华为NE40E安全防御体系结构

NE40E的安全防御体系结构如下图所示：

在路由器中，安全防御体系主要包括如下几种类型：

转发引擎安全防御机制

路由器转发引擎，由于处理性能高，如果能够在转发面实现安全检测，把非法的报文识别出来并合理的处理，对网络安全来说是最好的方案。

但是转发引擎一般都是硬件实现，基于ASIC或者NP，灵活性不如纯软件。因此，转发引擎只能检测具有固定特征、无需复杂的计算和处理的非法报文，安全处理机制要求较为简单且流程相对固定。

例如：

畸形报文检测，把明显违反协议规则的报文检测出来并丢弃；

广播风暴抑制，检测到广播风暴之后，直接在转发面把风暴来源利用动态ACL等方法，丢弃或者限速广播报文；

URPF直接在这方面查找端口和源地址匹配信息，不匹配直接丢弃；

分片报文泛洪时，由转发面直接进行分片报文限速；

对简单的ARP、ICMP、PPP Keep Alive等报文，直接由转发面应答客户端的请求，避免上送控制面。

采用转发引擎来实施安全策略，由于性能高，因此对流量泛洪攻击类的安全事件，能够非常好的应对，避免转发面把报文发给CPU处理，由于CPU的处理能力局限导致CPU过载，影响路由器可靠性。

转发面与控制面上送管道安全防御机制

转发面相对于控制面来说，其处理能力可以认为是无限的。因此，转发面能够轻易的上送海量的报文，把控制面直接冲击过载。

为了防止转发面上送过多的报文给控制面，需要对上送管道进行限速；同时为了不影响正常的业务运行，也需要对高优先级的和通过安全检测的正常业务放行。综合了安全性和可用性，路由器使用了如下几种机制，来综合保障在路由器可靠运行的前提下，尽可能提供高性能的业务处理能力：

• 协议CPCAR：针对每一种协议（或者协议的某种典型的消息，如ARP Request和ARP Reply分开设置CPCAR），设置一个上送控制面的带宽限制；

• 动态/静态黑名单：当动态检测到存在攻击事件，或者静态配置拒绝访问的策略，黑名单策略拒绝所有报文上送，防止被非法攻击；

• 动态/静态白名单：当控制面的通信会话已经通过安全检查证明是可靠的，或者静态配置某些访问对象是可信的，通过白名单保证它们的报文不受限速控制；

综合以上措施，能够保证转发面上送控制面的报文不会把CPU冲击过载，同时也保证CPU尽最大能力为业务服务不会造成资源浪费。

应用层业务内嵌的安全检测与防御机制

转发面由于无法感知每一种协议内部的机制，因此复杂的、深层次的安全攻击无法被转发面检测并控制。

转发面与控制面间的管道控制机制只能保证CPU不会被攻击过载，并不感知上送的报文是否存在安全隐患。

因此，需要在应用层模块内部，内嵌的安全检测引擎：每一个协议栈模块，都需要能够动态检查报文和会话的合法性，需要把非法的报文或者会话及时丢弃，以防造成协议栈的安全危害。

转载自官方产品文档

本文转自Grodd51CTO博客，原文链接：http://blog.51cto.com/juispan/1955824，如需转载请自行联系原作者