URPF技术白皮书

高安全性技术白皮书关键词：安全性、ARP、URPF摘要：本篇文档介绍了SR8800产品安全性相关的内容，按接入、路由转发和管理等几方面进行阐述。

缩略语清单：缩略语英文全名中文解释URPF Unicast Reverse Path Forwarding 单播反向路径转发Shell 安全外壳SSH Secure目录1 概述 (4)2 接入安全性 (4)2.1 端口安全 (4)2.2 MAC认证 (5)2.3 802.1x认证 (6)2.3.1 802.1x的体系结构 (6)2.3.2 802.1x的基本概念 (7)2.4 Portal认证 (8)2.4.1 Portal的系统组成 (9)2.5 VLAN端口隔离功能 (10)2.6 广播流量抑止 (11)2.7 STP保护功能 (11)2.8 ARP源抑制功能 (12)2.9 ARP防IP报文攻击功能 (13)2.10 ARP防欺骗功能 (13)2.11 ARP防攻击功能 (13)2.12 授权ARP功能 (14)2.13 协议端口保护功能 (14)2.14 报文上送限制和优先级分类上送功能 (14)2.15 主动对攻击报文进行隔离功能 (14)3 路由转发安全性 (15)3.1 路由协议加密认证 (15)3.2 IP Source Guard功能 (15)3.3 URPF (15)3.4 海量双向ACL (16)3.5 IPSec (16)3.6 NetStream (19)3.7 防火墙（FW） (20)3.7.1 包过滤防火墙简介 (20)3.7.2 ASPF简介 (21)4 管理安全性 (25)4.1 用户密码管理 (25)4.2 用户等级管理 (25)4.3 信息中心 (25)4.4 SSH (26)4.4.1 算法和密钥 (26)4.4.2 非对称密钥算法 (26)4.4.3 SSH2.0工作过程 (27)4.5 RADIUS (29)4.6 NQA (30)1 概述在网络应用越来越广泛的今天，用户对网络的安全性要求越来越高。

目录1了解北京融汇画方科技有限公司 (2)1.1公司背景 (2)1.2行业背景 (2)1.3为什么需要网络准入控制系统 (2)2画方科技网络准入系统 (4)2.1系统架构图 (5)2.2网络拓扑图 (6)2.3产品特点 (6)2.3.1无需安装客户端或ActiveX控件 (6)2.3.2即插即用 (7)2.3.3基于网络行为主动发现主动管理 (7)2.3.4支持网络设备硬件多，满足国内网络准入需要 (7)2.4部署方式 (7)2.4.1旁路部署 (7)2.4.2串联部署 (8)2.5认证与注册 (8)2.5.1支持802.1X协议 (8)2.5.2支持IP语音（VoIP） (8)2.5.3无线集成 (8)2.5.4灵活的设备注册 (8)2.6合规检查 (10)2.6.1检测异常的网络活动 (10)2.6.2健康状态（SOH） (10)2.6.3漏洞扫描 (10)2.6.4一键逃生 (10)2.6.5隔离有问题的设备 (10)2.7友好的管理界面 (11)2.7.1基于命令行和Web的管理 (11)3产品功能 (13)3.1灵活的VLAN管理和基于角色的访问控制 (13)3.2来访准入–使用你自己的设备（BYOD） (13)3.3更多内置检测类型 (14)3.3.1DHCP指纹 (14)3.3.2用户客户端 (14)3.3.3MAC地址 (15)3.4自动注册 (15)3.4.1通过网络设备 (15)3.4.2由DHCP指纹 (15)3.4.3通过MAC地址供应商 (15)3.4.4更多 (15)3.5注册时间期限 (15)3.6带宽计算 (16)3.7移动网络设备 (16)3.9接入路由器 (16)3.10快速部署 (16)3.11快速通道 (17)3.12高可用性 (17)3.13支持的硬件 (17)3.14基于业界多种标准 (17)3.15轻松定制、扩展 (17)4VLAN分配技术简介 (18)4.1.1使用SNMP Traps (18)4.1.2连接更改Traps（Link Change Traps） (18)4.1.3MAC地址通知进程（MAC notification traps） (19)4.1.4端口安全Trap（Port Security Traps） (19)4.2有线：802.1X + MAC旁路认证（MAB） (19)4.3无线集成 (20)5支持网络设备 (21)5.1有线设备支持 (21)5.2无线设备支持 (22)5.3接入点 (23)6案例 (24)6.1方案一：企事业单位旁路部署 (24)6.2方案二：政府及企业分级部署 (25)6.3方案三：企事业单位串联部署 (26)6.4方案四：服务器网络安全部署 (27)7运行环境与标准 (28)8特别声明 (29)本白皮书中的内容是画方科技网络准入系统技术说明书。

