基礎網絡保護策略NFPP技術白皮書>/ —1—前言摘要NFPP（NetworkFoundationProtectionPolicy基礎網絡保護策略）是用來增強交換機安全的一種保護體系，通過對攻擊源頭采取隔離措施，可以使交換機的處理器和信道帶寬資源得到保護，從而保證報文的正常轉發以及協議狀態的正常。文章闡述了NFPP的開發背景和基本技術原理，以及銳捷網絡在該項技術中的應用特點和配置實例。關鍵詞NFPP、攻擊、保護、隔離縮略語清單縮略語英文全名中文解釋NFPPNetworkFoundationProtectionPolicy基礎網絡保護策略URPFUnchasteReversePathForwarding單播路徑轉發QOSQualityofService服務質量CPPControlPlanePolicy控制平臺策略ACLAccessControlList訪問控制列表目錄TOC\o"1-5"\h\z\o"CurrentDocument"前言 1\o"CurrentDocument"NFPP技術框架 2交換機體系結構 2\o"CurrentDocument"NFPP技術 2\o"CurrentDocument"攻擊檢測的技術 3\o"CurrentDocument"實施保護的技術 3\o"CurrentDocument"檢測、保護的過程 4\o"CurrentDocument"NFPP工作原理 5\o"CurrentDocument"NFPP保護策略 5\o"CurrentDocument"分類 5\o"CurrentDocument"入隊 5\o"CurrentDocument"策略 6\o"CurrentDocument"NFPP的工作流程 7\o"CurrentDocument"銳捷NFPP技術特點 9\o"CurrentDocument"NFPP應用 10\o"CurrentDocument"5.1 設置策略 10\o"CurrentDocument"識別攻擊 11\o"CurrentDocument"隔離用戶 11\o"CurrentDocument"實例解析 11\o"CurrentDocument"結束語 13前言由于計算機網絡體系結構的復雜性及其開放性等特征，使得網絡設備及數據的安全成為影響網絡正常運行的重要問題。分析當前網絡設備受到的攻擊主要表現如下：拒絕服務攻擊可能導致到大量消耗內存等資源，使用系統無法繼續服務。大量的報文流送向CPU,占用了整個送CPU的報文通路的帶寬，導致正常的控制流和管理流無法達到CPU，從而帶來協議振蕩無法管理，進而影響到數據面的轉發。如果是核心設備將導致整個網絡無法正常運行。由于大量的報文導致控制的處理消耗了大量的CPU資源，從而影響用戶通過CLI對設備進行管理。在發現有攻擊現象時，即使能采取一些簡單的安全防護措施（如廣播風暴控制）減緩設備壓力，但無法及時定位發現攻擊源，然后由整網設備協作制定安全策略，防止異常攻擊數據影響到全網，無法從根本上杜絕網絡中存在的安全問題。目前業界已開發了一些用于防攻擊的功能模塊（比如：ACL、QOS、URPF、SysGuard、CPP等等），通過這些功能模塊自行建立攻擊檢測和保護的機制，并提供對外的管理接口。但實現得不夠系統，基本是針對一個問題解決一個問題，在體系上沒有統一的框架。從現有的數據幀實現的流程來看，缺乏從流的主干上考慮實施防攻擊保護。為了在這個日益重視安全性的環境中應對日益復雜的攻擊，銳捷網絡致力開發出一套完整的網絡基礎保護體系，稱之為基礎網絡保護策略（NetworkFoundationProtectionPolicy），簡稱NFPP。NFPP技術能夠對設備本身實施保護，通過對報文流進行限制、隔離，以保證設備及網絡可靠、安全、有效地運行。NFPP技術框架交換機的功能在邏輯上可以劃分為三個層面：數據面、管理面、控制面。數據面(DataPlane)：負責處理和轉發不同端口上各種類型的數據，對交換機的性能表現起決定作用，如IP報文。