选择区域语言: EN CN HK

H3C园区交换机安全融合最佳实践-6W100

手册下载

H3C园区交换机安全融合最佳实践

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。



交换机安全融合方案介绍

1.1  产生背景

近些年来,全球越来越多的企业借助以云计算、大数据、物联网为代表的新兴技术来运营自身业务,新一代信息系统成为激发企业业务转型和快速发展的核心要素。数据成为企业业务稳定运营的关键,企业重要的核心资产正在由固定资产向数据资产转移。

2016-2017年期间,全球知名公司(如雅虎、LinkedInMyspace等)的大量用户信息泄露,多家跨国银行由于SWIFT系统漏洞导致损失巨款,Wannacry勒索病毒导致全球多家企业级用户的业务由于数据被加密无法运营而被迫关停。这些网络攻击事件的共同特征是迅速、智能、隐蔽。传统的信息安全防御体系形同虚设,企业级用户的信息系统正面临着严峻的安全挑战。传统边界设备的安全防护,无法抵御和检测未知威胁,也无法快速阻断威胁的扩散,全网智能安全协防需求迫在眉睫。

交换机安全融合方案将交换机网络设备、安全插卡和H3C CSAP网络安全态势感知平台相结合,彼此协同工作,为网络提供全方位的保护,实现企业网络流量可视、行为可知、威胁可控。

1.2  安全防护思路

交换机安全融合方案的安全防护思路为:

·            交换机直接将日志信息发送给网络安全态势感知平台,或通过安全插卡分析流量、提取会话后,将日志信息发送给网络安全态势感知平台。

·            网络安全态势感知平台通过对接收到的日志信息进行多维度、深层次的应用协议识别与内容解析,结合大数据智能分析,对网络流量状况、业务服务质量、网络访问行为等方面进行呈现,并结合安全威胁分析模型和异常告警通知,协助企业主动发现潜在的未知网络威胁。

交换机安全融合方案既可以监控内外网之间的流量,也可以监控网络内部流量,实现对网络的全方位保护。该方案适用于流量较少的中小型网络。在流量较庞大的大型网络中,建议同时部署流量探针等安全设备对内外网之间的流量进行安全监控。

1.3  安全防护机制

交换机安全融合方案采用接入、汇聚和核心三层网络模型,在各个层面都需要部署安全措施,与网络安全态势感知平台相互配合,共同监测网络安全状态。

图1 交换机安全融合组网模型

 

1.3.1  接入层安全防护机制

接入层主要负责用户接入认证。

接入层设备将网络安全态势感知平台配置为日志服务器,将设备操作、设备登录、设备告警等日志信息发送到网络安全态势感知平台,在该平台上呈现日志信息,从而实现对接入设备的安全监控。

网络安全态势感知平台可以实时监控通过安全认证接入网络的主机信息,以防止某些非法主机访问网络,同时可以监控设备上的其他告警日志,方便接入设备的维护。

1.3.2  汇聚层安全防护机制

汇聚层设备通常作为主机和接入设备的网关。

汇聚层设备将内网流量引流到防火墙插卡,防火墙插卡对流量进行安全分析和处理后,将安全日志信息发送到网络安全态势感知平台进行日志呈现和流量分析,从而实现对内网流量的安全监控管理。

网络安全态势感知平台通过监控和分析内网用户行为,可以对用户的外部文件传送、HTTP访问、Email邮件发送等行为进行安全审计,找到不同行为之间的关联,对潜在的用户异常行为进行挖掘和判断,确保安全合规、信息不会泄露。

同时,网络安全态势感知平台建立网络流量的多种流量基线,通过对多维度实时流量的监控,可以有效发现网络中的异常攻击流量,以及DDOS和蠕虫病毒等攻击信息,提升对流量攻击的风险把控和防御。