什么是单播反向路径转发URPF1 背景单播反向路径转发（Unicast Reverse Path Forwarding），是网络设备检查数据包源地址合法性的一种方法。

其在FIB表中查找该源地址是否与数据包的来源接口相匹配，如果没有匹配表项将丢弃该数据包，从而起到预防IP欺骗，特别是针对伪造IP源地址的拒绝服务（DoS）攻击非常有效。

2 URPF应用环境简介DoS（Denial of Service）攻击是一种阻止连接服务的网络攻击。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

2.1 TCP泛洪图1 TCP泛洪攻击案例攻击的原理是向目标设备发送大量伪装连接的请求包，这些请求包的发起地址设置为目标不可到达的地址，这样对被攻击对象的第二次握手没有主机响应，造成被攻击对象主机内部存在大量的半开连接，以至于新的正常连接不能进入从而造成服务的停顿甚至死机。

2.2 SMURF攻击SMURF攻击是一种源地址欺骗攻击，攻击者假冒被攻击对象的IP地址向设备发送大量的广播ICMP echo请求报文。

因为每个包的目标IP地址都是网络的广播地址，所以设备会把ICMP echo请求报文以广播形式发给网络上的所有主机。

如果有大量主机，那么这种广播就会产生大量的ICMP echo请求及响应流量。

而且在发送ICMP echo请求数据包时，使用了假冒的源IP地址，所以攻击造成的ICMP流量不仅会阻塞网络，而且会产生攻击流量。

图2 SMURF攻击案例图如图2，Attacker仿冒Router B的地址对Router C进行攻击，如果Router C上的网络管理员检测到攻击，将会配置防火墙规则，将所有来自Router B的报文过滤，导致无辜的Router B 无法访问Router C。

此时，被攻击系统的管理员反而成为黑客的帮凶，使一些合法用户失去合法访问的权限。

H3C S5560X-EI 系列高性能融合以太网交换机产品概述H3C S5560X-EI 系列交换机是杭州华三通信技术有限公司（以下简称H3C 公司）自主开发的三层千兆以太网交换机产品，是为要求具备高性能、高端口密度且易于安装的网络环境而设计的智能型可网管交换机。

基于业界领先的高性能硬件架构和H3C 先进的Commware V7 软件平台开发，同时基于强大的统一交换平台，实现有线无线的无缝融合。

H3C S5560X-EI 系列交换机可集成无线控制功能，实现接入层无线/有线本地转发，消除无线控制带宽瓶颈，扩大无线部署规模，节省用户投资成本。

S5560X-EI 系列以太网交换机提供10/100/1000Base-T 自适应以太网端口或10GE SFP+光口，并通过子卡可支持10GE 电口、40GE QSFP+光口。

在企业网中，可以作为接入设备提供千兆到桌面应用，或作为中小企业的核心；在城域网或者行业用户中，向下可以提供千兆接入最终用户或汇接低端交换机，向上可以通过万兆或40GE 光纤或者链路聚合汇聚到核心交换机。

