亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

當(dāng)今社會(huì)，網(wǎng)絡(luò)已經(jīng)成為人們傳遞信息的重要工具，隨著網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛，安全問(wèn)題就變得日益突出。在網(wǎng)絡(luò)中占有重要地位的交換機(jī)，不可避免的成為黑客攻擊的重點(diǎn)對(duì)象。交換機(jī)的核心在于"交換"，因此交換機(jī)安全最重要的任務(wù)就是能夠正常轉(zhuǎn)發(fā)數(shù)據(jù)，并保證數(shù)據(jù)在傳輸過(guò)程中不被截獲或者篡改。而交換機(jī)的網(wǎng)絡(luò)安全主要包括以下三個(gè)方面：

保密性：交換機(jī)存儲(chǔ)、處理和傳輸?shù)男畔?，不?huì)被泄露到非授權(quán)的用戶、實(shí)體或過(guò)程。即信息只為授權(quán)用戶使用。

完整性：信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。即網(wǎng)絡(luò)信息在交換機(jī)存儲(chǔ)或傳輸過(guò)程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等行為破壞和丟失的特性。

可用性：在要求的外部資源得到保證的前提下，交換機(jī)在規(guī)定的條件下和規(guī)定的時(shí)刻或時(shí)間區(qū)間,處于可執(zhí)行規(guī)定功能狀態(tài)的能力。業(yè)務(wù)持續(xù)可用，滿足電信級(jí)服務(wù)質(zhì)量要求。

為了達(dá)到這個(gè)目的，S交換機(jī)的安全從以下三個(gè)平面進(jìn)行了規(guī)劃部署。

圖1 S交換機(jī)安全規(guī)劃部署圖

接入平面

接入平面的安全重點(diǎn)在于確保設(shè)備能夠被合法管理，具體指哪些用戶可以登錄設(shè)備，登錄到設(shè)備上

的用戶又可以進(jìn)行哪些操作。

如圖1所示，S交換機(jī)接入平面的安全主要通過(guò)管理員登錄和用戶接入來(lái)保證。

管理員登錄就是保證管理員安全的管理設(shè)備，交換機(jī)通過(guò)設(shè)置用戶名和密碼、ACL限制用戶登

錄，通過(guò)STelnet登錄方式保證管理員登錄過(guò)程安全，通過(guò)設(shè)置用戶的級(jí)別控制用戶操作權(quán)限。

用戶接入指的是通過(guò)對(duì)接入用戶進(jìn)行認(rèn)證、授權(quán)，保證只有合法安全的用戶才能通過(guò)交換機(jī)接

入網(wǎng)絡(luò)。

控制平面

控制平面主要采用CPU實(shí)現(xiàn)轉(zhuǎn)發(fā)的控制。CPU就像我們的大腦，指揮著設(shè)備各項(xiàng)機(jī)能的正常運(yùn)轉(zhuǎn)。

CPU的安全是設(shè)備和協(xié)議正常運(yùn)行的前提。我們都知道如果電腦打開(kāi)的程序太多，運(yùn)行過(guò)程中就會(huì)

出現(xiàn)卡頓，設(shè)備也是一樣的道理。如果上送CPU處理的協(xié)議報(bào)文過(guò)多，CPU就會(huì)很繁忙，設(shè)備性能就

會(huì)下降，業(yè)務(wù)就會(huì)中斷。因此，作為交換機(jī)的核心部件，CPU也就成為非法用戶攻擊的對(duì)象。

網(wǎng)絡(luò)攻擊可能會(huì)導(dǎo)致CPU高，但是CPU高并不一定是網(wǎng)絡(luò)攻擊引起的，還有可能是硬件故障、網(wǎng)絡(luò)震

蕩、網(wǎng)絡(luò)環(huán)路等原因，本專題僅介紹由網(wǎng)絡(luò)攻擊引起的CPU高，其他內(nèi)容請(qǐng)參見(jiàn)"華為S系列園區(qū)交

換機(jī)維護(hù)寶典"。

為了保證CPU的正常運(yùn)行，交換機(jī)使用默認(rèn)的CPCAR值對(duì)上送的協(xié)議報(bào)文進(jìn)行限速。

圖2 CPU防攻擊處理流程

如果經(jīng)過(guò)交換機(jī)默認(rèn)的CPCAR限速后，上送CPU的報(bào)文依然超過(guò)了CPU可以處理的范圍，CPU利用

率很高，還可以通過(guò)以下方式做進(jìn)一步的處理：

調(diào)整CPCAR值：縮小CPCAR值，減少上送CPU的協(xié)議報(bào)文的數(shù)量；

攻擊溯源：對(duì)上送CPU的報(bào)文進(jìn)行分析統(tǒng)計(jì)，設(shè)置檢查閾值，對(duì)于超過(guò)檢查閾值的報(bào)文執(zhí)行相

應(yīng)的懲罰措施，如丟棄報(bào)文、Shutdown接口、設(shè)置黑名單等。

轉(zhuǎn)發(fā)平面

轉(zhuǎn)發(fā)平面的作用就是通過(guò)查詢轉(zhuǎn)發(fā)表項(xiàng)指導(dǎo)數(shù)據(jù)流量正確轉(zhuǎn)發(fā)，因此針對(duì)轉(zhuǎn)發(fā)平面的攻擊無(wú)外乎兩

種：

1) 耗盡轉(zhuǎn)發(fā)表資源，導(dǎo)致合法用戶的轉(zhuǎn)發(fā)表無(wú)法被學(xué)習(xí)，合法用戶的流量無(wú)法被轉(zhuǎn)發(fā)

2) 篡改轉(zhuǎn)發(fā)表，導(dǎo)致合法用戶的流量轉(zhuǎn)發(fā)至錯(cuò)誤的地方。

那么交換機(jī)又是怎么預(yù)防這些攻擊的呢？下面基于交換機(jī)網(wǎng)絡(luò)部署位置，分別講下二層網(wǎng)絡(luò)的防攻

擊方法和三層網(wǎng)絡(luò)的防攻擊方法。

二層網(wǎng)絡(luò)

二層網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)的核心是mac表，所有數(shù)據(jù)流量的轉(zhuǎn)發(fā)都需要查找MAC表，因此MAC表也就

成為非法用戶攻擊二層網(wǎng)絡(luò)的主要目標(biāo)。非法用戶通過(guò)發(fā)送大量的報(bào)文，迅速耗盡MAC表資源，

使報(bào)文因查找不到MAC表項(xiàng)進(jìn)行廣播，從而占用帶寬資源，產(chǎn)生廣播風(fēng)暴。交換機(jī)支持通過(guò)MAC

學(xué)習(xí)控制、DHCP Snooping和風(fēng)暴抑制等方式來(lái)保護(hù)MAC表的安全。

三層網(wǎng)絡(luò)

三層網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)依賴ARP表和路由表。路由表是通過(guò)協(xié)議協(xié)商生成的，因此非法用戶很難對(duì)

此進(jìn)行攻擊。ARP表是通過(guò)協(xié)議報(bào)文生成的，非法用戶可以發(fā)送大量的協(xié)議報(bào)文或者偽造協(xié)議

報(bào)文使ARP表項(xiàng)出現(xiàn)異常。因此ARP表是交換機(jī)在三層網(wǎng)絡(luò)中保護(hù)的主要對(duì)象。交換機(jī)支持通過(guò)

ARP安全、DAI/EAI、IPSG防止此類攻擊。