午夜精品福利视频,亚洲激情专区,免费看a网站,aa毛片,亚洲色图激情小说,亚洲一级毛片,免费一级毛片一级毛片aa

IDC數(shù)據(jù)中心設備安全加固方法探析論文

時間:2023-05-04 23:13:10 論文范文 我要投稿
  • 相關推薦

IDC數(shù)據(jù)中心設備安全加固方法探析論文

  近幾年來, 互聯(lián)網(wǎng)數(shù)據(jù)中心在國內(nèi)發(fā)展迅猛, 與此同時互聯(lián)網(wǎng)安全事件也愈演愈烈, 數(shù)據(jù)中心安全事件的發(fā)生率呈指數(shù)上升趨勢。各種xxx攻擊軟件, 隱藏在服務器中的病毒, 以及網(wǎng)絡內(nèi)的僵尸主機, 都可能會成為網(wǎng)絡攻擊源。攻擊會導致網(wǎng)絡服務質(zhì)量下降導致網(wǎng)絡不可用, 嚴重影響運營商的品牌形象。在日趨嚴峻的網(wǎng)絡安全形勢面前, 需要盡可能地提高網(wǎng)絡健壯性, 有效抑止一些常見的攻擊和病毒, 降低安全事件發(fā)生的概率和影響程度。

IDC數(shù)據(jù)中心設備安全加固方法探析論文

  目前針對數(shù)據(jù)中心基礎架構(gòu)的網(wǎng)絡攻擊和網(wǎng)絡病毒主要有以下幾類:一類是攻擊直接針對網(wǎng)絡設備, 造成網(wǎng)絡設備處理器和內(nèi)存資源大量消耗, 使得網(wǎng)絡性能收到影響, 甚至中斷;另一類是采用大數(shù)據(jù)包的攻擊, 使網(wǎng)絡帶寬擁塞, 影響網(wǎng)絡的性能;還有一類是采用小數(shù)據(jù)包的攻擊, 造成網(wǎng)絡設備三層轉(zhuǎn)發(fā)負載加重, 使設備性能降低, 影響網(wǎng)絡性能。

  結(jié)合筆者十多年的數(shù)據(jù)中心建設維護和安全防御經(jīng)驗, 提出從技術上建立數(shù)據(jù)中心網(wǎng)絡配置標準, 對設備進行安全加固。通過對網(wǎng)絡安全體系的各個安全環(huán)節(jié)、各個保護對象的防御措施等方面的均衡, 提高IDC整體防護能力, 降低上述幾種攻擊模式對數(shù)據(jù)網(wǎng)絡的沖擊, 實現(xiàn)網(wǎng)絡整體安全水平的提高。

  1 IDC數(shù)據(jù)中心設備進行安全加固

  主要實施對象是機房網(wǎng)絡設備, 通過對設備自身的安全加固, 提升網(wǎng)絡的自我防護能力, 加強重點設備的抗攻擊能力, 提高網(wǎng)絡的生存性和可用性。

  1.1 通用性安全配置要求

  為保證IDC內(nèi)數(shù)據(jù)安全, 建議對機房內(nèi)各設備按照如下安全配置要求進行策略部署:

 。1) 設備端口安全管理

  對于網(wǎng)絡設備的服務端口遵循最小化原則, 關閉不必要的應用端口和服務, 主要包括如下內(nèi)容:關閉IP直接廣播;關閉控制平面未使用的服務, 如代理ARP、IP源路由;關閉不使用的管理平面服務:Bootp, Finger、PAD、CDP, DHCP, 小TCP/UDP等, 對于不使用Web方式管理的網(wǎng)絡設備關閉其HTTP服務, 對于必須啟用WEB管理的設備, 需通過訪問控制列表進行訪問限制。

 。2) 設備認證控制和密碼管理

  設備采用集中認證方式, 通過Radius或者Tacacs+認證模式登錄, 由認證服務器對維護操作人員進行認證授權(quán), 用戶權(quán)限遵循最小授權(quán)原則, 在設備增加本地賬戶, 作為認證服務器失效時的備用管理賬號。對于所有的設備配置中登錄密碼, 必須使用加密顯示, 控制臺接口必須啟用密碼保護功能。認證服務器可將相關的認證授權(quán)操作信息送到安全管理平臺。

