前言
摘要
NFPP (Network Foundation Protection Policy基础网络保护策略)是用来增强交换机安全的一种 保护体系,通过对攻击源头采取隔离措施,可以使交换机的处理器和信道带宽资源得到保护, 从而保证报文的正常转发以及协议状态的正常。文章阐述了NFPP的开发背景和基本技术原立军
理,以及锐捷网络在该项技术中的应用特点和配置实例。
关键词
NFPP、攻击、保护、隔离
缩略语清单
缩略语英文全名中文解释
NFPP Network Foundation Protection Policy 基础网络保护策略
URPF Unchaste Reverse Path Forwarding 单播路径转发
QOS Quality of Service 服务质量
CPP Control Plane Policy 控制平台策略
ACL Access Control List 访问控制列表
目录
1 前言 (1)
2 NFPP技术框架 (2)
2.1 交换机体系结构 (2)
2.2 NFPP技术 (2)
重庆pm2.5
2.2.1 攻击检测的技术 (3)
2.2.2 实施保护的技术 (3)
2.2.3 检测、保护的过程 (4)滑线变阻器
3 NFPP工作原理 (5)
3.1 NFPP保护策略 (5)
3.1.1 分类 (5)
3.1.2 入队 (5)
3.1.3 策略 (6)
3.2 NFPP的工作流程 (7)
4 锐捷NFPP技术特点 (9)
5 NFPP应用 (10)
5.1 设置策略 (10)
5.2 识别攻击 (11)
5.3 隔离用户 (11)
5.4 实例解析 (11)
6 结束语 (13)
1 前言
由于计算机网络体系结构的复杂性及其开放性等特征,使得网络设备及数据的安全成为影响网络正常运行的重要问题。分析当前网络设备受到的攻击主要表现如下:
l拒绝服务攻击可能导致到大量消耗内存等资源,使用系统无法继续服务。
l大量的报文流送向CPU,占用了整个送CPU的报文通路的带宽,导致正常的控制流和管理流无法达到CPU,从而带来协议振荡无法管理,进而影响到数据面的转发。如果是核心设备将导致整个网络无法正常运行。由于大量的报文导致控制的处理消耗了大量的CPU资源,从而影响用户通过CLI对设备进行管理。 l在发现有攻击现象时,即使能采取一些简单的安全防护措施(如广播风暴控制)减缓设备压力,但无法及时定位发现攻击源,然后由整网设备协作制定安全策略,防止异常攻击数据影响到全网,无法从根本上杜绝网络中存在的安全问题。
目前业界已开发了一些用于防攻击的功能模块(比如:ACL、QOS、URPF、SysGuard 、CPP 等等),通过这些功能模块自行建立攻击检测和保护的机制,并提供对外的管理接口。但实现得不够系统,基本是针对一个问题解决一个问题,在体系上没有统一的框架。从现有的数据帧实现的流程来看,缺乏从流的主干上考虑实施防攻击保护。为了在这个日益重视安全性的环境中应对日益复杂的攻击,锐捷网络致力开发出一套完整的网络基础保护体系,称之为基础网络保护策略(Network Foundation Protection Policy),简称NFPP。NFPP技术能够对设备本身实施保护,通过对报文流进行限制、隔离,以保证设备及网络可靠、安全、有效地运行。
2 NFPP技术框架2.1 交换机体系结构
交通参与者交换机的功能在逻辑上可以划分为三个层面:数据面、管理面、控制面。
l数据面(Data Plane):负责处理和转发不同端口上各种类型的数据,对交换机的性能表现起决定作用,如IP报文。未来的文具盒
l控制面(Control Plane):控制面负责控制和管理所有网络协议的运行,它通过网络协议提供给交换机对整个网络环境中网络设备、连接链路和交互状态的准确了解,并在网络状
况发生改变时做出及时的调整以维护网络的正常运行。
l管理面(Management Plane):管理面是提供给网络管理人员,使其能够以TELNET、WEB、SSH、SNMP、RMON等方式来管理设备,并支持、理解和执行管理人员对于网络设备
各种网络协议的设置操作。
针对交换机设备而言,数据的路由和交换过程主要由硬件来完成,而CPU主要对控制流、管
理流和部分交换芯片无法处理的数据流进行处理,并同时提供交互界面供用户进行本地管理
配置。
2.2 NFPP技术
大量的报文流送向CPU,占用了整个送CPU的报文通路的带宽,导致正常的控制流和管理流
无法达到CPU,从而带来协议振荡无法管理,进而影响到数据面的转发,如果是核心设备将
导致整个网络无法正常运行。
NFPP接受报文的端口或者发送到CPU通过对送往CPU的报文进行攻击检测,的场景进行安
全检测,采取相应保护措施,从而达到对管理面、数据面和控制面的保护作用。
NFPP整体框架(见下图):
图2-1
NFPP整个框架可以分为软件平台和硬件平台两大部分,软件平台主要复杂报文流的分类和策
略的实施,NFPP工作原理对此由详细讲述。硬件平台主要对非法用户进行硬件隔离,以达到
保护cpu资源的目的。这也符合NFPP“早发现,早隔离”的原则。同时结合IPFIX(IP information
Flow eXport)流量监控技术基于端口进行流量监测,帮助网络管理者快速锁定异常不安全的
数据源,在网络管理平台全网下发NFPP安全策略,及早的隔离非法数据源。
2.2.1 攻击检测的技术
对攻击的检测技术主要是通过将具体报文流的数量、内容以及来源根据预设定的条件进行判
断,或者根据设备本身进行智能判断。同时可结合锐捷网络的IPFIX(IP information Flow
eXport)流量监控技术,基于端口发现网络中存在的异常数据流,并上报事件到全网统一的安
全管理平台,网络管理者锁定异常目标后并通过安全管理平台下发NFPP安全策略,隔绝异常不确定度
数据源,从而达到全网安全防护的效果。
2.2.2 实施保护的技术
NFPP针对检测到的攻击流主要采取主动保护和被动保护措施:
l主动保护的技术主要是对操作对象制定某些操作行为约束,按照该约束就尽可能的避免