1.3.3  核心层安全防护机制

核心层是比较重要的网络位置,是外网流量进入内网的第一个入口,需要重点监控。

核心层设备将流量引流到NetStream安全插卡,NetStream安全插卡对流量进行会话统计,并以会话日志的形式将流量相关信息发送给网络安全态势感知平台,网络安全态势感知平台分析会话日志,从而判断网络中是否存在威胁。

网络安全态势感知平台通过对核心资产和关键业务的流量和行为日志进行分析,聚焦资产或业务的状态监控、性能监控、配置基线管理、运维告警和故障诊断,实时呈现全网的拓扑结构。同时,对核心资产和关键业务进行实时监控,呈现资产运转情况,全面感知和监控资产的运营状态和安全指数,为运维决策和联动响应提供可视化的呈现和简易化的操作。

1.4  设备部署及日志呈现方式

1.4.1  接入层设备部署及日志呈现方式

接入层设备将日志信息发送到网络安全态势感知平台,实现对接入设备上认证用户信息及接入设备运行情况的监控。

1. 接入层设备上的关键配置

在接入层设备上,需要将网络安全态势感知平台配置为日志服务器。配置方法为:

(1)       配置设备的时间,确保接入层设备与安全态势感知平台路由的时间一致。

a.   配置系统时间。

clock datetime time date

b.   进入系统视图。

system-view

c.   配置系统所在的时区。

clock timezone zone-name { add | minus } zone-offset

缺省情况下,系统所在的时区为零时区,即设备采用UTC时间。

(2)       开启信息中心功能。

info-center enable

缺省情况下,信息中心处于开启状态。

(3)       (可选)配置发送日志信息时使用的源IP地址。

info-center loghost source interface-type interface-number

缺省情况下,使用出接口的主IP地址作为发送的日志信息的源IP地址。

本配置中指定的源IP地址需要与网络安全态势感知平台上指定的日志源的IP地址相同。

(4)       配置日志主机及相关参数。

info-center loghost [ vpn-instance vpn-instance-name ] { hostname | ipv4-address } [ port port-number ] [ dscp dscp-value ] [ facility local-number ] [ filter filter-name ]

缺省情况下,未配置日志主机及相关参数。

ipv4-address需要指定为网络安全态势感知平台被动采集器的IP地址

2. 网络安全态势感知平台上的关键配置

在网络安全态势感知平台中将接入层设备配置为被动采集日志源并关联采集器,采集器将采集设备上的日志数据并上报给网络安全态势感知系统。具体配置方法为:

(1)       选择“配置管理 > 日志源配置 > 日志源管理 > 被动”进入被动采集日志源页面,单击<新增>按钮,将接入层设备配置为日志源。

图2 新增被动采集日志源

 

参数说明:

¡  名称:日志源的唯一标识,长度为140个字符。

¡  IP:日志源的IPv4地址。

¡  设备类型:日志源设备类型。

¡  生产厂商:日志源设备的生产厂商。

¡  设备型号:日志源设备型号。

¡  采集器名称:与日志源关联的采集器名称,负责接收从此日志源上报的日志数据。

¡  采集器IP:与日志源关联的采集器的IP地址,该字段自动关联不需要配置。

(2)       在新增日志源页面单击<添加>按钮,配置需要上报的日志的相关参数。

图3 添加端口信息

 

参数说明:

¡  日志类型:需要采集日志类型。

¡  端口:采集器从该端口接收日志源上报的日志数据。

¡  字符集:日志的编码方式。

¡  例外:选择某类日志为例外时,采集器将不上报该类日志给态势感知系统,默认上报所有日志。

3. 网络安全态势感知平台呈现设备日志

网络安全态势感知平台接收到日志源上报的日志后进行综合分析,并在“日志报表”中分类展示,也可以在【日志检索】中查看原始日志。

网络安全态势感知平台将交换机上的日志信息分为两类:

·            操作日志:

¡  正常指令操作日志,可在“日志检索 > 操作日志 > 配置日志”查看;

¡  不可识别操作指令,可在“日志检索 > 操作日志 > 其他”查看;

¡  设备登录退出日志,可在“日志检索> 操作日志 > 登录日志”查看。

·            系统日志:

