S12500交换机网络安全技术白皮书
网络安全预警系统技术白皮书
目录第一章系统简介 (1)第二章产品功能 (2)1.1 系统模块 (2)1.2 技术优点 (2)1.2.1 零拷贝技术 (2)1.2.2 全面检查各种病毒 (2)1.2.3 能够查获未知病毒引擎 (3)1.2.4 支持千兆网络的863.3M处理能力 (3)1.2.5 检测口无IP地址 (3)1.2.6 完善的升级机制和迅速更新的特征库 (3)1.2.7 独有的智能分析技术 (3)1.2.8 安全事件的关联分析 (3)1.2.9 迅速定位安全事件相关IP地址的物理位置 (4)1.2.10 详细的安全事件信息 (4)1.2.11 完善安全事件报告系统 (4)1.2.12 集中管理和控制 (6)第三章典型应用案例 (8)第四章技术支持 (9)第一章系统简介瑞星网络安全预警系统集病毒扫描、入侵检测和网络监视功能于一身,它能实时捕获网络之间传输的所有数据,利用内置的病毒和攻击特征库,通过使用模式匹配和统计分析的方法,可以检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象,并在数据库中记录有关事件,作为事后分析的依据。
瑞星网络安全预警系统的目标是:全面,准确,高效,稳定,安全,快速。
全面是指能检测已知的各种病毒和攻击;准确是指检测的结果准确,误报率低;高效是指检测引擎的运行效率高,由于现在的网络带宽越来越宽,只有高效的引擎才能在检测时不丢包;稳定是指系统运行稳定可靠;安全是指预警系统自身的安全,由于引擎中保存了大量检测到的敏感信息,因此对其自身的保护是十分重要的;快速是指对新的漏洞和新的攻击方法反应快,系统升级简便。
第二章产品功能1.1 系统模块反病毒探针:基于瑞星的病毒查获“流引擎”,通过网络虚拟机对网络数据报文进行完整的数据重组和恢复,实时监测网络中的病毒数据, 通过病毒事件接口将病毒信息报告给管理控制中心。
入侵检测探针:对网络中的异常行为和攻击行为进行探测和监控,通过攻击事件接口将检测到的攻击信息报告给管理控制中心。
WLAN安全技术白皮书(V1.00)-技术白皮书-产品技术-H3C
WLAN安全技术白皮书(V1.00)-技术白皮书-产品技术-H3CWLAN安全技术白皮书(V1.00)WLAN安全技术白皮书关键词:WLAN、Station、SSID、PSK、EAP、AP。
摘要:现在WLAN应用已经非常普遍,在很多场所被部署,例如公司、校园、工厂、咖啡厅等等。
本文介绍了H3C WLAN解决方案能够提供的多种无线安全技术。
缩略语:目录1 H3C WLAN分层安全体系简介2 物理层安全3 用户接入安全3.2 802.1x接入认证3.3 PSK接入认证3.4 MAC接入认证3.5 EAP终结和本地认证4 网络安全4.1 端点准入防御4.2 无线入侵检测系统4.3 安全策略统一部署4.4 无线控制器和AP间下行流量限速4.5 IPSEC VPN5 设备安全6 安全管理1 H3C WLAN分层安全体系简介H3C公司的WLAN安全解决方案在遵循IEEE 802.11i协议和国家WAPI标准的基础上,创新性的提出了分层的安全体系架构,将WLAN的安全从单一的物理层安全延伸到了物理层安全、用户接入安全、网络层安全、设备安全、安全管理多个层面上,使用户在使用WLAN网络时能够像使用有线网络一样安全、可靠。
2 物理层安全为了保证物理层的通信安全H3C公司的无线产品支持以下的加密机制:(1) WEP加密:该种加密方式在IEEE802.11协议中定义。
WEP加密机制需要WLAN设备端以及所有接入到该WLAN网络的客户端配置相同的密钥。
WEP加密机制采用RC4算法(一种流加密算法),最初WLAN仅支持WEP40(WEP40算法的密钥长度仅为64bits),当前WLAN还可以支持WEP104(WEP104算法的密钥长度仅为128bits)。
