CSS安全体系技术白皮书

    网络安全问题已经成为信息化社会的一个焦点问题，更是信息化校园的焦点问题。目前园区网络安全的发展趋势是“多兵种协同作战”，园区网络中所有的基础网络设备共同去预防、发现安全问题。为此，锐捷网络推出了GSN全局安全网络，通过整合系统层面和网络层面的安全因素，建立全局化的安全网络。而设备级别的安全防护是GSN全局安全网络的一个重要组成部分，并且，许多的网络环境并没有条件去部署完整的全局化安全网络，此时设备级别的安全防护显得尤为重要。为此，锐捷网络推出了设备级的安全防护体系—CSS安全体系，为独立设备提供全方位的安全防护。

  

1 CSS安全体系概述

 

    黑客对计算机网络构成的威胁大体可分为两种：一是对网络中设备的威胁,针对设备系统的漏洞或不足进行攻击,导致系统不能正常工作，甚至瘫痪。二是对网络中信息的威胁，以各种方式有选择地破坏,窃取网络中的数据信息。CSS安全体系正是通过从“系统”和“数据”两方面的安全技术来保护网络的安全。

 

    CSS安全体系主要是通过硬件安全监控技术、硬件安全防护技术、丰富的设备安全管理保证系统的安全，通过硬件的隧道技术、认证技术、加密技术保护了网络设备传输的数据的安全。此外，还提供了万兆位的安全防护模块同时保护系统和数据。通过提供万兆位安全防护模块，可以对网络中的数据进行2-7层的安全监控防护。

 

 

                                  图1-1

 

    硬件的安全监控技术，主要包括：硬件IPFIX（IP Flow Information Export），流监控和自动流速率控制，限制非法数据流。

 

    硬件安全防护技术，主要有：防Dos攻击、防扫描、防源IP地址欺骗、SPOH、CPP、LPM+HDR。

 

    丰富的设备安全管理，主要是：CPP、SSH、SNMPV3、AAA、管理源IP地址限制。
硬件隧道、认证、加密：MPLS、VPLS、VPWS、Des、SHA。

 

    万兆位安全防护模块：万兆位的入侵检测、防火墙、网络分析模块。

 

 

                                    图1-2

 

    下面对各种安全技术进行详细的介绍

 

2 CSS安全体系阐述

 

2.1 硬件的安全监控技术

 

    硬件的安全监控技术主要包括：硬件IPFIX（IP Flow Information Export），流监控和自动流速率控制，限制非法数据流。

 

    进行流量监控和流量分析是整个网络合理化的重要环节，它能在最短的时间内发现安全威胁，在第一时间进行分析，通过流量分析来确定攻击，然后发出预警，快速采取措施。如何在核心的网络设备上监控流量、限制异常流量就成了大家关注的技术问题。

 

    目前很多厂商都拥有自己私有的流量监控技术，像Cisco有Netflow，华为有Netstream，Juniper有J-flow。这些流量监控技术相互不同，需要后台提供相应的处理软件，加大用户的部署难度和数据集成难度，这种情况极大的阻碍了流量监控技术的发展。

 

    IPFIX是最新的流量监控技术国际标准，在IPFIX的RFC3917被提议以后，IETF在做流输出的标准化工作，这也是目前各大厂商大力推动的一个标准。通过IPFIX这种标准化的流量监控技术，各个厂商的网络设备可以采用同一种流量监控标准，极大地方便了网络流量的监控和实际部署。

 

    传统的数据流量监控技术采用了特定的数据属性去标示一个数据流。例如，用源/目的IP地址、源/目的端口号、三层协议类型标示一个数据流（采集流量的时候也只采集相应的这几个属性）。网络中的数据流量有着各种各样的属性，只是简单的采用特定的属性去标示数据流并不能全面完整的采集监控流量。但是，如果采用多种属性去表示一个数据流，那采集的流量将会大大增加，极大的增加了网络设备、带宽和上层服务器的压力。

 

    IPFIX采用了“模板”的格式灵活的定义一个数据流。在IPFIX的数据结构中，网络管理员可以在“模板”中灵活的定义想采集的网络流量的属性，然后在输出的数据流中可以包含已定义的“模板”以及相对应模板的数据流，通过这种方式，网络管理员可以自由的添加更改域（添加或更改特定的参数或协议），以便更方便地监控IP流量的信息。另一方面，由于输出格式具有可扩展性，因此如果流量监控的要求发生改变，网络管理员们也不必升级他们的路由器软件或管理工具。

 