用户认证日志、设备端口UP/Down和设备内存泄漏等告警日志可在“日志检索 > 系统日志”页面查看。

4所示,在系统日志下可以看到设备告警和故障类信息。

图4 系统日志示例

 

1.4.2  汇聚层设备部署及日志呈现方式

汇聚层交换机连接防火墙插卡,将网络流量引入到防火墙插卡,通过防火墙插卡对流量进行初步分析和处理后,将分析结果发送到网络安全态势感知平台进行呈现。

1. 汇聚层设备上的引流方式配置

汇聚层设备通过策略路由将流量引入到防火墙插卡。

图5 汇聚层部署方式组网示意图

 

5为例,在该组网环境中,汇聚层交换机设备将上行、下行的所有IP流量分别通过Ten-GigabitEthernet1/1/1接口和Ten-GigabitEthernet1/1/2接口引流到防火墙插卡。配置方式为:

(1)       创建高级ACL,匹配所有IP报文。

<Switch> system-view

[Switch] acl advanced 3000

[Switch-acl-ipv4-adv-3000] rule 1 permit ip

[Switch-acl-ipv4-adv-3000] quit

(2)       创建策略路由up-streamdown-stream,分别将IP流量转发到防火墙插卡的Ten-GigabitEthernet1/1/1接口和Ten-GigabitEthernet1/1/2接口

[Switch] policy-based-route up-stream permit node 1

[Switch-pbr-up-stream-1] if-match acl 3000

[Switch-pbr-up-stream-1] apply next-hop 172.16.1.2

[Switch-pbr-up-stream-1] quit

[Switch] policy-based-route down-stream permit node 1

[Switch-pbr-down-stream-1] if-match acl 3000

[Switch-pbr-down-stream-1] apply next-hop 172.16.2.2

[Switch-pbr-down-stream-1] quit

(3)       在上行、下行接口上应用策略路由。

[Switch] interface vlan-interface 10

[Switch-Vlan-interface10] ip policy-based-route down-stream

[Switch-Vlan-interface10] quit

[Switch] interface vlan-interface 20

[Switch-Vlan-interface20] ip policy-based-route up-stream

[Switch-Vlan-interface20] quit

2. 防火墙插卡上的关键配置

(1)       为防火墙插卡与交换机的内联口Ten-GigabitEthernet1/0/1Ten-GigabitEthernet1/0/2配置IP地址。具体配置过程略。

(2)       配置防火墙插卡的管理口GigabitEthernet1/0/1,并配置路由,确保管理口与安全态势感知平台路由可达。具体配置过程略。

(3)       配置系统时间,确保防火墙插卡与安全态势感知平台的时间一致。

<Firewall> clock datetime 09:43:10 2019/07/02

<Firewall> system-view

[Firewall] clock timezone beijing add 08:00:00

(4)       配置日志主机的地址为安全态势感知平台被动采集器的地址。

[Firewall] info-center loghost 10.114.211.188

(5)       安全策略和安全防护功能配置

安全策略和安全防护的配置在防火墙的Web页面上进行。本文简单列举部分Web配置页面,详细配置请参考安全产品防火墙插卡配置手册。

a.   登录设备

图6 登录设备界面

 

b.   配置安全策略

图7 安全策略界面

 

图8 新建安全策略界面(1

 

图9 新建安全策略界面(2

 

c.   配置入侵防御功能

图10 新建入侵防御配置文件界面(1

 

图11 新建入侵防御配置文件界面(2

 

d.   配置防病毒功能

图12 新建防病毒配置文件界面

 

e.   配置攻击防范功能

图13 攻击防范策略

 

图14 扫描防范配置界面

 

图15 泛洪防范配置界面

 

图16 知名单包攻击防范界面

 

3. 网络安全态势感知平台上的关键配置

H3C CSAP网络安全态势感知系统中将防火墙插卡配置为被动采集日志源并关联采集器,采集器将采集防火墙插卡上的日志数据并上报给网络安全态势感知平台。具体配置方法请参见“1.4.1  2. 网络安全态势感知平台上的关键配置”。

