数据中心交换机安全部署最佳实践杭州华三通信技术有限公司杭州华三通信技术有限公司www.h3c.com数据中心交换机安全部署最佳实践1.1数据中心安全模型——三重保护，多层防御华为3COM数据中心安全解决方案秉承了华为3COM一贯倡导的"安全渗透理念"，将安全部署渗透到整个数据中心的设计、部署、运维中，为数据中心搭建起一个立体的、无缝的安全平台，真正做到了使安全贯穿数据链路层到网络应用层的目标，使安全保护无处不在。华为3COM数据中心安全解决方案的技术特色可用十二个字概括：三重保护、多层防御；分区规划，分层部署。图1-1三重保护、多层防御模型以数据中心服务器资源为核心向外延伸有三重保护功能。依拖具有丰富安全特性的交换机构成数据中心网络的第一重保护；以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的IPS提供对网络报文深度检测，构成对数据中心网络的第二重保护；第三重保护是凭借高性能硬件防火墙构成的数据中心网络边界。用一个形象的比喻来说明数据的三重保护。数据中心就像一个欣欣向荣的国家，来往的商客就像访问数据中心的报文；防火墙是驻守在国境线上的军队，一方面担负着守卫国土防御外族攻击（DDOS）的重任，另一方面负责检查来往商客的身份（访问控制）；IPS是国家的警察，随时准备捉拿虽然拥有合法身份，但仍在从事违法乱纪活动的商客（蠕虫病毒），以保卫社会秩序；具有各种安全特性的交换机就像商铺雇佣的保安，提供最基本的安全监管，时刻提防由内部人员造成的破坏（STP攻击）。,杭州华三通信技术有限公司www.h3c.com图1数据中心多层安全防御三重保护的同时为数据中心网络提供了从链路层到应用层的多层防御体系，如图。交换机提供的安全特性构成安全数据中心的网络基础，提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上，通过状态防火墙可以把安全信任网络和非安全网络进行隔离，并提供对DDOS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络应用层的保护。1.2交换机二层安全部署最佳实践第二层的攻击通常在园区网环境中作为一个讨论的话题，但当我们在讨论数据中心网络安全的时候，这也是一个重要的部分。有计划的设计和实施一个安全策略来保护第二层的安全攻击是数据中心安全设计非常重要的一方面。有很多防攻击的特性同样可以确保一个微小的配置改动或者一个非恶意事件不至于导致数据中心不必要的当机时间。本节我们讨论一些常见的第二层攻击和缓解这些攻击的可用特性。1.2.1MAC泛洪MAC泛洪是指以假冒的源MAC地址和目的MAC地址将数据包从攻击者的系统发送到以太网网络上。由于交换机的CAM表容量是有限的，如果CAM表被填满了，发送到CAM表中没有其条目的MAC地址的帧将被泛洪到本地VLAN的所有端口上，以确保将这些帧发送给正确的主机。这就使得攻击者可以对这些数据帧进行嗅探，交换机就像一个HUB一样工作，而交换式网络也像是一个共享的网络一样。这类攻击不仅造成安全性破坏，同时大量的广播报文还严重影响交换机性能。,杭州华三通信技术有限公司www.h3c.com图2MAC泛洪解决方案：zportsecurityzMAC学习数限制z802.1X1.Portsecurity端口安全（PortSecurity）是一种对网络接入进行控制的安全机制，是对已有的802.1x认证和MAC地址认证的扩充。PortSecurity的主要功能就是通过定义各种安全模式，让设备学习到合法的源MAC地址，以达到相应的网络管理效果。对于不能通过安全模式学习到源MAC地址的报文或802.1x认证失败的报文，将被视为非法报文。当发现非法报文后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。¾自动学习模式：在自动学习模式下，端口学习到的MAC地址会转变为SecurityMAC地址；当端口下的SecurityMAC地址数超过port-securitymaxmaccount命令配置的数目后，端口模式会自动转变为secure模式；之后，该端口不会再添加新的SecurityMAC，只有源MAC为SecurityMAC的报文，才能通过该端口。¾SecurityMAC：SecurityMAC是一种特殊的MAC地址，其特性类似于静态MAC地址。在同一