(2) TKIP加密:该加密方式主要在WPA相关协议中定义。
TKIP加密机制除了提供数据的加密处理,还提供了MIC和Countermeasure功能实现对WLAN服务的安全保护。
交换机行为检测技术白皮书
以太网交换机行为检测技术白皮书武汉烽火网络有限责任公司修订记录声明:1.本文仅作市场宣传参考,不作合同签定、技术配置的依据。
由于编者技术水平有限,欢迎批评和指导。
2.版权所有,保留一切权力非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书的部分或全部,并不得以任何形式传播。
3.有任何疑问请垂询市场部技术支持部。
目录一、概述 (5)二、常见的网络攻击 (5)1. 野蛮攻击 (5)2. TCP SYN攻击 (5)3. 病毒冲击 (6)4. 扫描窥探攻击 (6)5. 畸形报文攻击 (6)三、行为检测技术 (6)摘要本文介绍武汉烽火网络有限公司F-Engine 系列以太网交换机的行为检测功能以及目前以太网环境中受到的典型攻击方法。
详细介绍了武汉烽火网络有限公司F-Engine系列以太网交换机的安全防护解决方案。
关键词行为检测野蛮攻击网络安全流量攻击TCP SYN攻击一、概述对位于网络中的交换机、路由器等网络设备来说稳定性至关重要,因为一旦交换机或者路由器发生故障就意味着网络业务的中断。
这些设备(即交换机与路由器)一般在硬件设计上没有问题,但是网络却时有业务中断的事故发生,主要的原因就在于在这些设备在遭受攻击时对设备CPU的防护不够,导致CPU往往不能对正常的用户请求进行响应、从而引起网络业务的中断。
二、常见的网络攻击通常的网络攻击,一般是侵入或破坏网上的服务器(主机),盗取服务器的敏感数据或干扰破坏服务器对外提供的服务,也有直接破坏网络设备的网络攻击。
这种破坏影响较大,会导致网络服务异常,甚至中断网络。
下面对一些常见攻击进行描述:1. 野蛮攻击攻击者使用一些可以产生大流量数据的工具软件(或者设备)向网络内发送大量的数据,并且这些数据是交换设备的CPU必须处理的。
因为交换设备的CPU处理能力有限,当接收到的数据数量远大于CPU的处理能力,CPU就不能及时对正常用户的数据进行处理,从而出现丢包等现象,导致正常用户不能上网。
华为 Sx700交换机 HWTACACS 技术白皮书
HWTACACS 认证功能,可以对 802.1X、Portal、PPP 等普通接入用户进行认证,也可以对 串口、telnet、SSH、ftp 等管理用户进行认证。同样,HWTACACS 授权功能,既可以对普通 接入用户进行授权,也可以对登陆设备的管理用户进行授权,还可以对管理用户的每条命令 进行授权。HWTACACS 计费功能,既可以对普通接入用户上线时间的传统意义的网络计费, 还可以记录管理用户登陆到设备停留时间记录,用户执行操作命令进行记录等。HWTACACS 兼容 CISCO 的 TACACS+协议, 华为交换机作为 HWTACACS 客户端可以和 TACACS+服务器对接 实现 AAA 功能。
数据中心网络系统技术白皮书
数据中心网络系统技术白皮书数据中心网络系统技术白皮书1:引言1.1 背景1.2 目的1.3 范围2:数据中心概述2.1 定义2.2 架构2.3 功能模块2.4 主要特点3:数据中心网络设计3.1 网络拓扑3.2 网络规模3.3 网络配置3.4 网络性能3.5 安全性设计4:数据中心网络硬件设备 4.1 交换机4.2 路由器4.3 网络设备选型4.4 设备管理5:数据中心网络软件配置 5.1 路由协议5.2 虚拟化技术5.3 安全防护软件5.4 网络性能优化软件6:数据中心网络管理6.1 网络监控6.2 故障排除6.3 性能优化6.4 配置管理6.5 安全管理7:数据中心网络中的云计算7.1 云计算概述7.2 云计算与数据中心关系7.3 云计算在数据中心网络中的应用7.4 云计算安全性考虑8:数据中心网络的未来发展趋势8.1 软件定义网络(SDN)8.2 网络功能虚拟化(NFV)8.3 区块链技术在数据中心网络中的应用8.4 在数据中心网络中的应用9:附件附件1: 数据中心网络拓扑图附件2: 数据中心网络性能测试结果法律名词及注释:- GDPR: 欧洲通用数据保护条例(General Data Protection Regulation),是欧洲联盟针对个人数据保护的一项法规。
