华为数据中心网络安全技术白皮书

HUAWEI 数据中心网络安全技术白皮书

目录

1数据中心网络安全概述 (6)

1.1“三大平面”安全能力与风险防御目标 (7)

2网络安全威胁分析 (9)

2.1拒绝服务 (9)

2.2信息泄漏 (9)

2.3破坏信息完整性 (9)

2.4非授权访问 (10)

2.5身份欺骗 (10)

2.6重放攻击 (10)

2.7计算机病毒 (10)

2.8人员不慎 (11)

2.9物理入侵 (11)

3管理平面安全 (12)

3.1接入控制 (12)

3.1.1认证和授权 (12)

3.1.2服务启停控制 (12)

3.1.3服务端口变更 (12)

3.1.4接入源指定 (13)

3.1.5防暴力破解 (13)

3.2安全管理 (13)

3.2.1SSH (13)

3.2.2SNMPv3 (14)

3.3软件完整性保护 (14)

3.4敏感信息保护 (14)

3.5日志安全 (14)

4控制平面安全 (16)

4.1TCP/IP安全 (16)

4.1.1畸形报文攻击防范 (16)

4.1.2分片报文攻击防范 (17)

4.1.3洪泛报文攻击防范 (17)

4.2路由业务安全 (18)

4.2.1邻居认证 (18)

4.2.2GTSM (19)

4.2.3路由过滤 (19)

4.3交换业务安全 (20)

4.3.1生成树协议安全 (20)

4.3.2ARP攻击防御 (22)

4.3.3DHCP Snooping (25)

4.3.4MFF (27)

5数据平面安全 (28)

5.1应用层联动 (28)

5.2URPF (28)

5.3IP Source Gard (29)

5.4CP-CAR (29)

5.5流量抑制及风暴控制 (30)

数据中心网络安全技术白皮书

关键词：

网络空间、网络安全、数据中心网络

摘要：

网络空间已经成为社会生产力发展的新方向，网络安全问题也随之衍生。本文描述了数据中心网络产品具备的基础性网络安全能力。

缩略语清单：

1 数据中心网络安全概述

过去的几十年间，信息和网络技术的爆炸式发展给社会带来了一场深刻变革。这场变革使得我们所处的世界逐步信息化并互相连接，也逐步建立和形成了社会生产力发展的新方向——网络空间，并不断推动着社会进步。然而，在整个社会受益于信息和网络技术革命所带来巨大收益的同时，现实生

活中各种由来已久的非法活动也自然地延伸到网络空间，如故意破坏、盗窃、扰乱、间谍活动和肆意毁坏等行为，也由此而衍生出网络空间的安全问题。

网络空间中的安全问题本质上表现为攻击与防御之间的一对矛盾。一方面，攻击者利用资源（指计算机系统或系统中的信息）的安全脆弱性破坏其保密性、完整性和可用性；另一方面，资源所有者需要识别、减少乃至消除资源的脆弱性，以降低或消除攻击者利用安全脆弱性对资源进行攻击的风险。作为网络空间中端系统的连接纽带，网络设备常常成为攻击目标。而且由于网络空间的互联性，网络设备自身出现的安全问题通常会给整个网络空间带来很大的负面影响。因此，网络设备自身的安全防御能力成为构建整个网络空间安全的重要基石。

如下图所示，数据中心网络遵循X.805的三层三面安全隔离机制，其体系架构如下：

通过将管理面、控制面和转发面进行隔离，数据中心网络能够保证任何一个平面在遭受攻击时，不会影响其他层面的正常运行网络设备从功能组成上通常划分为“三个平面”，即管理平面、控制平面和数据平面。相应地，数据中心网络的安全能力也主要表现在管理平面安全、控制平面安全和

数据平面安全几个方面。

●管理平面安全：管理平面主要负责处理来自设备管理用户的各种操作维护活动，管理平面安

全主要保护设备管理用户对设备的各种操作维护活动安全。针对各种管理协议可能存在

的安全漏洞引入各种安全机制，提供安全的管理通道，对管理过程中的敏感信息进行保护

等。

●控制平面安全：控制平面负责维护各种网络协议的运行以控制数据流的交换和路由，控制

平面安全主要保护各种控制或信令协议自身运行的安全，以保证控制平面的可用性以及防止对网络控制信息的泄漏或滥用。

●数据平面安全：数据平面主要负责处理进入设备的数据流，根据控制平面下发的各种表项

加工和转发各种数据报文，数据平面安全指利用数据平面对上送到设备CPU处理的报文进行过滤或控制，提升管理平面或控制平面的抗攻击能力，从而降低设备安全风险。这些过滤或控制功能主体上在数据平面完成，但由数据中心网络实现策略控制。

白皮书重点描述数据中心网络在管理平面安全、控制平面安全和数据平面安全方面所具备的基础性安全能力。

1.1 “三大平面”安全能力与风险防御目标

数据中心网络“三大平面”（转发、控制、管理）提供了丰富的安全能力，下表列出了每一种安全能力能够防御的安全攻击的类型：

数据中心网络安全能力与风险防御目标汇总

2 网络安全威胁分析

2.1 拒绝服务

一般的网络设备的转发处理能力很强大，但是控制面和管理面处理能力有限。攻击者通过向网络设备发起海量的消息请求，导致网络设备CPU无法实时处理消息，引发正常的业务交互流程、内部处理流程阻塞，达到拒绝服务的目的。

拒绝服务是网络设备面临的最大的威胁，在安全加固配置时，要求重点考虑拒绝服务类攻击的防御。

2.2 信息泄漏

网络设备面临的信息泄漏威胁，最重要的风险就是非授权的访问，可以分成如下几种情况：

1.利用系统配置疏忽：网络设备为了某些特定场合的便利性，提供了免认证登录的模式，

在现网部署是由于疏忽没有关闭此模式，导致恶意用户非授权访问。

2.利用管理流程疏忽：网络设备为了开局方便，通常使用一套配置文件作为模板开局，由于

管理员疏忽，没有修改管理员账号密码，引发非授权访问。

3.利用IP 网络开放性的缺陷：恶意用户通过在网络上部署嗅探器、监听设备，把传输的

IP 报文截获并进行解析，达到信息泄漏目的。

4.存储介质泄密：网络设备的单板、存储介质，从一个地方转移到另一个地方时，由于缺乏

存储介质加密机制，造成泄密。

2.3 破坏信息完整性

IP网络的开放性，导致报文在传输过程中，可能会被中间转发节点进行恶意篡改，导致信息传输失真，或者被中间人有意识的修改消息内容，达到攻击的目的。