S5560X-EI 系列以太网交换机支持创新的VxLAN 技术，可以同时支持VxLAN 二三层网关。

S5560X-30C-EI S5560X-54C-EIS5560X-30F-EI S5560X-54F-EIS5560X-30C-PWR-EI S5560X-54C-PWR-EIS5560X-34S-EI S5560X-54S-EIH3C S5560X-EI 系列以太网交换机目前包含如下型号：S5560X-30C-EI：24 个10/100/1000BASE-T 端口（其中8 个combo 口），4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-54C-EI：48 个10/100/1000BASE-T 端口，4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-30F-EI：24 个SFP 端口（其中8 个combo 口），4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-54F-EI：48 个SFP 端口，4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-30C-PWR-EI：24 个10/100/1000BASE-T 端口，4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-54C-PWR-EI：48 个10/100/1000BASE-T 端口，4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-34S-EI：28 个10/100/1000BASE-T 端口（其中4 个combo 口），4 个10G/1G BASE-X SFP+端口，2 个40G QSFP+ 端口；S5560X-54S-EI：48 个10/100/1000BASE-T 端口，4 个10G/1G BASE-X SFP+端口，2 个40G QSFP+端口；产品特点高性能端口扩展能力H3C S5560X-EI 系列交换机主机均固化4 个万兆光端口，提供最高性价比端口组合，实现最低成本的互联方案，满足用户1：1 无收敛网络部署需求；H3C S5560X-EI 系列交换机支持丰富、灵活的端口扩展板卡，包括8 端口万兆光扩展板卡，2 端口万兆光/电接口板卡，以及2 端口40G 扩展板卡，整机最大支持12 个万兆端口或2 个40G 端口，实现高密、高性能端口扩展能力，满足大型网络汇聚或中小网络核心部署需求，以及对于光电混合组网的配置需求。

御界高级威胁检测系统技术白皮书目录第一章系统简介 (4)1.前言 (4)2.核心能力 (4)第二章系统架构 (5)1.架构设计 (5)2.产品部署模式 (6)高扩展性 (6)多模块自由组合 (6)低成本 (6)3.产品型号 (7)第三章系统特点 (7)1.攻击链条检出 (7)2.发现APT (8)3.异常流量感知 (8)4.勒索病毒检测 (9)5.威胁情报 (9)6.漏洞攻击检测 (9)第四章核心功能模块 (9)1TFA检测引擎 (9)入侵特征模型检测模块 (9)异常流量模型检测模块 (9)异常域名检测模块 (10)网络攻击检测模块 (10)2文件还原模块 (10)3文件分析检测模块 (10)哈勃动态行为沙箱 (11)TAV杀毒引擎 (11)1.前言随着移动设备的普及和云基础设施的建设，企事业单位积极拥抱数字化，加之万物互联IoT潮流的到来，网络安全在当前这个时间点需要重新定义。

经典的攻击方式还未落幕，层出不穷的高级攻击方式已经上演，在安全形势不断恶化的今天，即使部署了各式样的安全产品，也无法做到预防所有的威胁。

在网络边界处阻止所有的威胁固然是我们最希望看到的情况，但是这种同步的拦截方式受限于较高的性能要求和较少的信息量，很难独立成为一个完整的企业安全解决方案。

御界高级威胁检测系统（以下简称御界）在网络边界处采用镜像流量，旁路检测的方式，旨在发现企业受到的恶意攻击和潜在威胁。

2.核心能力御界基于腾讯反病毒实验室的安全能力，依托腾讯在云和端的大数据，形成了强大且独特的威胁情报和恶意检测模型，凭借基于行为的防护和智能模型两大核心能力，高效检测未知威胁。

也正因为丰富的数据和海量运算能力，在发现威胁之后的溯源上御界的数据平台也能提供一流的服务。

真正高质量的攻击，比如APT攻击，大多是以新面貌呈现，基于特征或者是黑样本库黑网址库的防御方式在对抗新的威胁之时远不如动态分析来的直接和有效。

恶意代码层面可以通过变形和加密来做对抗，远控地址和远程IP也是全新的，攻击的入口也不尽相同，可以是邮件收发和消息处理等用户行为，也可以是通过系统或者软件漏洞进入，但是入侵，潜伏，远程连接，远程控制等过程从行为上看是有很大的相似和关联性的，基于行为的检测方案比基于特征的检测方案站在更高的维度上。