它规定了个人数据的收集、处理、存储和保护的要求及相关责任和义务。
- CCPA: 加州消费者隐私法案(California Consumer Privacy Act),是美国加利福尼亚州针对个人数据保护的一项法规。
它要求企业必须透明披露个人数据的使用和共享方式,并为消费者提供对其个人数据的控制权。
全文结束。
H3C云安全服务技术白皮书-V1.0
H3C云安全服务技术白皮书Copyright © 2016 杭州H3C技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
目录1 概述 (1)2 云安全架构与模型 (1)2.1 云数据中心安全访问控制需求 (1)2.2 云安全总体架构 (2)2.3 基于租户的安全隔离 (3)2.4 安全架构的两种模型 (4)3 嵌入式安全 (5)3.1 安全组ACL功能 (5)3.2 分布式状态防火墙功能 (6)4 云服务链 (6)5 基于SDN和服务链的云安全组网方案 (8)5.1 VSR做网关的服务链方案 (8)5.2 物理交换机做网关的服务链方案 (9)5.3 服务链和第三方安全设备对接 (10)5.4 服务链支持东西向和南北向安全的总结 (12)6 安全资源池化 (12)6.1 网络服务资源虚拟化和池化 (12)6.2 多资源池支持 (14)6.3 安全资源池之大规模租户技术 (15)6.3.1 硬件资源池支持大规模租户 (15)6.3.2 软件资源池支持大规模租户 (16)6.4 云安全微分段服务 (17)6.5 安全资源池之高可靠性技术 (17)7 多层次安全防护体系 (18)7.1 异构设备组成的统一安全资源池 (18)7.2 多层次的安全体系 (19)8 安全功能通过云服务部署 (19)9 H3C云安全优势总结 (21)1 概述云计算技术的发展,带来了新一轮的IT技术变革,但同时也给网络与业务带来巨大的挑战。
网络服务模式已经从传统的面向连接转向面向应用,传统的安全部署模式在管理性、伸缩性、业务快速升级等方面已经无法跟上步伐,需要考虑建设灵活可靠,自动化快速部署和资源弹性可扩展的新安全防护体系。
同时,按照云计算等保规范《信息系统安全等级保护第二分册云计算安全要求》草案7.1.2网络安全章节的描述,对云网络安全也有下述要求:•保证云平台管理流量与云租户业务流量分离;•根据云租户的业务需求自定义安全访问路径;•在虚拟网络边界部署访问控制设备,并设置访问控制规则;•依据安全策略控制虚拟机间的访问。
h3c 培训教材--全系列交换机
采用了创新的硬件设计,通过独立的控制引擎、 检测引擎、维护引擎设计为系统提供强大的控制 能力和的高可靠保障
分布式缓存机制及精细化QoS
分布式入口缓存 端口200毫秒缓存能力 大容量硬件队列
高可靠、高安全、可维护
软件、硬件、系统三个级别的可靠机制 独特的在线健康检测机制
512MB 512M缓B 存
缓存
512MB 512M缓B 存
缓存
512MB 缓存
512MB 缓存
业务线卡
背板
交换网板
内存
主控板
处理器
内存
主控板
处理器
19
创新的多引擎控制设计
背板
EMS EMS
EMS
FFDR
FFDR
主控板
主控板 处理器
处理器
EMS
S12500采用了创新的硬件设计, 通过独立的控制引擎、检测引擎、 维护引擎为系统提供强大的控制能 力和50ms的高可靠保障。
换架构拓扑上完全无阻塞的特点!
