前言

其中一個關(guān)鍵要素到建立一個成功的網(wǎng)絡(luò)安全設(shè)計是識別和強制執(zhí)行 一個適當(dāng)信任模式。適當(dāng)信任模式定義了誰需要談與誰并且 什么樣的數(shù)據(jù)流需要被交換; 應(yīng)該否決其他數(shù)據(jù)流。一旦適當(dāng)信任模式被識別，然后安全設(shè)計員應(yīng)該決定如何強制執(zhí)行 型號。 因為重要資源是全局可用的并且網(wǎng)絡(luò)攻擊的新的表演 變，網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施傾向于變得更加復(fù)雜，并且更多產(chǎn)品是可用 的。 防火墻、路由器、LAN交換機、入侵檢測系統(tǒng)、AAA服務(wù) 器和VPN是可幫助強制執(zhí)行型號的某些技術(shù)和產(chǎn)品。當(dāng)然，每 一個這些產(chǎn)品和技術(shù)在整體安全實施之內(nèi)扮演一個特定的角色，并 且了解設(shè)計員是重要的這些元素如何可以配置。

使用的組件

本文不限于特定軟件和硬件版本。

背景信息

識別和強制執(zhí)行一個適當(dāng)信任模式似乎是一項非常基 本任務(wù)，但在幾年支持的安全實施之后，我們的經(jīng)驗表明安全事件 經(jīng)常與惡劣的安全設(shè)計有關(guān)。通常這些設(shè)計差是不強制執(zhí)行 一個適當(dāng)信任模式的一個直接后果，有時因為什么是公正必要的沒 有了解，其他次正因為充分地沒有了解也沒有誤用介入的技術(shù)。

本文詳細解釋如何二個功能可用在我 們的Catalyst交換機，專用VLAN (PVLANs)并且VLAN 訪問控制表 (VACLs)，在兩可幫助保證適當(dāng)信任模型企業(yè)并且服務(wù)提供商環(huán)境。

強制執(zhí)行適 當(dāng)信任模式的重要性

不強制執(zhí)行適當(dāng)信任模型的一個立即后果是整體安全實施變得較不 對免疫有惡意的活動。非敏感區(qū)域(DMZs)普通是被實施沒有 強制執(zhí)行正確的制度因而實現(xiàn)一個潛在入侵者的活動。此部 分分析DMZs經(jīng)常如何是被實施和設(shè)計差的后果。我們以后將 解釋如何緩和，或者在最佳的案件避免，這些后果。

通常，DMZ服務(wù)器只應(yīng)該處理流入請 求從互聯(lián)網(wǎng)和最終首次與一些后端服務(wù)器的連接位于里面或其他DMZ 分段，例如數(shù)據(jù)庫服務(wù)器。 同時，DMZ服務(wù)器不應(yīng)該彼此談 或首次與外界的任何連接。這在一個簡單信任型號清楚地定 義了必要的數(shù)據(jù)流; 然而，我們經(jīng)常看型號不足夠被強制執(zhí) 行的這種。

設(shè)計員通常傾向于使用 一個共用段實現(xiàn)DMZs為所有服務(wù)器沒有對數(shù)據(jù)流的任何控制他們之 間。例如，所有服務(wù)器位于普通的VLAN。因為什么都 在同樣VLAN之內(nèi)不控制數(shù)據(jù)流，如果其中一個服務(wù)器被攻陷然后在 同一個分段可以使用同一個服務(wù)器來源攻擊對任何服務(wù)器和主機。 這清楚地實現(xiàn)展開端口重定向或應(yīng)用層攻擊的一個潛在入侵 者的活動。

一般，只用于防火墻和信 息包過濾器控制流入的連接，但是什么都通常沒有完成從DMZ限制被 發(fā)起的連接。一些時間前有允許入侵者通過發(fā)送HTTP流開始X 終端仿真程序會話的cgi-bi腳本的一個著名的弱點; 這是應(yīng) 該由防火墻允許的數(shù)據(jù)流。如果入侵者足夠幸運，他或她可 能使用另一種款待得到根提示，典型地緩沖溢出攻擊。這類 問題可以通過強制執(zhí)行一個適當(dāng)信任模式避免的大多時代。首先，服務(wù)器不應(yīng)該彼此談，并且不應(yīng)該于這些服務(wù)器其次發(fā)起連 接與外界。

同樣備注適用于許多其他 方案，去從所有正常不信任的分段至小型服務(wù)器站在應(yīng)用程序服務(wù) 提供商。

PVLANs和VACLs在Catalyst 交換機可幫助保證一個適當(dāng)信任模式。PVLANs將通過限制主 機的之間數(shù)據(jù)流幫助在一個共用段，而VACLs將通過提供對產(chǎn)生或被 注定的所有數(shù)據(jù)流的進一步控制貢獻給一個特定段。這些功 能在以下部分討論。

專用VLAN

PVLANs是可用的在運行CatcOs 5.4或以上，在 Catalyst 4000的Catalyst 6000，2980G、2980G-A、運行 CatcOs 6.2或以上的2948G和4912G。

