华为NE40E安全防御体系结构
NE40E的安全防御体系结构如下图所示:在路由器中,安全防御体系主要包括如下几种类型:
转发引擎安全防御机制
路由器转发引擎,由于处理性能高,如果能够在转发面实现安全检测,把非法的报文识别出来并合理的处理,对网络安全来说是最好的方案。
但是转发引擎一般都是硬件实现,基于ASIC或者NP,灵活性不如纯软件。因此,转发引擎只能检测具有固定特征、无需复杂的计算和处理的非法报文,安全处理机制要求较为简单且流程相对固定。
例如:
畸形报文检测,把明显违反协议规则的报文检测出来并丢弃;
广播风暴抑制,检测到广播风暴之后,直接在转发面把风暴来源利用动态ACL等方法,丢弃或者限速广播报文;
URPF直接在这方面查找端口和源地址匹配信息,不匹配直接丢弃;
分片报文泛洪时,由转发面直接进行分片报文限速;
对简单的ARP、ICMP、PPP Keep Alive等报文,直接由转发面应答客户端的请求,避免上送控制面。
采用转发引擎来实施安全策略,由于性能高,因此对流量泛洪***类的安全事件,能够非常好的应对,避免转发面把报文发给CPU处理,由于CPU的处理能力局限导致CPU过载,影响路由器可靠性。
转发面与控制面上送管道安全防御机制
转发面相对于控制面来说,其处理能力可以认为是无限的。因此,转发面能够轻易的上送海量的报文,把控制面直接冲击过载。
为了防止转发面上送过多的报文给控制面,需要对上送管道进行限速;同时为了不影响正常的业务运行,也需要对高优先级的和通过安全检测的正常业务放行。综合了安全性和可用性,路由器使用了如下几种机制,来综合保障在路由器可靠运行的前提下,尽可能提供高性能的业务处理能力:
[*] 协议CPCAR:针对每一种协议(或者协议的某种典型的消息,如ARP Request和ARP Reply分开设置CPCAR),设置一个上送控制面的带宽限制;
[*] 动态/静态黑名单:当动态检测到存在***事件,或者静态配置拒绝访问的策略,黑名单策略拒绝所有报文上送,防止被非法***;
[*] 动态/静态白名单:当控制面的通信会话已经通过安全检查证明是可靠的,或者静态配置某些访问对象是可信的,通过白名单保证它们的报文不受限速控制;
综合以上措施,能够保证转发面上送控制面的报文不会把CPU冲击过载,同时也保证CPU尽最大能力为业务服务不会造成资源浪费。
应用层业务内嵌的安全检测与防御机制
转发面由于无法感知每一种协议内部的机制,因此复杂的、深层次的安全***无法被转发面检测并控制。
转发面与控制面间的管道控制机制只能保证CPU不会被***过载,并不感知上送的报文是否存在安全隐患。
因此,需要在应用层模块内部,内嵌的安全检测引擎:每一个协议栈模块,都需要能够动态检查报文和会话的合法性,需要把非法的报文或者会话及时丢弃,以防造成协议栈的安全危害。
转载自官方产品文档
页:
[1]