核心层安全端口安全
核心层安全,基本上没有多少内容。大部分安全功能都在接入层和汇聚层搞定了。
总结下来注意几点即可:
1. 关闭不需要的端口。
2. 端口描述要正确,下联/上联交换机名称+楼层+ 端口号码。
3. 不要 VLAN 1。再次重申对于 Cisco 用户来 说,VLAN1 就忘记吧。
4. 路由协议加上 MD5 验证。
Easy! 企业网络出口安全什么是企业网络出口,简单来说就是Internet出口或者WAN广域网出口。
一般情况,此任务都是交与出口防火墙来负责。正如开篇说的,若讨论企业网络安全,大家首先想到的是部署防火墙,以及防火墙的策略。
总的来说,对于防火墙的安全设计,有三点注意事 项如下:
• 防火墙策略,除非例如内网网段主机访问Internet等。其他的例如Internet访问DMZ服务器,内网主机访问DMZ服务器,最好细化到服务器级的应用级别,而不是一个网段到另外一个网段。
可能有的公司之前的设计不严谨,就做了几条防火墙安全策略,最后还是permit any any。 但要从permit any any迁移到deny all不是一条简 简单单的命令就搞定的事情。因为你需要知道到底哪些流量需要被放行,若放置了deny all会不会导致某些你不知道的业务流量被丢弃。
方法如下:
1.首先和涉及此策略的部门技术人员沟通都有哪些服务需要开启,例如找开发部问问都有哪些流量需要从内网访问DMZ。
2.根据沟通结果,配置相应的permit允许策略,这些策略一定要放置在permit any any之前。因为防火墙的安全策略一般情况下是有顺序要求的。
3.不急着删除 permit any any,反之,在permit any any后面配置log选项,此项绝大部分防火墙都有,用于记录匹配此策略的流量都有哪些。
4.根据以上的log信息,逐条确认匹配的流量,并和其他部门核对是否是正常业务流量。若是正常业务流量,回到第2步,添加策略。
5.完成以上步骤以后,理论上你的permit any any的log应该不会再有其他信息了。若有就证明这些流量是非法流量,可以安心拒绝。
6.完成核对以后,计划某一个凌晨割接时间,把 permit any any 换成 deny all,并做业务测试。
7.大功告成,但是记住一点:务必留存防火墙日志syslog。
一般情况防火墙日志记录了那些流量穿越了防火墙,什么时间穿越了防火墙。
作为安全设计的一部分,留存防火墙日志意义重大。
若出现安全风险或者存在例如木马病毒感染某个主机等,可以通过查阅防火墙历史日志记录得出此主机的通信目标IP地址,端口等。
此记录配合其他工具可以更有效的排查网络安全问题。亦可根据此信息在防火墙上配置新的访问策略 禁止主机与此端口或者此 IP 地址通信等。
至此,我们讨论了如何设计一个安全的企业网络。。。。
咦,细心的朋友们,貌似发现点问题,怎么感觉缺点什么?
对,没错,我们遗漏了一个重要的一环:网络管理安全策略设计网络管理安全设计
所谓的网络管理安全设计,说白了就是如何保证网管的安全。
因为一个设计良好的安全网管网络是绝对不应该把 业务流量和管理流量混到一起的。
即便是无奈之举,也至少在每一台设备上控制如 SSH,Telnet,SNMP 等网管流量来自于网管网络,而不是随便谁都可以。
接下来,我就概括一下如何设计一个正确的网管网络:
正确的网络登录账号:
• 使用基于域的用户名和密码
• 设置网络设备登录验证方式为 Radius 优先, local 次之。
公司一般都有Windows域控,每个人都有自己的域账号,通过连接域控到Radius服务器,并设置网络设备通过Radius验证,这样就可以把每个人平时登陆电脑和公司账户的用户名绑定到设备上。 登陆设备都需要使用域账户。
有什么用处,用处大大的!
最直接的就是责任到人,任何人做了什么操作,都通过syslog记录下来,然后传到syslog服务器。 若出现任何故障,就知道是谁做的操作。
同时也避免了常见的用户名,例如 admin,cisco, juniper,ITadmin 等常见账号。
大杀器:用 VRF-lite 把网管网彻底和业务网分开
有些企业网,设备的管理IP地址和其他业务IP地址都混在一起,在同一个路由表内。
这样导致的问题就像我上面所述,用户可以随随便便连接到设备管理IP,因为路由可达呀。
最直接,最有效,最安全的方法,就是给你的网管网络建立一个独立的VRF。
有朋友听了就郁闷了,我不太会MPLS,BGP也不熟悉,运营商的这个VRF臣妾hold 不住啊。
其实,这就是我在标题上写“VRF-lite”的原因, VRF-lite 就是简简单单在一台设备内建立多个路由实例,即多张路由表,而不需要任何MPLS和BGP参与。
例如:一个路由器有2个VRF:Red和Green。然后根据需要,把不同的 VLAN interface 分配到对应的VRF内部。
建立独立的网管网 VRF 好处是什么
1. 因为网管网和业务网处在了不同的路由表里面,不做策略的话,默认情况两者是完全不互通的。这就类似两台独立运行的路由器,毫无关联。
2. 网管网络的IP地址规划可以和业务网重复,因为处在不同的路由表,所有IP地址可以重叠。
3. 业务网和网管网可以运行不同的路由协议。
4. 业务网任何的操作均不会影响网管网。(有一个例外,两者共用的物理接口 down 掉,或者路由器重启等)
从接入层交换机,汇聚层,核心层交换机等,包括 分支机构网络。都必须保证此网管安全策略的一致性,才能达到最好的效果。
现总结要点如下:
业务层面的安全设计
1. 终端安全:每个终端应该有杀毒软件和基于域控制器的集中管理手段。
2. 接入层安全:端口描述要清晰,Port-security 来搞起。协议安全很重要,STP Guard, Storm-Control,DHCP-Snooping,Arp Inspection,IP source Guard都上阵。关闭下联终端接口的 CDP,或者LLDP协议。
3. 汇聚层、核心层安全:冗余网关 HSRP/VRRP 协议,路由协议均加上 MD5 认证,免遭非法 劫持。
4. 出口防火墙安全:安全策略要细致,请勿开启 巨大的网段到网段的安全策略(内网到 Internet 例外),所有安全策略最后一定是 deny all。防火墙日志一定要留存,而且最好是 有一定时限,例如一个月或者数月。
网络管理层面的安全设计
1. 登陆用户名实名制,采用域账户登录设备,实现公司登录账号的统一化,也提高了设备登录记录审计的标准
2. 隔离网络管理和业务网的最好方式是 VRF-lite,完全杜绝业务网和网管网的互联互通。 3. 从每一台设备入手,限制访问设备控制层面的 流量,只允许来自于网管中心的流量。
通过上述方式,相信大家可以在进行组网设计时,有一个明确的方向和规划,当然时代在发展,科技在进步,当IPV6和SDN技术来临之后,会有一些新的方式出现,但是设计思想是亘古不变的,希望可以对大家有所帮助。