17
S12500实现严格意义上的完全无阻塞
IN_1 => OUT_1 1 2
IN_3 => OUT_4 3
线卡板 1/3
交换网
线卡板
1 2 3
4
IN_5 => OUT_2 5
4 5
6
6
IN_7 => OUT_3 7
7
8
8
9
9
智能调度真正实现无阻塞
产品定位: 数据中心,高性能计算,大企业的核心, 面向高密度万兆、和超高密度千兆的应用
产品形态: S12508(8个业务槽),S12518(18个业务槽) 每槽位可以支持48口千兆(光/电),4/8/32口万兆
数据安全交换技术白皮书. - 数据安全交换系统(DataEx)
第 6 页 共 12 页
信息安全专家
数据安全交换系统技术白皮书
3.3. 授权访问
授权访问平台,顾名思义,就是对某些申请访问某些资源(WebService)的 客户进行授权, 使这些客户可以对不同的资源拥有不同的访问权限,同时未被授 权的客户这不能访问这些资源(WebService) 。 安全授权访问平台主要定位于解决不同应用之间业务协同问题, 支持应用之 间的信息实时共享和服务方法的相互调用, 提供面向应用安全服务和服务资源管 理,通过对某些申请访问某些资源(WebService)的客户进行授权,使这些客户 可以对不同的资源拥有不同的访问权限。基于 WebService 面向应用服务的体系 架构,通过实现架构、应用资源管理和应用系统安全认证来实现安全授权访问。 授权访问架构图如下:
4.2. 请求服务 4.2.1. 广度信息共享
对于跨地域无法集中的数据,用户不需了解信息的具体存放地址,就可以获 得外部业务系统的返回信息,解决跨地域系统互访和联动问题。
4.2.2. 统一数据标准
系统屏蔽了不同业务系统的差异及其技术复杂性。 无需关注与其他业务数据 之间复杂的转换, 只需要进行一次数据转换改造,就可以完成和外部系统的对接 访问,降低系统交互的实施难度。
5.典型应用 ...................................................... 10
5.1.典型客户 .............................................................. 10 5.2.典型应用 .............................................................. 10
某通信公司网络安全技术白皮书【精编版】
某通信公司网络安全技术白皮书【精编版】 中国电信集团公司技术标准
中国电信网络安全技术白皮书 (2010 年版)
2010-3-30 发布 2010-4-10 实施 中国电信集团公司 发布目 1. 录 网络安全综述...........................................................................................................................1 1.1. 2009 年网络安全态势总体状况..................................................................................1 1.2. 电信网络安全技术及应用发展动态...........................................................................2 2. 电信网络安全技术发展与应用...............................................................................................4 2.1. 移动互联网安全...........................................................................................................4 2.1.1.移动终端安全...................................................................................................4 2.1.2.网络安全...........................................................................................................6 2.1.3.应用与内容安全...............................................................................................7 2.2. IP 网安全 ......................................................................................................................9 2.2.1.承载网安全.......................................................................................................9 2.2.2.