    锐捷网络十万兆产品的IPFIX技术是通过在每个线卡对数据流量进行采集，过滤，然后把采集到的数据发送到交换机的多业务卡上进行初步分析统计，最后发送到上层服务器进行数据收集统计，显示出图形化的结果。通过线卡收集采集数据，由业务卡进行初步分析，最后由上层服务器收集统计数据、显示结果，真正实现了分布式的流量监控技术。

 

    使用IPFIX技术，通过对网络骨干链路的流量监控，由交换机将采集的数据发送到上层服务器，根据采集的数据进行模式匹配、基线分析等，可以进行DoS/DDoS攻击和蠕虫等病毒检测，同时结合记录的源数据包相关特征快速定位网络中的异常行为。

 

2.2 硬件安全防护技术

 

    硬件的安全防护技术，主要包括：防Dos攻击、防扫描、防源IP地址欺骗、SPOH、CPP、LPM+HDR

 

    随着网络的发展，目前针对网络中的协议以及系统漏洞的攻击手段、花样也越来越多，锐捷网络的十万兆产品通过采用专门针对攻击手段设计的ASIC芯片针对网络中的各种攻击进行安全的防护，保证在处理安全问题的同时依然不影响网络正常数据的转发。

 

    锐捷十万兆产品可以实现对DoS攻击、扫描、源IP地址欺骗等攻击手段的防护，通过CPP（Control Plane Policy）技术，通过硬件方式对发往CPU的各种数据进行控制，保证了CPU的安全稳定的运行。此外还继承了原来万兆产品的SPOH技术、LPM+HDR技术。

 

    SPOH即基于硬件的同步式处理技术，在线卡的每个端口上利用FFP硬件进行安全防护和智能保障，各端口可以同步地、不影响整机性能地进行硬件处理。最长匹配（LPM）技术解决了“流精确匹配”的缺点，支持一个网段使用一个硬件转发表项，杜绝了攻击和病毒对硬件存储空间的危害。HDR抛弃了传统方式CPU参与“一次路由”的效率影响，在路由转发前形成路由表项，避免了攻击和病毒对CPU利用率的危害。LPM+HDR技术的结合不仅极大地提升了路由效率，而且保障设备在病毒和攻击环境下的稳定运行。

 

2.2.1 防DoS攻击

 

    主要可以防护Land攻击、防非法TCP报文攻击、防源IP地址欺骗。

 

Land攻击

 

    Land攻击主要是攻击者将一个SYN包的源地址和目的地址都设置为目标主机的地址，源和目的端口号设置为相同值，造成被攻击主机因试图与自己建立TCP连接而陷入死循环，甚至系统崩溃。锐捷网络十万兆产品通过丢弃源和目的IP相同的IPv4/IPv6数据包、丢弃源和目的TCP/UDP端口相同的IPv4/IPv6数据包的方式有效的防止了Land攻击

 

非法TCP报文攻击

 

    在TCP报文的报头中，有几个标志字段：

 

    1. SYN：连接建立标志，TCP SYN报文就是把这个标志设置为1，来请求建立连接；

 

    2. ACK：回应标志，在一个TCP连接中，除了第一个报文（TCP SYN）外，所有报文都设置该字段，作为对上一个报文的相应；

 

    3. FIN：结束标志，当一台计算机接收到一个设置了FIN标志的TCP报文后，会拆除这个TCP连接；

 

    4. RST：复位标志，当IP协议栈接收到一个目标端口不存在的TCP报文的时候，会回应一个RST标志设置的报文；

 

    5. PSH：通知协议栈尽快把TCP数据提交给上层程序处理。

 

    许多攻击数据通过非法设置标志字段致使主机处理的资源消耗甚至系统崩溃，例如以下几种经常设置的非法TCP报文。

 

SYN比特和FIN比特同时设置

 

    正常情况下，SYN标志（连接请求标志）和FIN标志（连接拆除标志）是不能同时出现在一个TCP报文中的。而且RFC也没有规定IP协议栈如何处理这样的畸形报文，因此，各个操作系统的协议栈在收到这样的报文后的处理方式也不同，攻击者就可以利用这个特征，通过发送SYN和FIN同时设置的报文，来判断操作系统的类型，然后针对该操作系统，进行进一步的攻击。

 

没有设置任何标志的TCP报文攻击

 

    正常情况下，任何TCP报文都会设置SYN，FIN，ACK，RST，PSH五个标志中的至少一个标志，第一个TCP报文（TCP连接请求报文）设置SYN标志，后续报文都设置ACK标志。有的协议栈基于这样的假设，没有针对不设置任何标志的TCP报文的处理过程，因此，这样的协议栈如果收到了这样的报文，可能会崩溃。攻击者利用了这个特点，对目标计算机进行攻击。