  不允許使用系統(tǒng)缺省配置的用戶和口令, 應給網(wǎng)管人員配置各自的用戶名和口令, 做到個人賬號專人專用, 建議每三個月進行一次密碼更新, 口令要求不少于8個字符, 口令使用大寫字母、小寫字母、數(shù)字、標點及特殊字符四種字符中至少三種的組合, 口令以加密方式存儲。網(wǎng)管人員離職、崗位調(diào)動必須通過相應的管理流程對其賬號、密碼進行刪除。

 。3) 設備訪問限制

  在網(wǎng)絡設備上限定只允許網(wǎng)管地址網(wǎng)段能實現(xiàn)和設備之間的管理通信;限定設備登錄的并發(fā)連接數(shù), 限定登錄最大連接時長, 對于支持SSH模式的設備, 一律采用SSH方式進行遠程訪問。需要外網(wǎng)操作的設備, 建議采用VPN方式登錄到網(wǎng)管中心, 然后通過網(wǎng)管中心作為跳板進行設備訪問。為加強跳板的可用性, 可以采用主備冗余方式。

  (4) 設備關鍵資源保護

  使用RACL和COPP等類似技術部署設備控制卡板的防護策略, 對設備處理能力進行保護, 增強設備本身的安全性。

 。5) 路由安全

  對于啟用動態(tài)路由的設備, 要求在建立鄰接關系時使用MD5算法加密, 保證路由信息的可信度。對于無需參與動態(tài)路由計算的端口, 建議配置為被動接口。對于多跳EBGP互聯(lián)鄰居, 為避免路由震蕩和攻擊, 在確定路由跳數(shù)的情況下, 應啟用BGPTTLsecurity-check功能。與用戶通過BGP互連時, 在EBGP鄰接上使用AS-PATH嚴格匹配對方廣播的路由, 并使用IP prefix-list過濾缺省和私有路由, 原則上只接收掩碼為/24或以內(nèi)等路由。

 。6) 服務質(zhì)量配置要求

  與信任域進行對接時, 如對方服務質(zhì)量 (QOS) 標記規(guī)則與網(wǎng)內(nèi)不一致, 在對接處需要按照流量標記對應關系對每類流量進行標記重置, 對非信任域的所有流量的標記應重置為0.

 。7) 時間同步和流量監(jiān)控

  機房網(wǎng)絡設備必須采用網(wǎng)絡時間協(xié)議 (NTP) 方式實現(xiàn)時間同步。全網(wǎng)設備使用統(tǒng)一的時間服務器, 在服務器上通過訪問控制列表對客戶端接入限制。要求機房內(nèi)設備都啟用簡單網(wǎng)絡管理協(xié)議 (SNMP) 來監(jiān)控端口流量, 應只采用只讀模式, 同時要求設備只允許網(wǎng)管網(wǎng)絡的網(wǎng)段來讀取流量, 共同體字串建議采用強口令要求長度8位以上, 包含特殊字符、大小寫和數(shù)字。要求網(wǎng)管軟件能對端口流量設置基線, 當端口流量嚴重超過基線時能發(fā)出告警。

 。8) 設備日志要求

  設備必須配置日志功能, 其中必須包括設備訪問、配置、狀態(tài)等安全相關事件的來源、時間、描述等信息內(nèi)容, 并對高風險的事件產(chǎn)生告警;將設備產(chǎn)生的日志信息發(fā)送至日志服務器;為了保障日志信息的安全性, 必須嚴格限制設備日志發(fā)送的目的設備。對于接入層設備, 要求日志服務器保存至少3個月的原始設備日志;對于匯聚層以上設備, 要求保存至少6個月原始設備日志。系統(tǒng)日志可通過接口將相關的日志信息送到安全管理平臺。

  1.2 核心層設備特殊配置要求

  核心層設備主要實現(xiàn)數(shù)據(jù)報文的高速轉(zhuǎn)發(fā), 在安全方面的措施主要目的是為了保障設備正常穩(wěn)定的運行, 除了一些通用性要求之外還要求核心層設備實施以下安全措施。

  核心設備的重要部件、模塊實現(xiàn)冗余, 即主控單元1:1備份, 交換單元N:1備份, 電源風扇冗余。核心層設備間建議使用全網(wǎng)狀連接模式。啟用Netflow功能實施流量分析和建立流量基線。配置主備日志服務器。與城域網(wǎng)互聯(lián)的出口路由器需要做路由聚合, 只向城域網(wǎng)發(fā)布城域聚合路由, 原則上掩碼在/25以內(nèi) (如:/21、/20、/19等掩碼的路由) .

