思科公司制定的面向企業網路的安全藍圖(SAFE)的主要目標是,為用戶提供有關設計和實施安全網路的最佳實踐信息。SAFE可作為正考慮其網路安全性要求的網路設計人員的指南。SAFE在網路安全設計方面採用了深入防禦的方式。這類設計的重點在於所預測出的威脅及減輕威脅的方法,而不是單純地“將防火牆放在這兒,將入侵檢測系統放在那兒”等。該策略帶來了一種安全分層方式,這樣,一個安全系統的故障就不大可能引發對整個網路資源的損壞。SAFE以思科及其合作夥伴的產品為基礎。
設計原則
SAFE最大限度地模擬了當今企業網路的功能需求。實施決策取決於所需的網路功能。而以下按重要順序列出的設計目標則是決策制訂過程的指導準則:
1 安全性和基於政策的攻擊緩解
2 整個基礎設施的安全實施(而非僅為具體安全設備)
3 安全性管理和報告
4 對關鍵網路資源的用戶和管理員驗證與授權
5 針對關鍵資源和子網的入侵檢測
6 對新興聯網套用的支持
7 模組概念
儘管大多數企業網路隨企業不斷提高的IT要求而發展,SAFE體系結構使用了環保型的模組化方式。模組化方式有兩種主要優勢。首先,它允許體系結構實現網路各功能塊間的安全關係,其次,它讓設計者可逐個模組地評估和實施安全性,而非試圖在一個階段就完成整個體系結構。
圖1 SAFE第一層模組
圖1為SAFE的第一層模組。每塊代表一個功能區域。網際網路接入服務供應商(ISP)模組不由企業實施,而是用於提供ISP為緩解某些攻擊而可能需要的特定安全功能。
第二層模組如圖2所示,對每個功能區中的模組進行了展示,這些模組在網路中扮演特定角色,有特定的安全需求,但圖中模組規模並不代表其在實際網路中的大小。例如,代表最終用戶設備的構建模組可能包括80%的網路設備。每個模組的安全設計單獨描述,但作為整個企業設計的一部分加以驗證。
圖2 企業SAFE分塊構成圖
SAFE準則
路由器目標
路由器控制網路間接入。它們向網路廣播信息並過濾可以使用它們的人,它們是黑客潛在的最好朋友。路由器安全性是安全部署中的關鍵元素。可參考其他有關路由器安全性的檔案。這些檔案提供了有關下列方面的更多細節:
遠程通信網到路由器的接入; 簡單網路管理協定(SNMP)到路由器的接入; 通過使用終端接入控制器接入控制系統+(TACACS+)來控制到路由器的接入; 關閉不需要的服務; 以適當級別登錄;路由更新的驗證。
交換機目標
和路由器一樣,交換機(第2層和第3層)有自己的一套安全考慮。而與路由器不同的是,有關交換機安全風險及為減輕這些風險而應採取的措施的公開信息並不十分豐富。上一部分“路由器目標”中描述的大多數安全技術均適用於交換機。此外,您應採取以下預防措施:
1 無需中繼的連線埠應將中繼設備置於關閉而非自動。
2 確保中繼連線埠使用的虛擬LAN (VLAN)號不會在交換機中的其他地方使用。
3 將交換機上所有未用連線埠設定為第3層連線的VLAN。
4 避免將VLAN用作保護兩個子網間接入的唯一方式。
主機目標
主機在攻擊中最有可能成為目標,從安全形度來講,也是最難保護的。它們有眾多的硬體平台、作業系統和套用,均在不同的時間段要升級、補丁和修復。因為主機向提出請求的其他主機提供套用服務,它們在網路中是高度可視的。
為保護主機,就必須密切注意系統中的每個組件。使系統保持與最新補丁、修復等的同步。此外,要注意這些補丁對其他系統組件的運行有所影響,在對生產環境實施升級前,在測試系統上對其進行評估。如不這樣做,補丁本身就可能導致拒絕服務(DoS)。
網路目標
最糟的攻擊是您無法中止的攻擊。分散式拒絕服務(DDoS)正是這樣一種攻擊。通過與其ISP合作,用戶才有希望挫敗這類攻擊。ISP可配置對該公司網站輸出接口的速率限制。
限制這類攻擊的方法之一是遵循RFC1918和RFC2827中列出的指導。RFC1918定義了保留專用且永遠不應在公共網際網路上看到的網路。對於與網際網路相連的路由器上的輸入信息流,您可採用RFC1918和2827過濾來防止未授權信息流進入公司網路。在ISP實施後,該過濾能防止DDoS攻擊使用這些地址作為流經WAN鏈路的源地址的信息包,從而在攻擊期間潛在地節約了頻寬。總之,如果全球的ISP均採取了RFC2827中的指導措施,源地址電子欺騙就會大大減少。此策略並未直接防止DDoS攻擊,而是防止這類攻擊破壞其源地址,這就會使跟蹤所攻擊網路更方便。
套用目標
套用(大多數時)是由人編寫的,因此易於發生更多錯誤。這些錯誤可以是輕微的——如導致您檔案錯誤列印的一個錯誤,也可以是惡意的——如使您信用卡號碼經由異步FTP在資料庫伺服器上公布。入侵檢測系統(IDS)旨在發現惡意問題,以及其他更常見的安全漏洞。思科建議將NIDS與HIDS系統組合起來——關鍵主機上設定HIDS、整個網路採用NIDS——來實現全面的入侵檢測系統。
安全管理和報告
從體系結構的角度來說,提供網路系統的帶外管理是適用於所有管理和報告策略的最好的第一步。設備應儘可能地與這樣一個網路建立直接本地連線,在無法實現的情況下(由於地理原因或系統相關問題),設備應經由生產網路上的一條專用加密隧道與其連線。確保帶外網路自身不會帶來安全問題。
大多數聯網設備可以傳送系統日誌數據,這些數據在對網路問題或安全威脅進行糾錯時極為重要。管理還指除記錄和報告外,管理員對某一設備所執行的功能,可進行安全配置。鑒於底層協定有自身的安全漏洞,應最為小心地處理SNMP。配置變更管理是另一個與安全管理相關的問題。當一個網路處於攻擊下,重要的是了解主要網路設備的狀態以及所知道的最後一次修改發生的時間。