4. 安全态势呈现安全日志

防火墙插卡将IPSAV日志、攻击防范日志等安全类日志上报到网络安全态势感知平台后,态势感知平台将对原始日志进行聚合和关联分析,并以安全事件的形式进行展示。用户可在“日志报表”、“综合态势”、“安全事件分析”查看详细信息。

(1)       安全类攻击日志上报态势感知平台后,可在“日志报表 > 日志检索 > 威胁日志”各子日志分类中查看。

(2)       安全事件分析从多种维度统计并展示全局风险:

¡  安全事件类型分布

¡  安全事件严重级别分布

¡  安全事件影响的资产类型分布

¡  TOP10待处理安全事件

¡  安全事件数量趋势图

(3)       综合态势从攻击和威胁维度展示全网安全态势

图17 攻击态势页面展示

 

图18 威胁态势页面展示

 

1.4.3  核心层设备部署及日志呈现方式

核心层设备连接NetStream安全插卡,将网络流量引入到NetStream安全插卡。NetStream安全插卡将流量转换成双向流表并进行应用层分析后,以日志的形式将分析结果发送给网络安全态势感知平台进行网络安全状况的呈现。

1. 核心层设备上引流方式的配置

核心层设备采用镜像方式将流量镜像到NetStream安全插卡。配置方式如下:

(1)       进入系统视图。

system-view

(2)       创建本地镜像组。

mirroring-group group-id local [ sampler sampler-name ]

(3)       将上行和下行接口配置为本地镜像组的源端口。

¡  在系统视图下为本地镜像组配置源端口。

mirroring-group group-id mirroring-port interface-list { both | inbound | outbound }

缺省情况下,未为本地镜像组配置源端口。

¡  依次执行以下命令,在接口视图下配置源端口。

interface interface-type interface-number

mirroring-group group-id mirroring-port { both | inbound | outbound }

缺省情况下,未配置当前端口为本地镜像组的源端口。

(4)       将连接NetStream安全插卡的端口配置为本地镜像的目的端口。

¡  在系统视图下配置目的端口。

mirroring-group group-id monitor-port interface-list

缺省情况下,未为本地镜像组配置目的端口。

¡  依次执行以下命令,在接口视图下配置目的端口。

interface interface-type interface-number

mirroring-group group-id monitor-port

缺省情况下,未配置当前端口为本地镜像组的目的端口。

提示

网络流量较大时,建议采用流镜像方式,通过ACL控制镜像流量粒度,只镜像需要进行安全监控的流量,从而减轻设备压力。

 

2. NetStream安全插卡上的关键配置

(1)       配置NetStream安全插卡的管理口,并配置路由,保证管理口与安全态势感知平台路由可达。具体配置过程略。

(2)       配置设备的时间,确保NetStream安全插卡与安全态势感知平台路由的时间一致。

a.   配置系统时间。

clock datetime time date

b.   进入系统视图。

system-view

c.   配置系统所在的时区。

clock timezone zone-name { add | minus } zone-offset

缺省情况下,系统所在的时区为零时区,即设备采用UTC时间。

(3)       配置基于会话的NetStream功能。

a.   开启基于会话的NetStream功能。

session-based netstream enable

缺省情况下,基于会话的NetStream功能处于关闭状态。

b.   配置基于会话的NetStream的聚合方式。

session-based netstream aggregation { app | app-interface | app-profile | app-user | app-zone | session } *

缺省情况下,未配置任何基于会话的NetStream的聚合方式。

c.   配置基于会话的NetStream输出报文的目的地址和目的UDP端口号。

session-based netstream export host ip-address udp-port [ vpn-instance vpn-instance-name ]