從我們的透視圖，PVLANs是準(zhǔn)許分離數(shù)據(jù)流在把廣播分段的變成第 二層的一個工具(L2)一個非廣播multi-access-like分段。 交易在所有端口來自到交換機一個混亂端口(即是能轉(zhuǎn)發(fā)主要和輔助 VLAN)能出去屬于同樣主VLAN的端口。交易(它可以是查出， 屬性或者走向交換機自端口被映射對輔助VLAN 的雙向?qū)傩訴LAN)可 以轉(zhuǎn)發(fā)到屬于同一屬性VLAN 的一個混亂端口或端口。多個 端口映射對同樣隔離VLAN不能交換任何數(shù)據(jù)流。

以下鏡象顯示概念。

圖1：專用VLAN

498)this.style.width=498;" align=center vspace=1 border=1>

主VLAN在藍色 表示; 輔助VLAN在紅色和黃色表示。Host-1連接到屬 于輔助VLAN紅色交換機的端口。Host-2連接到屬于輔助 VLAN 黃色交換機的端口。

當(dāng)主機傳 輸時，數(shù)據(jù)流運載輔助VLAN。 例如，當(dāng)時Host-2傳輸，其數(shù) 據(jù)流在VLAN 黃色去。當(dāng)那些主機接受時，數(shù)據(jù)流來自VLAN 藍色，是主VLAN。

路由器和防火墻其 中連接的端口是混亂端口因為在映射能轉(zhuǎn)發(fā)數(shù)據(jù)流來自每個輔助 VLAN定義的那些端口并且主VLAN。端口連接到每主機能只轉(zhuǎn) 發(fā)來自主VLAN和輔助VLAN 的數(shù)據(jù)流配置在該端口。

圖畫表示專用VLAN作為連接路由器和 主機的不同的管道：包所有其他的管道是主VLAN (藍色)和數(shù) 據(jù)流在VLAN藍色從路由器流到主機。管道內(nèi)部對主VLAN是輔 助VLAN，并且移動在那些管道的數(shù)據(jù)流是從主機往路由器。

當(dāng)鏡象顯示，主VLAN能包一個或更多 輔助VLAN。

及早在本文我們說PVLANs 幫助在一個共用段之內(nèi)通過簡單保證主機的離析強制執(zhí)行適當(dāng)信任 模式。即然我們知道更多專用VLAN ，讓我們看見這在我們最 初的DMZ方案如何可以實現(xiàn)。服務(wù)器不應(yīng)該彼此談，但是他們 還是需要與他們被聯(lián)系的防火墻或路由器談。在這種情況下 ，當(dāng)應(yīng)該附有路由器和防火墻混亂端口時，應(yīng)該連接服務(wù)器到隔離 的端口。通過執(zhí)行此，如果其中一個服務(wù)器被攻陷，入侵者 不會能使用同一個服務(wù)器來源攻擊到另一個服務(wù)器在同一個分段之 內(nèi)。交換機將投下所有信息包以線速，沒有任何影響性能。

另一個注意事項是這種控制可以只是 被實施在L2設(shè)備因為所有切斷屬于相同子網(wǎng)。 沒什么每防火 墻或路由器能執(zhí)行因為切斷將設(shè)法直接地溝通。另一個選項 是投入一個防火墻端口每個服務(wù)器，但這是可能太消耗大，難實現(xiàn) 和不擴展。

在后面，我們詳細描述您能使用此功能的一些其他典型的方案。

VLAN訪問控制表

VACLs是可用的在運行 CatcOs 5.3或以后的Catalyst 6000系列。

VACLs在一臺Catalyst 6500可以配置在L2 沒有需要 對于路由器(您只需要Policy Feature Card (PFC))。他們在配置VACLs被強制執(zhí)行以線速那么那里是沒有影響性能在 Catalyst 6500。 因為VACLs查找在硬件執(zhí)行不管訪問控制列 表的大小，轉(zhuǎn)發(fā)速率保持不變。

VACLs可以分開被映射對主要或備用VLAN 。有在輔助VLAN配置的VACL準(zhǔn)許過濾主機產(chǎn)生的數(shù)據(jù)流沒有涉及路由 器或防火墻生成的數(shù)據(jù)流。

通過結(jié)合 VACLs和專用VLAN它是可能的對根據(jù)流量方向的過濾流量。例 如，如果二個路由器連接到分段和一些主機(例如服務(wù)器一樣)， VACLs在輔助VLAN可以配置以便主機生成的僅數(shù)據(jù)流被過濾當(dāng)數(shù)據(jù)流 被交換在路由器之間是未觸動過的時。

