用DHCP relay特性，网关可以形成本网段下主机的IP、MAC映射表。当网关收到一个ARP报文时，会先在映射表中查找是否匹配现有的映射关系。如果找到则正常学习，否则不学习该ARP。这样伪装IP的

29、设备没有办法进行正常的跨网段通信。 接入设备防御利用DHCP SNOOPING特性，接入设备通过监控其端口接收到的DHCP request、ACK、release报文，也可以形成一张端口下IP、MAC的映射表。设备可以根据IP、MAC、端口的对应关系，下发ACL规则限制从该端口通过的报文源IP必须为其从DHCP 服务器获取的IP地址。 UPRFUPRF会检测接收到的报文中的源地址是否和其接收报文的接口相匹配。其实现机制如下：设备接收到报文后，UPRF会比较该报文的源地址在路由表中对应的出接口是否和接收该报文的接口一致。如果两者不一致，则将报文丢弃。4.3.7 路由协议认证攻击者也可以向网络中的

30、设备发送错误的路由更新报文，使路由表中出现错误的路由，从而引导用户的流量流向攻击者的设备。为了防止这种攻击最有效的方法就是使用局域网常用路由协议时，必须启用路由协议的认证。 OSPF协议，支持邻居路由器之间的明文/MD5认证和OSPF区域内的明文/MD5认证； RIPv2协议，支持邻居路由器之间的明文/MD5认证另外，在不应该出现路由信息的端口过滤掉所有路由报文也是解决方法之一。但这种方法会消耗掉许多ACL资源。4.4 数据中心网络边界安全技术边界安全的一项主要功能是实现网络隔离，通过防火墙可以把安全信任网络和非安全网络进行隔离。H3C SecPath系列防火墙以其高效可靠的防攻击手段，和灵活

31、多变的安全区域配置策略担负起是守护数据中心边界安全的的重任。4.4.1 状态防火墙实现网络隔离的基本技术是IP包过滤，ACL是一种简单可靠的技术，应用在路由器或交换机上可实现最基本的IP包过滤，但单纯的ACL包过滤缺乏一定的灵活性。对于类似于应用FTP协议进行通信的多通道协议来说，配置ACL则是困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道，对于一般的ACL来说，配置安全策略时无法预知数据通道的端口号，因此无法确定数据通道的入口。状态防火墙设备将状态检测技术应用在ACL技术上，通过对连接状态的状态的检测，动态的发现应该打开的端口，保证在通信的过程中动态的决定哪些数据包可以通过防火墙。状态防火墙还采用基于流的状态检测技术可以提供更高的转发性能，因为基于ACL的包过滤技术是逐包检测的，这样当规则非常多的时候包过滤防火墙的性能会变得比较低下，而基于流的状态防火墙可以根据流的信息决定数据包是否可以通过防火墙，这样就可以利用流的状态信息决定对数据包的处理结果加快了转发性能。4.4.2 防火墙安全区域管理边界安全的一项主要功能是网络隔离，并且这种网络隔离