关键词：URPF、DoS攻击、DDoS攻击摘要：本文介绍了URPF的应用背景，URPF主要用于防止基于源地址欺骗的网络攻击行为，例如基于源地址欺骗的DoS攻击和DDoS攻击；随后介绍了URPF的技术原理以及URPF的几种灵活定制方案（NULL0口，缺省路由，ACL等）；最后简要介绍了URPF的典型组网案例。

缩略语清单：目录1 背景2 URPF应用环境简介2.1 TCP泛洪2.2 SMURF攻击3 魔高一尺、道高一丈——URPF的发展3.1 DoS攻击的发展3.2 URPF的水土不服——严格URPF的局限3.3 退一步海阔天空——松散URPF的改进4 NULL0口——URPF的烽火台5 缺省路由和ACL，灵活定制你的URPF5.1 缺省路由5.2 ACL规则6 URPF处理流程7 典型组网应用1 背景单播反向路径转发（Unicast Reverse Path Forwarding），是网络设备检查数据包源地址合法性的一种方法。

其在FIB表中查找该源地址是否与数据包的来源接口相匹配，如果没有匹配表项将丢弃该数据包，从而起到预防IP欺骗，特别是针对伪造IP源地址的拒绝服务（DoS）攻击非常有效。

2 URPF应用环境简介DoS（Denial of Service）攻击是一种阻止连接服务的网络攻击。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

2.1 TCP泛洪图1 TCP泛洪攻击案例攻击的原理是向目标设备发送大量伪装连接的请求包，这些请求包的发起地址设置为目标不可到达的地址，这样对被攻击对象的第二次握手没有主机响应，造成被攻击对象主机内部存在大量的半开连接，以至于新的正常连接不能进入从而造成服务的停顿甚至死机。

2.2 SMURF攻击SMURF攻击是一种源地址欺骗攻击，攻击者假冒被攻击对象的IP地址向设备发送大量的广播ICMP echo请求报文。

NFPP技术白皮书福建星网锐捷网络有限公司版权所有侵权必究前言摘要NFPP (Network Foundation Protection Policy基础网络保护策略)是用来增强交换机安全的一种保护体系，通过对攻击源头采取隔离措施，可以使交换机的处理器和信道带宽资源得到保护，从而保证报文的正常转发以及协议状态的正常。

文章阐述了NFPP的开发背景和基本技术原理，以及锐捷网络在该项技术中的应用特点和配置实例。

关键词NFPP、攻击、保护、隔离缩略语清单缩略语英文全名中文解释NFPP Network Foundation Protection Policy 基础网络保护策略URPF Unchaste Reverse Path Forwarding 单播路径转发QOS Quality of Service 服务质量CPP Control Plane Policy 控制平台策略ACL Access Control List 访问控制列表目录1 前言 (1)2 NFPP技术框架 (2)2.1 交换机体系结构 (2)2.2 NFPP技术 (2)2.2.1 攻击检测的技术 (3)2.2.2 实施保护的技术 (3)2.2.3 检测、保护的过程 (4)3 NFPP工作原理 (5)3.1 NFPP保护策略 (5)3.1.1 分类 (5)3.1.2 入队 (5)3.1.3 策略 (6)3.2 NFPP的工作流程 (7)4 锐捷NFPP技术特点 (9)5 NFPP应用 (10)5.1 设置策略 (10)5.2 识别攻击 (11)5.3 隔离用户 (11)5.4 实例解析 (11)6 结束语 (13)1 前言由于计算机网络体系结构的复杂性及其开放性等特征，使得网络设备及数据的安全成为影响网络正常运行的重要问题。

分析当前网络设备受到的攻击主要表现如下：l拒绝服务攻击可能导致到大量消耗内存等资源，使用系统无法继续服务。

l大量的报文流送向CPU，占用了整个送CPU的报文通路的带宽，导致正常的控制流和管理流无法达到CPU，从而带来协议振荡无法管理，进而影响到数据面的转发。