 

设置了FIN标志却没有设置ACK标志的TCP报文攻击

 

    正常情况下，ACK标志在除了第一个报文（SYN报文）外，所有的报文都设置，包括TCP连接拆除报文（FIN标志设置的报文）。但有的攻击者却可能向目标计算机发送设置了FIN标志却没有设置ACK标志的TCP报文，这样可能导致目标计算机崩溃。

 

    锐捷网络十万兆产品在交换机中可以以硬件的方式实现丢弃SYN比特和FIN比特同时设置的TCP报文、丢弃没有设置任何标志的TCP报文、丢弃设置了FIN标志却没有设置ACK标志的TCP报文攻击从而保证非法的TCP报文不会经过核心交换机传输到网络的其他区域，同样也可保证针对交换机本身攻击的非法TCP报文不会影响到交换机本身。

 

防源IP地址欺骗

 

    从严格意义上来说，IP源地址欺骗并不是一种网络攻击方式，而是网络攻击时为了达到网络攻击目的采用的技术手段。

 

    当目的主机要与源主机进行通讯时，它以接收到的IP包的IP头中IP源地址作为其发送的IP包的目的地址，来与源主机进行数据通讯。IP的这种数据通讯方式虽然非常简单和高效，但它同时也构成了一个IP网上的安全隐患，源IP地址欺骗的基本原理就是利用IP包传输时的漏洞，即在IP包转发的时候路由设备一般不进行源IP地址的验证，在与对方主机通讯的时候伪造不属于本机的IP地址进行欺骗。

 

    可以说网络中大部分攻击都是由大多数的攻击都通过伪造源IP的方式开始发起。

 

    十万兆产品采用三种方式有效的防止了源IP地址攻击

 

    在交换机中实现了RFC2827，网关丢弃源IP非本网段的数据包，可以有效地防止本网段的攻击者发起的伪造源IP地址的攻击。

 

    地址绑定，包括IP＋MAC＋端口的绑定和IP＋MAC的绑定，通过对主机的IP地址和MAC地址的绑定，可以保证在本地网络中经过核心交换机传输的数据都是的正确的主机发出的。非法的数据将会丢弃。

 

    802.1x，结合我司的SAM平台可以实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等多元素之间的灵活任意绑定，可有效控制用户的接入，确定用户的唯一性，如高校、政府机构、宽带小区等，保证不会有非法伪造的源IP地址欺骗的数据流量通过。

 

2.2.2 CPP，控制平面保护

 

    尽管通过加密认证可以保护网络中的通信协议，但是它并不能完全的防止非法恶意用户对路由引擎（CPU）上特定协议的攻击。例如，攻击者仍可以利用伪造的数据包瞄准具体协议，向路由器发动攻击。尽管这些数据包无法通过鉴权检查，但是攻击仍可以消耗CPU上的资源(CPU循环和通信队列)，因此在某种程度上达到攻击的目的。

 

    锐捷网络十万兆产品通过硬件的方式对发往控制平面的数据进行分类，把不同的协议数据归类到不同的队列然后对不同的队列进行限速，专门对路由引擎进行保护，阻挡外界的 DOS 攻击。而且并不影响转发速度，所以CPP能够在不限制性能的前提下，灵活且有力的防止攻击，而且保证了即使有大规模攻击数据发往CPU的时候依然可以在交换机内部对数据进行区分对外。

 

CPP提供三种保护方法，来保护CPU的利用率。

 

    1. 可以配置CPU接受数据流的总带宽，从全局上保护CPU。

 

    2. 可以设备QOS队列，为每种队列设置带宽。

 

    3. 为每种类型的报文设置最大速率。

 

具体实现方式如下：

 

    1. 针对不同的系统报文进行分类。CPP可针对arp、bpdu、dhcp、igmp、rip、ospf、pim、gvrp、vvrp的报文进行分类，并分别设置不同的带宽。

 

    2. CPU端口共有8个优先级队列(queue)，您可以配置每种类型的报文对应的队列，硬件将根据您的配置自动地将这种类型的报文的送到指定队列，并可分别设置队列的最大速率。
队列的调度可以采用的算法有SP，SP+WRR，WRR，DRR，SP+DRR等。

 

    3. 可以配置CPU端口的总的带宽，从全局上保护CPU。

 

    此外，还继承了原有RG-S6800E系列的安全技术如SPOH，LPM+HDR。

 

SPOH

 

