前言

  其中一个关键要素到建立一个成功的网络安全设计是识别和强制执行 一个适当信任模式。适当信任模式定义了谁需要谈与谁并且 什么样的数据流需要被交换; 应该否决其他数据流。一旦适当信任模式被识别,然后安全设计员应该决定如何强制执行 型号。 因为重要资源是全局可用的并且网络攻击的新的表演 变,网络安全基础设施倾向于变得更加复杂,并且更多产品是可用 的。 防火墙、路由器、LAN交换机、入侵检测系统、AAA服务 器和VPN是可帮助强制执行型号的某些技术和产品。当然,每 一个这些产品和技术在整体安全实施之内扮演一个特定的角色,并 且了解设计员是重要的这些元素如何可以配置。

  使用的组件

  本文不限于特定软件和硬件版本。

  背景信息

  识别和强制执行一个适当信任模式似乎是一项非常基 本任务,但在几年支持的安全实施之后,我们的经验表明安全事件 经常与恶劣的安全设计有关。通常这些设计差是不强制执行 一个适当信任模式的一个直接后果,有时因为什么是公正必要的没 有了解,其他次正因为充分地没有了解也没有误用介入的技术。

  本文详细解释如何二个功能可用在我 们的Catalyst交换机,专用VLAN (PVLANs)并且VLAN 访问控制表 (VACLs),在两可帮助保证适当信任模型企业并且服务提供商环境。

  强制执行适 当信任模式的重要性

  不强制执行适当信任模型的一个立即后果是整体安全实施变得较不 对免疫有恶意的活动。非敏感区域(DMZs)普通是被实施没有 强制执行正确的制度因而实现一个潜在入侵者的活动。此部 分分析DMZs经常如何是被实施和设计差的后果。我们以后将 解释如何缓和,或者在最佳的案件避免,这些后果。

  通常,DMZ服务器只应该处理流入请 求从互联网和最终首次与一些后端服务器的连接位于里面或其他DMZ 分段,例如数据库服务器。 同时,DMZ服务器不应该彼此谈 或首次与外界的任何连接。这在一个简单信任型号清楚地定 义了必要的数据流; 然而,我们经常看型号不足够被强制执 行的这种。

  设计员通常倾向于使用 一个共用段实现DMZs为所有服务器没有对数据流的任何控制他们之 间。例如,所有服务器位于普通的VLAN。因为什么都 在同样VLAN之内不控制数据流,如果其中一个服务器被攻陷然后在 同一个分段可以使用同一个服务器来源攻击对任何服务器和主机。 这清楚地实现展开端口重定向或应用层攻击的一个潜在入侵 者的活动。

  一般,只用于防火墙和信 息包过滤器控制流入的连接,但是什么都通常没有完成从DMZ限制被 发起的连接。一些时间前有允许入侵者通过发送HTTP流开始X 终端仿真程序会话的cgi-bi脚本的一个着名的弱点; 这是应 该由防火墙允许的数据流。如果入侵者足够幸运,他或她可 能使用另一种款待得到根提示,典型地缓冲溢出攻击。这类 问题可以通过强制执行一个适当信任模式避免的大多时代。首先,服务器不应该彼此谈,并且不应该于这些服务器其次发起连 接与外界。

  同样备注适用于许多其他 方案,去从所有正常不信任的分段至小型服务器站在应用程序服务 提供商。

  PVLANs和VACLs在Catalyst 交换机可帮助保证一个适当信任模式。PVLANs将通过限制主 机的之间数据流帮助在一个共用段,而VACLs将通过提供对产生或被 注定的所有数据流的进一步控制贡献给一个特定段。这些功 能在以下部分讨论。

  专用VLAN

  PVLANs是可用的在运行CatcOs 5.4或以上,在 Catalyst 4000的Catalyst 6000,2980G、2980G-A、运行 CatcOs 6.2或以上的2948G和4912G。

  从我们的透视图,PVLANs是准许分离数据流在把广播分段的变成第 二层的一个工具(L2)一个非广播multi-access-like分段。 交易在所有端口来自到交换机一个混乱端口(即是能转发主要和辅助 VLAN)能出去属于同样主VLAN的端口。交易(它可以是查出, 属性或者走向交换机自端口被映射对辅助VLAN 的双向属性VLAN)可 以转发到属于同一属性VLAN 的一个混乱端口或端口。多个 端口映射对同样隔离VLAN不能交换任何数据流。

  以下镜象显示概念。

  图1:专用VLAN

  主VLAN在蓝色 表示; 辅助VLAN在红色和黄色表示。Host-1连接到属 于辅助VLAN红色交换机的端口。Host-2连接到属于辅助 VLAN 黄色交换机的端口。

  当主机传 输时,数据流运载辅助VLAN。 例如,当时Host-2传输,其数 据流在VLAN 黄色去。当那些主机接受时,数据流来自VLAN 蓝色,是主VLAN。

  路由器和防火墙其 中连接的端口是混乱端口因为在映射能转发数据流来自每个辅助 VLAN定义的那些端口并且主VLAN。端口连接到每主机能只转 发来自主VLAN和辅助VLAN 的数据流配置在该端口。

  图画表示专用VLAN作为连接路由器和 主机的不同的管道:包所有其他的管道是主VLAN (蓝色)和数 据流在VLAN蓝色从路由器流到主机。管道内部对主VLAN是辅 助VLAN,并且移动在那些管道的数据流是从主机往路由器。

  当镜象显示,主VLAN能包一个或更多 辅助VLAN。

  及早在本文我们说PVLANs 帮助在一个共用段之内通过简单保证主机的离析强制执行适当信任 模式。即然我们知道更多专用VLAN ,让我们看见这在我们最 初的DMZ方案如何可以实现。服务器不应该彼此谈,但是他们 还是需要与他们被联系的防火墙或路由器谈。在这种情况下 ,当应该附有路由器和防火墙混乱端口时,应该连接服务器到隔离 的端口。通过执行此,如果其中一个服务器被攻陷,入侵者 不会能使用同一个服务器来源攻击到另一个服务器在同一个分段之 内。交换机将投下所有信息包以线速,没有任何影响性能。

  另一个注意事项是这种控制可以只是 被实施在L2设备因为所有切断属于相同子网。 没什么每防火 墙或路由器能执行因为切断将设法直接地沟通。另一个选项 是投入一个防火墙端口每个服务器,但这是可能太消耗大,难实现 和不扩展。

  在一个后面的章节,我们 详细描述您能使用此功能的一些其他典型的方案。

共7页。 1 2 3 4 5 6 :