數據中心的網絡設備安全防護

◆喬 健 徐 靖

?

數據中心的網絡設備安全防護

◆喬 健 徐 靖

（上海市信息網絡有限公司 上海 200081）

互聯網數據中心（IDC）是目前高速發展的行業，針對IDC面臨的各種網絡安全問題，提出對數據中心內網絡設備建立安全配置基線，結合其他技術和管理手段來防御面臨的各種網絡安全威脅。

數據中心；安全防護；安全基線；配置要求

0 引言

近幾年來，互聯網數據中心在國內發展迅猛，與此同時互聯網安全事件也愈演愈烈，數據中心安全事件的發生率呈指數上升趨勢。各種黑客攻擊軟件，隱藏在服務器中的病毒，以及網絡內的僵尸主機，都可能會成為網絡攻擊源。攻擊會導致網絡服務質量下降導致網絡不可用，嚴重影響運營商的品牌形象。在日趨嚴峻的網絡安全形勢面前，需要盡可能地提高網絡健壯性，有效抑止一些常見的攻擊和病毒，降低安全事件發生的概率和影響程度。

目前針對數據中心基礎架構的網絡攻擊和網絡病毒主要有以下幾類：一類是攻擊直接針對網絡設備，造成網絡設備處理器和內存資源大量消耗，使得網絡性能收到影響，甚至中斷；另一類是采用大數據包的攻擊，使網絡帶寬擁塞，影響網絡的性能；還有一類是采用小數據包的攻擊，造成網絡設備三層轉發負載加重，使設備性能降低，影響網絡性能。

結合筆者十多年的數據中心建設維護和安全防御經驗，提出從技術上建立數據中心網絡配置標準，對設備進行安全加固。通過對網絡安全體系的各個安全環節、各個保護對象的防御措施等方面的均衡，提高IDC整體防護能力，降低上述幾種攻擊模式對數據網絡的沖擊，實現網絡整體安全水平的提高。

1 IDC數據中心設備進行安全加固

主要實施對象是機房網絡設備，通過對設備自身的安全加固，提升網絡的自我防護能力，加強重點設備的抗攻擊能力，提高網絡的生存性和可用性。

1.1通用性安全配置要求

為保證IDC內數據安全，建議對機房內各設備按照如下安全配置要求進行策略部署：

（1）設備端口安全管理

對于網絡設備的服務端口遵循最小化原則，關閉不必要的應用端口和服務，主要包括如下內容：關閉IP直接廣播;關閉控制平面未使用的服務，如代理ARP、IP源路由;關閉不使用的管理平面服務：Bootp，Finger、PAD、CDP，DHCP，小TCP/UDP等，對于不使用Web方式管理的網絡設備關閉其HTTP服務，對于必須啟用WEB管理的設備，需通過訪問控制列表進行訪問限制。

（2）設備認證控制和密碼管理

設備采用集中認證方式，通過Radius或者Tacacs+認證模式登錄，由認證服務器對維護操作人員進行認證授權，用戶權限遵循最小授權原則，在設備增加本地賬戶，作為認證服務器失效時的備用管理賬號。對于所有的設備配置中登錄密碼，必須使用加密顯示，控制臺接口必須啟用密碼保護功能。認證服務器可將相關的認證授權操作信息送到安全管理平臺。

不允許使用系統缺省配置的用戶和口令，應給網管人員配置各自的用戶名和口令，做到個人賬號專人專用，建議每三個月進行一次密碼更新，口令要求不少于8個字符，口令使用大寫字母、小寫字母、數字、標點及特殊字符四種字符中至少三種的組合，口令以加密方式存儲。網管人員離職、崗位調動必須通過相應的管理流程對其賬號、密碼進行刪除。

（3）設備訪問限制

在網絡設備上限定只允許網管地址網段能實現和設備之間的管理通信；限定設備登錄的并發連接數，限定登錄最大連接時長，對于支持SSH模式的設備，一律采用SSH方式進行遠程訪問。需要外網操作的設備，建議采用VPN方式登錄到網管中心，然后通過網管中心作為跳板進行設備訪問。為加強跳板的可用性，可以采用主備冗余方式。

（4）設備關鍵資源保護

使用RACL和COPP等類似技術部署設備控制卡板的防護策略，對設備處理能力進行保護，增強設備本身的安全性。

（5）路由安全

對于啟用動態路由的設備，要求在建立鄰接關系時使用MD5算法加密，保證路由信息的可信度。對于無需參與動態路由計算的端口，建議配置為被動接口。對于多跳EBGP互聯鄰居，為避免路由震蕩和攻擊，在確定路由跳數的情況下，應啟用BGPTTLsecurity-check功能。與用戶通過BGP互連時，在EBGP鄰接上使用AS-PATH嚴格匹配對方廣播的路由，并使用IP prefix-list過濾缺省和私有路由，原則上只接收掩碼為/24或以內等路由。

（6）服務質量配置要求

與信任域進行對接時，如對方服務質量（QOS）標記規則與網內不一致，在對接處需要按照流量標記對應關系對每類流量進行標記重置，對非信任域的所有流量的標記應重置為0。

（7）時間同步和流量監控

機房網絡設備必須采用網絡時間協議（NTP）方式實現時間同步。全網設備使用統一的時間服務器，在服務器上通過訪問控制列表對客戶端接入限制。要求機房內設備都啟用簡單網絡管理協議（SNMP）來監控端口流量，應只采用只讀模式，同時要求設備只允許網管網絡的網段來讀取流量，共同體字串建議采用強口令要求長度8位以上，包含特殊字符、大小寫和數字。要求網管軟件能對端口流量設置基線，當端口流量嚴重超過基線時能發出告警。