VACLs可以容易地配置強制執(zhí)行適當(dāng)信任模式。 請分析我們的DMZ案件。服務(wù)器在DMZ應(yīng)該服務(wù)僅流入 的連接，并且他們沒有預(yù)計首次與外界的連接。VACL可以適 用于他們的輔助VLAN為了控制離開這些服務(wù)器的數(shù)據(jù)流。注 意到是關(guān)鍵的，當(dāng)時使用VACLs ，數(shù)據(jù)流在硬件降低那么那里是對 路由器的CPU的沒有影響亦不交換機。在案件一個服務(wù)器在分 布拒絕服務(wù)(DDos)攻擊涉及作為來源，交換機將降低所有非法數(shù) 據(jù)流以線速，沒有任何影響性能。相似的過濾器在服務(wù)器在 哪里連接到的路由器或防火墻可以被應(yīng)用，但這通常有嚴重性能指 示。

VACLs 和PVLANs的已知限制

當(dāng)配置過濾用VACLs時，您在PFC應(yīng)該小心關(guān)于片段處理，根據(jù)硬件 的規(guī)格，并且那配置被調(diào)整。

假使 Catalyst 6500的Supervisor 1的PFC的硬件設(shè)計，明確地拒絕icmp 片段最好的。原因是互聯(lián)網(wǎng)控制信息協(xié)議(ICMP)片段和ECHO 回復(fù)由硬件認為同樣，默認情況下并且硬件被編程明確地允許片段 。如此如果想要從離開服務(wù)器終止回應(yīng)數(shù)據(jù)包，您必須用線 路deny icmp any any fragment 明確配置 此。配置在本文考 慮到此。

有一個著名的安全限制對 PVLANs，是可能性路由器轉(zhuǎn)發(fā)數(shù)據(jù)流來自的取消相同子網(wǎng)。路由器能發(fā)送數(shù)據(jù)流橫跨阻撓目的對于PVLANs的隔離的端口。 此限制歸結(jié)于事實PVLANs是提供隔離在L2的工具，不在第三 層(L3) 。

有修正到此問題，通過在 主VLAN配置的VACLs達到。案例分析提供在主VLAN需要配置到 下落數(shù)據(jù)流產(chǎn)生由相同子網(wǎng)和路由回到相同子網(wǎng)的VACLs。

在一些線路卡，PVLAN映射/映射/中 繼端口的配置是受多個PVLAN映射其中必須屬于不同的端口專用集成 電路的一些限制支配(ASIC)為了獲得配置。那些限制在新的 端口ASIC Coil3 被去除。參見軟件配置的最新的 Catalyst 交換機文檔的這些詳細資料。

示例分析

以下部分描述三個案例 分析，我們相信是多數(shù)實施代表并且給予詳細資料與PVLANs 和 VACLs的安全部署有關(guān)。

這些方案是 ：

轉(zhuǎn)接DMZ

外部DMZ

與防火墻并聯(lián) 的VPN集中器

轉(zhuǎn)接DMZ

這是其中一個最普通配置的方案。 在本例中 ，DMZ實現(xiàn)一個轉(zhuǎn)換區(qū)域在二個防火墻路由器之間如下圖所示的。

圖2：轉(zhuǎn)接 DMZ

498)this.style.width=498;" align=center vspace=1 border=1>

在本例中，DMZ服務(wù)器應(yīng)該由外部獲取并且內(nèi)部用戶，但他 們不需要與彼此聯(lián)絡(luò)。 在某些情況下，DMZ服務(wù)器需要打開 與一臺內(nèi)部主機的連接。同時，內(nèi)部客戶端應(yīng)該訪問互聯(lián)網(wǎng) 沒有限制。一個好例子將是那個帶有網(wǎng)絡(luò)服務(wù)器在DMZ，需要 與位于內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)庫服務(wù)器聯(lián)絡(luò)和有內(nèi)部的客戶端訪問互聯(lián)網(wǎng) 。

配置外部防火墻允許與服務(wù)器的 流入的連接位于DMZ，但通常過濾器或限制沒有被運用于流出的數(shù)據(jù) 流，于DMZ發(fā)起的特殊數(shù)據(jù)流。因為我們及早在本文討論，這 能潛在實現(xiàn)一名攻擊者的活動為二個原因： 第一個，當(dāng)其中 一臺DMZ主機被攻陷，其他DMZ主機顯示; 第二個，攻擊者能 容易地利用向外的連接。

因為DMZ服 務(wù)器不需要彼此談，推薦是確定他們查出在L2。而連接到二 個防火墻的端口將被定義如混亂，服務(wù)器端口將被定義作為PVLANs 隔離的端口。定義主VLAN為防火墻和輔助VLAN為DMZ服務(wù)器將 達到此。

將用于VACLs控制于DMZ發(fā) 起的數(shù)據(jù)流。 這將防止一名攻擊者能打開非法向外的連接。 記住DMZ服務(wù)器不僅將需要回復(fù)帶有對應(yīng)于客戶端會話的數(shù)據(jù) 流是重要的，但他們也將需要一些其它服務(wù)，例如域名系統(tǒng)(DNS)和 最大傳輸單元(MTU)(MTU)路徑發(fā)現(xiàn)。 如此，ACL應(yīng)該允許 DMZ服務(wù)器需要的所有服務(wù)。