    即基于硬件的同步式处理技术。园区网的中有五大类数据处理行为L2/L3/ACL/QOS/组播，其中L2/L3/组播等功能提供的是数据在不同端口之间的转发处理，数据的处理与相关的多个端口都有关联，需要同时在不同端口之间协调好充分的资源才能保证线速的转发，需要为相关端口提供统一调度处理。ACL和QOS等功能提供的是针对单独端口的数据处理行为，数据的处理与其它端口没有任何关系。

 

    SPOH技术针对ACL、QOS等针对单独端口的数据处理行为，通过为ASIC芯片各端口增加可以独立硬件处理ACL/QOS功能的FFP模块（fast filter processor），各端口就可以同步地进行这些功能的硬件处理。

 

    SPOH设计保证了在病毒环境和复杂大数据量环境下，即使启用了大量的ACL和QOS功能，

 

    CPU表现恒定，并且不会影响整机处理性能，大大提升了产品的安全防护能力。

 

LPM+HDR

 

    最长匹配（LPM）三层交换技术可以解决传统方式“多次交换”中采用“流精确匹配”而带来存储空间压力过大的问题。最长匹配（LPM）技术支持静态路由、动态学习到的路由都直接以网段形式存储于硬件转发表，一个目的网段使用一个转发表项，而直连网段仅生成表项内容为“目的IP地址”的主机转发表，对于其它不明目的网段IP地址的数据包直接通过硬件缺省路由转发。因此，LPM技术的优点是极大地节约存储空间，病毒和攻击数据可以通过硬件网段路由或缺省路由进行转发，不增加额外的硬件表项，避免了存储溢出问题，保障设备的正常运行。

 

    在LPM技术中依然保留了CPU参与一次路由的需要，虽然每个网段只有一次CPU参与的需要，但是在三层设备拥有直连网段，主机转发表数量比较多的情况下，CPU的第一次参与依然会对三层转发的处理效率产生一些影响，HDR技术可以进一步优化LPM技术的处理效率，主机直接路由（HDR：Host direct Route）用于解决CPU参与“一次路由”的不足。主机直接路由（HDR）支持三层设备在最长匹配硬件转发中的下一跳节点和数据转发出口运行ARP协议时把对应的MAC地址直接下载到硬件转发表。因此，没有了第一次CPU参与路由的效率影响，网络中的所有主机（Host）都可以通过最长匹配硬件转发表进行直接的三层转发。

 

    LPM+HDR三层交换技术不需要CPU参与、节约了缓存空间，不仅极大地提高了路由效率，而且避免了病毒和攻击对网络设备本身的影响，提高设备的稳定性。

 

2.3 丰富的设备安全管理

 

    CPP技术，保证在大数据流量的网络环境下，发往CPU的数据都经过合理的调度、限速，使CPU在任何情况下都不会出现过载的情况，极大地保障了核心设备的稳定性。

 

    提供SSHv1/v2的加密登陆和管理功能，在远程登录设备的时候发送的数据都是经过机密的，避免管理信息明文传输引发的潜在威胁。

 

    Telnet/Web登录的源IP限制功能，限制只有合法IP的终端才能登陆管理设备，避免非法人员对网络设备的管理。

 

    SNMPV3提供加密和鉴别功能，可以确保数据从合法的数据源发出，确保数据在传输过程中不被篡改，并且加密报文，确保数据的机密性。

 

2.4 硬件隧道、认证、加密

 

    数据的安全技术，主要包括隧道技术、认证技术、加密技术。隧道技术主要包括MPLS、VPLS、VPWS，认证技术主要包括MD5加密算法，加密技术主要有Des、3Des、SHA等加密技术

 

2.4.1 隧道技术

 

    隧道技术，因为Internet中IP地址资源短缺，企业内部网络使用的多为私有IP地址，从这些地址发出的数据包是不能通过Internet传输的，必须采用合法IP地址。完成这种地址转换的方式有多种：静态IP地址转换、动态IP地址转换、端口替换、数据包封装等。要能够使得企业网内一个局域网的数据透明地穿过公用网到达另一个局域网，虚拟专用网采用了一种称为隧道的技术。隧道技术的基本过程是在源局域网与公用网的接口处将局域网发送的数据（可以是ISO七层模型中的数据链路层或网络层数据）作为负载封装在一种可以在公用网上传输的数据格式中，在目的局域网与公用网的接口处将公用网的数据解封装后，取出负载即源局域网发送的数据在目的局域网传输。由于封装与解封装只在两个接口处由设备按照隧道协议配置进行，局域网中的其他设备将不会觉察到这一过程。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。

 

    隧道技术目前主要应用在VPN（Virtual Private Network）虚拟专网中，主要是以MPLS的方式实现。用MPLS协议实现VPN的方式，又可分为Layer2 MPLS VPN和Layer3 MPLS VPN 。