支撑系统安全.................................................................................................11 2.2.3.应用系统安全.................................................................................................12 2.2.4.安全管理.........................................................................................................13 2.2.5.IPv6 网络演进 ................................................................................................16 3. 网络安全热点.........................................................................................................................18 3.1. 云安全.........................................................................................................................18 3.1.1.云计算安全.....................................................................................................18 3.1.2.安全云.............................................................................................................20 3.2. 物联网安全.................................................................................................................21 4. 网络安全设备.........................................................................................................................22 5. 结语.........................................................................................................................................27 关于中国电信网络安全实验室.....................................................................................................28 术语和缩略语.................................................................................................................................29中国电信网络安全技术白皮书(2010 年版) 1. 网络安全综述
浪潮 Inspur NOS 安全技术白皮书说明书
Inspur NOS安全技术白皮书文档版本V1.0发布日期2022-12-16版权所有© 2022浪潮电子信息产业股份有限公司。
保留一切权利。
未经本公司事先书面许可,任何单位和个人不得以任何形式复制、传播本手册的部分或全部内容。
商标说明Inspur浪潮、Inspur、浪潮、Inspur NOS是浪潮集团有限公司的注册商标。
本手册中提及的其他所有商标或注册商标,由各自的所有人拥有。
技术支持技术服务电话:400-860-0011地址:中国济南市浪潮路1036号浪潮电子信息产业股份有限公司邮箱:***************邮编:250101前言文档用途本文档阐述了浪潮交换机产品Inspur NOS的安全能力及技术原理。
注意由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
读者对象本文档提供给以下相关人员使用:●产品经理●运维工程师●售前工程师●LMT及售后工程师变更记录目录1概述 (1)2缩写和术语 (2)3威胁与挑战 (3)4安全架构 (4)5安全设计 (5)5.1账号安全 (5)5.2权限控制 (5)5.3访问控制 (6)5.4安全协议 (6)5.5数据保护 (7)5.6安全加固 (7)5.7日志审计 (7)5.8转发面安全防护 (7)5.9控制面安全防护 (8)6安全准测和策略 (9)6.1版本安全维护 (9)6.2加强账号和权限管理 (10)6.3TACACS+服务授权 (10)6.4加固系统安全 (12)6.4.1关闭不使用的服务和端口 (12)6.4.2废弃不安全通道 (12)6.4.3善用安全配置 (12)6.5关注数据安全 (13)6.6保障网络隔离 (14)6.7基于安全域访问控制 (14)6.8攻击防护 (15)6.9可靠性保护 (16)7安全发布 (18)随着开放网络的快速发展,白盒交换机做为一种软硬件解耦的开放网络设备,应用越来越广泛。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