（8）設備日志要求

設備必須配置日志功能，其中必須包括設備訪問、配置、狀態等安全相關事件的來源、時間、描述等信息內容，并對高風險的事件產生告警；將設備產生的日志信息發送至日志服務器；為了保障日志信息的安全性，必須嚴格限制設備日志發送的目的設備。對于接入層設備，要求日志服務器保存至少3個月的原始設備日志；對于匯聚層以上設備，要求保存至少6個月原始設備日志。系統日志可通過接口將相關的日志信息送到安全管理平臺。

1.2核心層設備特殊配置要求

核心層設備主要實現數據報文的高速轉發，在安全方面的措施主要目的是為了保障設備正常穩定的運行，除了一些通用性要求之外還要求核心層設備實施以下安全措施。

核心設備的重要部件、模塊實現冗余，即主控單元1：1備份，交換單元N:1備份，電源風扇冗余。核心層設備間建議使用全網狀連接模式。啟用Netflow功能實施流量分析和建立流量基線。配置主備日志服務器。與城域網互聯的出口路由器需要做路由聚合，只向城域網發布城域聚合路由，原則上掩碼在/25以內（如：/21、/20、/19等掩碼的路由）。

1.3匯聚層設備特殊安全配置要求

匯聚層設備可實施較全面的安全策略，建議除滿足基本安全配置要求外使用如下策略：

（1）端口過濾

禁止常見及危害程度較大的病毒、木馬常用端口，主要如下：

Deny udp any anyeq 1434 //sqlworm病毒端口

Denyudpanyanyeq1433

Denyudpanyanyeq1027-1028//灰鴿子木馬端口

Deny udp any anyeq 135-139//禁止netbios端口

Deny udp any anyeqnetbios-ss

Deny tcp any anyeq 445//SMB共享服務端口

Deny tcp any anyeq 4444 //沖擊波病毒端口

Deny tcp any anyeq 5554 //在感染“震蕩波”病毒后會通過5554端口向其他感染的計算機傳送蠕蟲病毒

（2）源路由監測和流量分析

設備上啟用單播反向路由查找（URPF）功能，防范假冒源地址攻擊；啟用Netflow功能，實施流量分析。

（3）ICMP控制

建議對ICMP流量進行限制，僅允許通過一些必須的ICMP報文，包括ICMP-echo、ICMPecho-reply、ICMPpacket-too-big、ICMPsource-quench、ICMPtime-exceeded、ttl-exceeded、port-unreachable。建議對ICMP協議的echo、echo-reply流量限制為700K/S；建議對ICMP協議ttl-exceeded、port-unreachable和packet-too-big流量限制為500K/S；建議對Traceroute所用的UDP協議，端口范圍從33434到33678流量限制為500K/S/路由器。

（4）非法地址過濾

過濾RFC定義的私有地址數據流（出口）

Deny ip 127.0.0.00.255.255.255 any //環回地址

Deny ip 10.0.0.00.255.255.255 any //RFC1918定義的私網地址

Deny ip 172.16.0.00.15.255.255 any

Deny ip 192.168.0.00.0.255.255 any

Deny ip 169.254.0.00.0.255.255 any //本地鏈路保留地址

Deny ip 240.0.0.015.255.255.255 any//保留地址

Deny icmp any any fragments //丟棄ICMP碎片報文，以防范DDOS攻擊

1.4接入層設備特殊安全配置要求

接入層設備連接用戶網絡和運營商網絡，是實現安全過濾的第一道防線，建議在用戶接入層面除了配置上述通用策略外，實施以下安全策略：

首先在接入設備側針對用戶接入端口實施限速策略，其次在接入設備側針對用戶接入端口實施廣播包速率抑制，最后在用戶接入端口啟用MAC數量限制策略。對于接入用戶應盡可能實現PUPV，減少用戶之間的干擾。對于接入用戶群中必須通過同一VLAN承載的業務，盡量采用私有VLAN等端口隔離技術進行用戶間隔離，避免用戶之間的相互干擾。

2 網絡設計安全要求

對于網絡建設設計需要遵循一定的安全配置要求，保障網絡的高可用性，主要包括以下方面：地址統一規劃，體現網絡層次性，有利于路由的組織。要求路由設計具備較高的可用性和擴展性。匯聚層及以上設備必須使用雙鏈路上聯，實現鏈路備份和負載均衡。

設備選型優先選擇支持NSF/SSO/ISSU功能的設備，應考慮部署防火墻、流量清洗等安全設備。當安全設備性能不足以保護整個機房網絡時，采用旁掛在核心設備側方式，當被攻擊時采用路由引流模式將攻擊流量導引到安全設備進行處理。安全設備應該具備防應用層DDOS攻擊能力，應用層DDOS攻擊一般消耗很小的帶寬，而特性更加隱秘，比如不斷與服務器上的應用建立連接，從而耗盡應用的表項空間等資源，導致正常的用戶無法連接。針對大流量流量，應該考慮購買運營商的防DDOS服務，將攻擊流量進入機房前導引到城域網防DDOS平臺進行清洗。

3 結束語

本文在目前網絡安全理論基礎上，提出一種對IDC機房網絡設備建立配置安全基線，進行網絡安全加固的方案。本方法已經在中國電信上海分公司上海熱線機房、真西北機房、海量存儲機房、全華機房、市北機房采用。實際運行結果表明，采用本方法后機房網絡設備安全故障率和影響業務時間均有較大程度減少。同時，本文的結果也適應于在不同場景下的運營商網絡設備安全加固。

[1]程小丹，李崇輝，曹潔.數據中心設施運維指南[M].電子工業出版社，2016.

[2]陳熹.軟件定義數據中心技術與實踐[M].機械工業出版社，2013.