  1.3 匯聚層設備特殊安全配置要求

  匯聚層設備可實施較全面的安全策略, 建議除滿足基本安全配置要求外使用如下策略:

 。1) 端口過濾

  禁止常見及危害程度較大的病毒、木馬常用端口, 主要如下:

 。2) 源路由監(jiān)測和流量分析

  設備上啟用單播反向路由查找 (URPF) 功能, 防范假冒源地址攻擊;啟用Netflow功能, 實施流量分析。

 。3) ICMP控制

  建議對ICMP流量進行限制, 僅允許通過一些必須的ICMP報文, 包括ICMP-echo、ICMPecho-reply、ICMPpacket-too-big、ICMPsource-quench、ICMPtime-exceeded、ttl-exceeded、port-unreachable.建議對ICMP協(xié)議的echo、echo-reply流量限制為700K/S;建議對ICMP協(xié)議ttl-exceeded、port-unreachable和packet-too-big流量限制為500K/S;建議對Traceroute所用的UDP協(xié)議, 端口范圍從33434到33678流量限制為500K/S/路由器。

  (4) 非法地址過濾

  1.4 接入層設備特殊安全配置要求

  接入層設備連接用戶網(wǎng)絡和運營商網(wǎng)絡, 是實現(xiàn)安全過濾的第一道防線, 建議在用戶接入層面除了配置上述通用策略外, 實施以下安全策略:

  首先在接入設備側(cè)針對用戶接入端口實施限速策略, 其次在接入設備側(cè)針對用戶接入端口實施廣播包速率抑制, 最后在用戶接入端口啟用MAC數(shù)量限制策略。對于接入用戶應盡可能實現(xiàn)PUPV, 減少用戶之間的干擾。對于接入用戶群中必須通過同一VLAN承載的業(yè)務, 盡量采用私有VLAN等端口隔離技術進行用戶間隔離, 避免用戶之間的相互干擾。

  2 網(wǎng)絡設計安全要求

  對于網(wǎng)絡建設設計需要遵循一定的安全配置要求, 保障網(wǎng)絡的高可用性, 主要包括以下方面:地址統(tǒng)一規(guī)劃, 體現(xiàn)網(wǎng)絡層次性, 有利于路由的組織。要求路由設計具備較高的可用性和擴展性。匯聚層及以上設備必須使用雙鏈路上聯(lián), 實現(xiàn)鏈路備份和負載均衡。

  設備選型優(yōu)先選擇支持NSF/SSO/ISSU功能的設備, 應考慮部署防火墻、流量清洗等安全設備。當安全設備性能不足以保護整個機房網(wǎng)絡時, 采用旁掛在核心設備側(cè)方式, 當被攻擊時采用路由引流模式將攻擊流量導引到安全設備進行處理。安全設備應該具備防應用層DDOS攻擊能力, 應用層DDOS攻擊一般消耗很小的帶寬, 而特性更加隱秘, 比如不斷與服務器上的應用建立連接, 從而耗盡應用的表項空間等資源, 導致正常的用戶無法連接。針對大流量流量, 應該考慮購買運營商的防DDOS服務, 將攻擊流量進入機房前導引到城域網(wǎng)防DDOS平臺進行清洗。

  3 結(jié)束語

  本文在目前網(wǎng)絡安全理論基礎上, 提出一種對IDC機房網(wǎng)絡設備建立配置安全基線, 進行網(wǎng)絡安全加固的方案。本方法已經(jīng)在中國電信上海分公司上海熱線機房、真西北機房、海量存儲機房、全華機房、市北機房采用。實際運行結(jié)果表明, 采用本方法后機房網(wǎng)絡設備安全故障率和影響業(yè)務時間均有較大程度減少。同時, 本文的結(jié)果也適應于在不同場景下的運營商網(wǎng)絡設備安全加固。

【IDC數(shù)據(jù)中心設備安全加固方法探析論文】相關文章:

淺談公路危橋的加固方法論文04-30

安全進行化學實驗教學方法探析論文05-02

中小橋梁加固措施探析04-26

工程軟弱地基塔吊綜合加固方法論文05-01

現(xiàn)代漢語造詞方法探析的論文04-27

幼兒安全教育探析論文05-02

淺談砌體結(jié)構(gòu)的加固方法04-28

橋梁加固的方法與方案選擇04-27

橋梁的抗震檢測與加固方法05-02

淺談頂進橋施工中軌道的加固方法論文05-03