H3C S12500 网络安全技术白皮书关键词:网络安全,威胁摘要:本文主要介绍了网络安全威胁的分类以及H3C S12500系列路由交换机具备的安全能力。
缩略语清单:目录1 概述 (4)2 网络安全威胁 (4)2.1 网络安全威胁的定义 (4)2.2 网络安全威胁的分类 (4)2.3 网络设备的安全威胁 (4)2.3.1 数据传送层面 (5)2.3.2 控制信令层面 (5)2.3.3 设备管理层面 (5)3 H3C S12500安全能力介绍 (5)3.1 数据转发层面的安全能力 (5)3.1.1 URPF技术 (5)3.1.2 非法报文过滤技术 (7)3.1.3 ICMP分片报文过滤功能 (8)3.1.4 TTL超时报文过滤功能 (8)3.1.5 Hop Limit超时报文过滤功能 (8)3.1.6 地址扫描攻击防护能力 (9)3.1.7 广播/组播/未知单播报文速率限制 (9)3.1.8 MAC地址表容量攻击防护能力 (9)3.1.9 静态MAC地址表项和ARP表项绑定能力 (10)3.1.10 强大的ACL功能 (10)3.2 CPU控制平面的安全能力 (10)3.2.1 控制平面带宽管理技术 (10)3.3 控制信令层面的安全能力 (12)3.3.1 ARP协议攻击检测和防范技术 (12)3.3.2 IP Source Guard技术 (18)3.3.3 DHCP服务安全技术 (19)3.3.4 TCP连接保护和攻击防范技术 (20)3.3.5 STP协议保护技术 (21)3.3.6 路由协议攻击防护能力 (23)3.4 设备管理层面的安全能力 (24)3.4.1 管理用户分级分权 (24)3.4.2 支持安全的远程管理 (24)3.4.3 支持安全审计 (24)3.4.4 安全接入控制 (24)3.4.5 SFTP服务 (24)1 概述随着互联网技术的不断演进、网络规模的爆炸性发展,互联网应用已经从起初的科研领域逐渐延伸到当代社会生活的方方面面,越来越多基于网络的关键业务蓬勃兴起,网络成为人类提高生产力、提升生活质量的新的推动力。
然而,互联网的技术基础,即IP网络,却在天然上存在着安全、服务质量、运营模式等方面的隐患。
IP网络的简单和开放在促成互联网迅猛发展的同时,也造成了IP网络容易引入安全漏洞的弱点。
同时,随着技术的发展、信息传递的迅捷,针对IP网络安全攻击的技术难度越来越小,攻击工具自动化程度则越来越高,攻击技术趋向平民化。
网络攻击事件数量每年都在大幅增加,造成的损失日益巨大,影响范围不再仅限于少数公司,甚至波及国家信息安全。
网络安全威胁给网络世界进一步的发展蒙上了阴影。
在这种情况下,网络设备自身的安全特性和防攻击能力显得越来越重要。
2 网络安全威胁2.1 网络安全威胁的定义所谓网络安全威胁,包括传输数据安全威胁和网络设备安全威胁。
传输数据安全威胁指通过特定技术,对在网络、服务器和桌面上存储和传输的数据未经授权进行访问,甚至破坏或者修改这些数据;网络设备安全威胁指针对网络设备进行攻击,影响网络设备正常运行。
2.2 网络安全威胁的分类IP网络的安全威胁分为两个方面:•主机(包括用户主机和应用服务器等)的安全;•网络自身(主要是网络设备,包括路由器、交换机等)的安全。
用户主机所感知的安全威胁主要是针对特定操作系统(主要是Windows系统)的攻击,诸如病毒、木马。
网络设备主要面对的是基于TCP/IP协议的攻击。
本文主要讨论网络自身,即网络设备的安全问题。
2.3 网络设备的安全威胁网络设备的功能可以分为以下几个层面:网络数据传送、网络控制信令、网络设备管理。
相应地,网络设备的安全威胁即是针对于这几个层面展开的。
2.3.1 数据传送层面网络数据传送层面的功能是负责处理进入设备的数据流。
它有可能受到基于流量的攻击,如大流量攻击、畸形报文攻击。
这些攻击的主要目的是占用设备CPU的处理时间,造成正常的数据流量无法得到处理,使设备的可用性降低。
由于网络数据传送层面负责用户数据的转发,因此也会受到针对用户数据的攻击,主要是对用户数据的恶意窃取、修改、删除等,使用户数据的机密性和完整性受到破坏。
2.3.2 控制信令层面网络控制信令层面的主要功能是维护各层网络协议的运行,以控制数据流的路由和交换。
这一层面受到的最主要威胁来自对路由信息的窃取,对IP地址的伪造等,这会造成网络路由信息的泄漏或滥用。
2.3.3 设备管理层面网络设备管理层面提供了对设备的远程管理功能。
威胁来自于两个方面,一个是系统管理所使用的协议(如Telnet协议、HTTP协议等)的漏洞,另一个是不严密的管理,如设备管理账号的泄露等。
3 H3C S12500 安全能力介绍H3C S12500系列高端路由交换机是基于Comware软件平台进行开发的。
通过Comware平台的支持,以及H3C S12500独有的一些安全实现,H3C S12500能够提供丰富的安全特性。
3.1 数据转发层面的安全能力3.1.1 URPF 技术URPF(Unicast Reverse Path Forwarding,单播反向路径转发)检查技术,主要用于防止基于源地址欺骗的网络攻击行为。