 

三层VPN

 

    Layer3 MPLS VPN即BGP/MPLS VPNs，使用类似传统路由的方式进行IP分组的转发。在路由器接收到IP数据包以后，通过在转发表查找IP数据包的目的地址，然后使用预先建立的LSP进行IP数据跨运营商骨干网的传送。运营商网络通过其路由器（包括PE）和客户路由器（CE）间的RIP、OSPF、BGP等路由协议，获得用户站点的可达信息，并用这些信息来建立上述LSP。

 

二层VPN

 

    Layer2 VPN大致分为三类，第一种叫做VPWS(Virtual　Private　Wire　Service)，用点对点连接方式实现VPN内每个站点之间的通信。这种方式多用于正在使用ATM、FR连接的用户，用户和网络提供商之间的连接保持不便，但业务经封装后在网络提供商的IP骨干网上传输。在第二种叫做VPLS（Virtual Private LAN Service），运营商网络仿真LAN SWITCH或桥接器的功能，连接用户所有的LAN称为一个简单的桥接的LAN。VPLS和VPWS的主要不同在于VPWS只提供点到点业务，而VPLS提供点到多点业务。即VPWS中的CE设备选择某一条虚拟线，将数据发送到某一用户站点；而VPLS中的CE设备只是简单的到所有目的地的数据发送到连接到其的PE设备即可。

 

2.4.2 认证技术

 

    利用认证技术，使数据在传输过程中如果被黑客截获并篡改可以及时在接收端经过校验被发先。锐捷十万兆产品主要使用MD5算法和SHA算法保证数据传输的可靠性。

 

    MD5的典型应用是对一段信息（Message）（例如路由协议的信息等）产生信息摘要（Message-Digest），以防止被篡改。比如，在传输路由信息时，在发出报文之前用MD5算法会对报文进行计算，生成一段签名附在报文后。接收端收到报文后同样利用MD5进行计算生成一段签名，如果生成的签名与原来附带的签名相同，则证明数据在传输的过程中没有被篡改，继续使用原来的报文。如果不同则表明数据在传输的过程中被改动，接收到的数据会被丢弃。有效的防止了错误的、恶意篡改的信息被接收。

 

    SHA算法与MD5算法不同的是：MD5产生128位消息摘要，SHA产生是160位消息摘要，SHA更加安全。

 

2.4.3 加密技术

 

    加密技术使重要的数据信息在传输的过程中即使被黑客截获，黑客得到的也只是一堆乱码，都是无用的信息。保证了重要数据信息不会泄露。目前主要用机密算法是Des算法、3Des算法。

 

    DES(Data Encryption Standard) ，使用56位密钥对64位的数据块进行加密 。3DES，三重DES计算，要花费DES的三倍时间，从另一方面来看，三重DES的密钥长度是112位 ，安全性是非常高的。

 

2.5 万兆位的安全防护模块

 

    防火墙的传统角色已经发生了变化。今天的防火墙不仅可以保护园区网络免受未经授权的外部接入的攻击，还可以防止未经授权的用户接入园区网络的子网、工作组和LAN。FBI数据显示70%的安全问题都来自内部。利用防火墙保护内部的网络成为目前园区网的迫切需要。

 

    锐捷网络的十万兆产品提供了万兆位的安全防护模块，这种安全防护模块安装在交换机的内部，对于那些机架空间非常有限的空间来说，这种模块非常重要。同时，万兆位的安全防护模块可以提供防火墙、入侵检测、网络分析功能，可以提供2~7层智能的服务，使锐捷网络的十万兆产品真正成为了能够为用户提供智能服务的核心路由交换机。

 

    防火墙模块可以利用十万兆交换机的强大处理能力，直接从系统背板提取数据流量，防火墙模块的处理能力可以达到万兆位以上。针对目前业界很多防火墙模块都是直接安装在万兆交换机内部，而这些防火墙模块的处理级别只有千兆位，很难进行万兆位数据的线速处理从而导致网络延时甚至系统不稳定的情况，锐捷网络万兆防火墙模块可以保证万兆线速处理，避免了核心模块的不稳定性。同时防火墙模块是集成在设备内部的，减少了需要管理的设备的数量。

 

    防火墙模块可以部署在园区网络数据中心的核心设备，今天的园区网络不仅仅需要周边的安全，还需要连接业务伙伴和提供园区安全区域，为园区的各个部门提供安全服务。防火墙模块可以让用户和管理员以不同的策略在企业中设立安全区域，提供一种灵活、经济、基于性能解决方案。