◆祝彦峰

(国家计算机网络应急技术处理协调中心广东分中心 广东 510630)

1 概述

使用IP技术的因特网由于网络的开放性和扩展性在全球范围流行，深入社会的各个领域，同时IP网络也因开放和扩展的原因在设计之初就存在固有的脆弱性，使得攻击者很容易利用网络的弱点发起各种各样的攻击。特别是随着下一代网络的兴起，Everything over IP正在成为各种网络技术发展的基础。全球各个标准化研究组织和机构都开展了网络安全体系架构、安全机制的研究。提出了一系列的安全标准。其中由ITU-T在2003年10月制定ITU-T X.805（10/2003）《提供端到端通信的系统的安全架构》比较全面地规定了信息网络端到端安全服务体系的架构模型。包括三层三面八维，即应用层、业务层和传送层，管理平面、控制平面和用户平面，认证、可用性、接入控制、不可抵赖、机密性、数据完整性、私密性和通信安全。因此我们采用这个模型，从安全威胁角度和对应安全策略等方面进行探讨，从管理平面、控制平面和转发平面出发进行加固策略的研究。

2 管理平面

管理平面的安全加固，主要是对设备本身的操作通道和用户权限等方面的加固管理，包括设备登录方式、用户管理、管理协议、链路层安全管理、业务平面隔离管理、设备资源防护管理、日志服务管理等。

管理通道分为协议管理通道和用户管理通道，需要使用用户名密码对登录的交换机串口（console口）和远程虚接口连接均为用户管理通道，采用的协议有rs232、telnet、ssh、http、https；协议管理通道通过网管协议进行设备监控和管理，一般采用服务器/客户端的架构，当前主要协议有SNMP和telemetry。

按照最简及安全的要求，仅开启必要的登录方式。不适用的服务应全部予以禁用。协议管理，也是同样，在没有网管系统的前提下，关闭所有管理协议。在有管理系统的情况下，配置必要的验证手段，确保传输信息加密及获取信息验证等手段。用户管理包括减少用户数、合理设置用户权限、制定用户登录策略等。

安全加固首要保障设备的物理安全、环境安全，攻击者不能接触到物理设备，制定用户密码安全策略，用户管理通道的主要威胁有物理接触、暴力破解密码、拒绝服务攻击等行为。配置相对应的安全策略为此采取设置物理设备启动密码、最小用户数原则、启用密码符合复杂度和长度等级要求、启用用户认证失败锁定和设置重认证次数和时长、限制登录用户数、更换服务端口号、设置ACL限制访问IP、服务绑定接口地址、启用SSL加密协议等手段。在网管协议通道管理上，启用安全等级高的SNMPv2c/v3协议，设置ACL限制访问IP，采用加密通信防止信息伪装、篡改、泄密等安全问题出现。在链路安全上，针对有需要二层链路，启用MACsec技术加密保护以太网数据帧，防止二层网络攻击。

由于交换机的默认业务接口均支持管理协议，因此要在业务平面、管理平面采用ACL来限制登录设备的IP的策略进行隔离。对于具备管理平面防护功能的交换机，可以限制上送CPU处理的报文协议和类型，降低恶意攻击的风险、降低CPU占用率。

3 控制平面

网络交换机需要运行各种各样的协议来达成业务，这些协议自身需要考虑安全性，避免出现利用协议报文的变型、协议漏洞进行攻击的行为。交换机控制平面主要包括业务平面协议安全管理、管理平面隔离管理、攻击防范。具体按照业务协议有针对性的启用协议安全机制，涉及协议有ARP、DHCP、路由、MPLS、组播、NTP、STP、VRRP、二层聚合链路协议等，攻击行为有IP地址欺骗、数据传输等安全防护内容，配置相对应的安全策略。需要具体结合实际工程项目中的交换机选型配置和选择加固项目。对于泛洪攻击类可以采用安全的接入认证协议、黑白名单等形式进行防护，加强控制平面的安全性。

4 转发平面

交换机业务转发平面是交换机完成业务的执行平面，安全加固更为重要，加固方法主要采用ACL访问控制列表的方式、流量抑制、风暴控制、转发路径管理等方法实现。可以选用端口保护、端口隔离、端口安全控制等技术进行进一步的安全防护。

4.1 访问控制列表

交换机中信息流的转发主要通过报文的目的MAC地址、目的IP地址来查找路径转发；相关安全性主要针对转发路径上如何避免对交换机自身的恶意攻击行为，以及预防某些攻击流量在IP网络中的扩散。

结合实际业务，通过使用二层ACL、基本ACL、高级ACL和自定义ACL的精准控制规则实现对网络中报文流的精确识别和控制，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

4.2 流量抑制、风暴控制

交换机收到未知目的MAC地址的数据报文，将使用广播的形式转发报文至VLAN内所有出接口，形成大量转发流量，在存在环路的网络中，就形成了广播风暴。应对策略为在用户接入侧使用流量抑制、网络互联侧启用风暴控制特性，通过在配置阈值来限制流量，关闭端口来阻断流量的方式，限制和控制广播、组播报文流量，防范广播风暴。

4.3 端口相关技术

网络中，对上行网关出口线路/端口故障的情况，可以通过建立端口保护组的形式，形成一主一备的端口级链路保障，在主线路出现故障时，自动切换至备用线路，保障业务无中断。接入侧网络中，由于VLAN隔离方式形成的粒度较大，在业务主机之间没有需要互访的情况下，为了提供安全的业务环境，可以启用端口隔离技术，将需要隔离的主机端口加入隔离组中，形成VLAN内的主机报文隔离，提供了更安全、更灵活的组网结构。

在对接入网络的安全性要求较高的网络中，可以进一步启用端口安全功能，限制端口学习MAC地址数量，并将接口学习到的MAC地址转换为安全MAC或Sticky MAC（设备重启后依然存在的MAC表项），阻止其他非信任的MAC主机通过本接口和交换机通信，提高交换机与网络的安全性。在形成环路或存在攻击的网络中会出现MAC地址漂移的情况，导致MAC转发表不稳定。通过设置接口MAC地址学习优先级、禁止相同优先级接口MAC地址漂移等方式，可以限制MAC地址漂移。此时接口将不再学习相同的MAC地址，非法攻击者将无法使用网络设备MAC地址干扰网络正常通信。

5 结束语

网络交换机的安全加固是在对交换机应用场景的完全认知的情况下，适度的调整加固策略，防护安全威胁。因此需要对当前网络提供的服务业务的流程深入了解，分析业务面临的安全威胁，评估安全加固后的代价，设计安全防护的合理方案，结合选用产品的功能性能指标制定和实施精准的安全策略。

安全是一个需要持续改进的过程,安全策略也要因时因地不断优化、改进、应用、验证，才能更好地保障设备安全、网络安全，这样才会有信息的安全。