源地址欺骗攻击是指入侵者构造出一系列带有伪造源地址的报文,对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限,甚至是管理员权限。
即使被攻击设备的响应报文不能到达攻击者,同样也会对被攻击设备造成破坏。
图1 URPF检查示意图如上图所示,在Device A上伪造源地址为2.2.2.1/8的报文,向Device B发起请求,Device B响应请求时将向真正的“2.2.2.1/8”,即Device C发送报文。
这种非法报文对Device B和Device C都会造成攻击。
URPF检查技术可以应用在上述环境中,在Device B上根据报文的源IP地址查找该IP地址的出接口,判断该IP地址的出接口是否和报文的入接口一致,如果不一致则认为URPF检查不通过,并且对这种报文采取相应的处理动作。
S12500产品支持URPF技术,并且能够支持多种检查模式,用户可以根据当前网络安全等级及应用需要采用不同的URPF检查模式。
•严格检查模式严格检查模式不但需要检查报文的源IP地址是否在路由表中存在,还需要检查报文的入接口是否和源IP地址查找的路由表中的出接口一致,如果有一个出接口和报文入接口一致,则认为检查通过,否则认为检查不通过。
对于缺省路由、主机路由和网段路由,也同样支持严格模式的检查,必须检查路由表和出接口信息;对于等价路由,只需要符合等价路由的任意一条路由,则认为URPF检查成功,报文正常转发。
•基于链路层检查模式链路层检查模式先根据报文源IP地址查找路由表,获取下一跳地址,并且根据下一跳IP地址查找ARP表项,获取ARP表中的MAC地址,并且用该MAC地址和报文源MAC地址进行比较,如果相等则URPF检查通过,否则URPF检查失败。
基于链路层检查模式,是S12500产品基于高可靠、高安全核心层设备推出的安全特性之一,真正把数据链路层和IP层结合在一起,实现IP转发的链路层检查,相较于以往单纯的IP地址检查,更加科学和安全。
链路层检查模式不支持基于等价路由的检查。
3.1.2 非法报文过滤技术网络中充斥的各种非法报文,不但占用宝贵的带宽资源,还对网络中的各种设备造成冲击。
S12500产品能够过滤各种非法报文,既包括内容错误的报文,也包括格式错误的报文,下面具体描述S12500产品能够识别并且过滤的各种非法报文:1. 网络接入控制的过滤功能检测并过滤各种物理层错误的报文,包括CRC错帧、超小帧、超大帧、帧丢失、奇偶检验错帧等。
2. 数据链路转发的过滤功能S12500能够过滤如下数据链路层非法的报文:•端口收到报文的VLAN ID 不在端口允许通过的范围内,直接丢弃;•非法源MAC 地址的报文(报文源MAC 地址为组播MAC 地址),直接丢弃;•STP BLOCK 的端口收到数据报文,直接丢弃。
3. IP转发的过滤功能对于各种IP头和IP地址非法的报文,S12500设备能够检查并且过滤:•IPv4 头校验和错误的报文,直接丢弃;•IPv4 头版本号错误的报文,直接丢弃;•IPv4 头长度错误的报文,直接丢弃;•IPv4 源IP 地址等于目的IP 地址的报文,直接丢弃;•IPv4 源IP 地址为127.0.0.0/8 或224.0.0.0/4 的报文,直接丢弃;•IPv4 目的IP 地址为127.0.0.0/8 或0.0.0.0 的报文,直接丢弃;•IPv4 报文目的MAC 地址为单播地址,目的IP 地址为组播地址,直接丢弃;•IPv4 报文目的MAC 地址为组播地址,目的IP 地址为单播地址,直接丢弃;•IPv4 URPF 检查失败的报文,直接丢弃;•IPv6 头版本号错误的报文,直接丢弃;•IPv6 源IP 地址等于目的IP 地址的报文,直接丢弃;•IPv6 源IP 地址为::1/128 或FF::/8 的报文,直接丢弃;•IPv6 目的IP 地址为::1/128 或::的报文,直接丢弃;•IPv6 报文目的MAC 地址为单播地址,目的IP 地址为组播地址,直接丢弃;•IPv6 报文目的MAC 地址为组播地址,目的IP 地址为单播地址,直接丢弃。
3.1.3 ICMP 分片报文过滤功能一般来说网络中传输的ICMP报文都不大,而且对于不同的系统,能够发送和接收的ICMP报文的大小也不一样。
通常,ICMP分片报文用于测试网络的运行状态,检测网络转发路径的稳定性。
在网络正常运行中,一般不会出现ICMP分片报文,分片报文大部分是由于网络攻击导致,网络中存在大流量的ICMP分片报文,不但会占用宝贵的带宽资源,而且会导致被攻击者性能严重下降,甚至无法正常工作。
H3C S12500能够识别并且过滤ICMP分片报文(识别方法:IP头MF字段不为0或者IP头OFFSET字段不为0的ICMP报文),使能ICMP分片报文过滤功能后,正常转发和上送CPU的ICMP分片报文都会被直接丢弃。
3.1.4 TTL 超时报文过滤功能所谓TTL超时报文,是指IP报文中的TTL值为0或者为1,不在IP转发的正常范围内。
当网络存在路由环路时,IP报文在设备间相互转发,每转发一跳则TTL值减一,最终导致TTL值超时。
当网络设备收到TTL超时报文后,需要向源设备发送TTL超时通知,告知对端TTL超时,TraceRoute就是利用该功能达到路径检测的目的。
过多的TTL超时报文,会冲击网络设备的控制平面,导致网络设备正常业务处理性能的下降。
H3C S12500产品支持TTL超时报文的检测和过滤功能,当设备收到TTL等于0或者等于1的IP报文时,直接丢弃,不进行转发或者上送CPU处理。