缺省情况下,未配置基于会话的NetStream输出报文的目的地址和目的UDP端口号。

基于会话的NetStream输出报文的目的地址需要配置为安全态势感知平台被动采集器的地址。

(4)       开启软件快速转发的会话统计功能。

session statistics enable

(5)       配置会话日志功能。

a.   NetStream安全插卡与核心层交换机的内联口上开启会话日志功能。

session log enable { ipv4 | ipv6 } [ acl acl-number ] { inbound | outbound }

缺省情况下,会话日志功能处于关闭状态。

b.   (可选)配置输出会话日志的流量阈值。

session log { bytes-active bytes-value | packets-active packets-value }

缺省情况下,未配置输出会话日志的流量阈值。

c.   (可选)开启删除会话日志功能。

session log flow-end

缺省情况下,删除会话日志功能处于关闭状态。

(6)       配置快速日志功能。

a.   开启会话快速日志输出功能。

customlog format session

缺省情况下,快速日志输出功能处于关闭状态。

b.   配置快速日志输出参数。

customlog host [ vpn-instance vpn-instance-name ] { hostname | ipv4-address } [ port port-number ] export session

缺省情况下,未配置快速日志输出参数。

本命令中的日志主机地址需要指定为安全态势感知平台被动采集器的地址。

3. 网络安全态势感知平台上的关键配置

在网络安全态势感知平台中NetStream插卡配置为被动采集日志源并关联采集器,采集器将采集NetStream安全插卡上的日志数据并上报给网络安全态势感知系统。具体配置方法请参见“1.4.1  2. 网络安全态势感知平台上的关键配置”。

4. 安全态势呈现安全日志

NetStream安全插卡将流量日志上报到网络态势感知系统后,系统将对原始日志进行聚合和关联分析,并将分析结果在流量分析页面进行展示。

(1)       流量日志展示

¡  会话日志信息:可在“日志报表 > 日志检索 > 流量日志 > 会话日志”页面查看。

¡  聚合日志信息:可在“日志报表 > 日志检索> 流量日志 > 聚合日志”页面查看。

(2)       流量日志分析展示和分析

¡  可视化大屏查看流量态势信息。

图19 流量行为监测中心大屏展示

 

¡  在“流量分析”中查看全网流量情况,包括互联网流量分析、内网流量分析和异常流量分析。

安全融合方案推荐的设备型号

1. 接入层设备推荐

园区接入所有交换机款型均可,推荐使用S5130S-EI系列弱三层交换机。

2. 汇聚层设备推荐

园区接入所有支持防火墙插卡的款型均可,推荐使用S5560X-EI系列交换机。

防火墙插卡型号

S6520X-HI系列

S6520X-EI系列

S6520X-SI系列

S5560X-EI系列

LSPM6FWD

3. 核心层设备推荐

推荐使用支持NetStream安全插卡的框式交换机。

NetStream安全插卡型号

S7500E系列

S7500X系列

S7000E系列

S7600系列

S12500-S系列

S10500系列

S7600-X系列

S7500E-X系列

S10500X系列

LSUM1NSDEC0

×

×

×

×

LSQM1NSDSC0

×

 

说明

·         S12510-SS10510S7610-XS7510E-X交换机的49号槽位不支持LSQM1NSDSC0业务板。

·         S12506-SS10506S7606-XS7506E-X交换机的45号槽位不支持LSQM1NSDSC0业务板,且对于03号槽位,在不同业务板槽位转发模式下对LSQM1NSDSC0业务板的支持情况不同,具体请参见对应交换机产品“基础配置指导”中的“设备管理”。

 

4. 防火墙插卡推荐

设备BOM编码

描述

0231A4F7

功能模块-H3C S5500-LSPM6FWD-SecBlade IV 下一代防火墙模块-国内海外合一版

 

5. NetStream安全插卡推荐

设备BOM编码

描述

0231A4NR

功能模块-H3C S10500-LSUM1NSDEC0-SecBlade IV 流量分析模块-国内海外合一版

0231A4PV

功能模块-H3C S7500E-LSQM1NSDSC0-SecBlade IV 流量分析模块-国内海外合一版