控制面(ControlPlane)：控制面負責控制和管理所有網絡協議的運行，它通過網絡協議提供給交換機對整個網絡環境中網絡設備、連接鏈路和交互狀態的準確了解，并在網絡狀況發生改變時做出及時的調整以維護網絡的正常運行。管理面(ManagementPlane)：管理面是提供給網絡管理人員，使其能夠以TELNET、WEB、SSH、SNMP、RMON等方式來管理設備，并支持、理解和執行管理人員對于網絡設備各種網絡協議的設置操作。針對交換機設備而言，數據的路由和交換過程主要由硬件來完成，而CPU主要對控制流、管理流和部分交換芯片無法處理的數據流進行處理，并同時提供交互界面供用戶進行本地管理配置。2.2NFPP技術大量的報文流送向CPU，占用了整個送CPU的報文通路的帶寬，導致正常的控制流和管理流無法達到CPU,從而帶來協議振蕩無法管理，進而影響到數據面的轉發，如果是核心設備將導致整個網絡無法正常運行。NFPP接受報文的端口或者發送到CPU通過對送往CPU的報文進行攻擊檢測，的場景進行安全檢測，采取相應保護措施，從而達到對管理面、數據面和控制面的保護作用。NFPP整體框架(見下圖)：

調用驅動設置硬件實現保護.調用驅動設置硬件實現保護.配置與回顯配置與回顯異步發布攻擊消息通告.實施軟件保護策略.實施硬件保護策略(option).收幀驅動回調流傳遞保護模塊的幀處理圖2-1NFPP整個框架可以分為軟件平臺和硬件平臺兩大部分，軟件平臺主要復雜報文流的分類和策略的實施，NFPP工作原理對此由詳細講述。硬件平臺主要對非法用戶進行硬件隔離，以達到保護cpu資源的目的。這也符合NFPP“早發現，早隔離”的原則。同時結合IPFIX(IPinformationFloweXport)流量監控技術基于端口進行流量監測，幫助網絡管理者快速鎖定異常不安全的數據源，在網絡管理平臺全網下發NFPP安全策略，及早的隔離非法數據源。攻擊檢測的技術對攻擊的檢測技術主要是通過將具體報文流的數量、內容以及來源根據預設定的條件進行判斷,或者根據設備本身進行智能判斷。同時可結合銳捷網絡的IPFIX(IPinformationFloweXpor)流量監控技術，基于端口發現網絡中存在的異常數據流，并上報事件到全網統一的安全管理平臺，網絡管理者鎖定異常目標后并通過安全管理平臺下發NFPP安全策略，隔絕異常數據源，從而達到全網安全防護的效果。實施保護的技術NFPP針對檢測到的攻擊流主要采取主動保護和被動保護措施：主動保護的技術主要是對操作對象制定某些操作行為約束，按照該約束就盡可能的避免被攻擊。被動保護的技術主要是對攻擊源進行抑制，抑制的方式包括拒絕、限速、隔離。保護技術還可以分為軟件保護和硬件保護兩類，硬件保護在前，軟件保護在后。他們是一種相輔相成的關系。硬件保護可以使軟件保護在盡量少占用資源的情況下更高效的執行。軟件保護可以彌補硬件保護中的不足，使保護策略更加細化，更加靈活。結合IPFIX技術,將流量發送到安全事件中心，判斷出攻擊源后全網設備協作，共同下發NFPP安全防護策略，保證整網設備都不受到異常數據的影響，保證整網穩定。檢測、保護的過程在實施保護前，檢測出攻擊，然后通過手動和自動（CLI、TRAP）的方式實施保護。檢測出攻擊后，實施保護的方法：可以通過設備提供數據信息進行人為判斷的方式，在判斷為攻擊的情況下將實施手動保護配置；可以通過設備本身進行智能判斷，而后自動的實施保護配置。對于智能判斷以及自動實施保護配置，能夠支持用戶預配置以按照用戶的意愿在過程中自動的進行。所有的保護如果通過一個設備來進行，顯然并不是最明智的。對于一個網絡而言，需要從接入設備、匯聚設備、核心設備共同進行協作來完成保護功能。為了實現跨設備間的協作保護，主要是通過IPFIX流量監控技術傳遞攻擊信息，并上報到安全管理平臺。再由安全管理平臺下發安全策略，整網協作完成保護功能。相對于上述的被動保護，主動保護過程相對比較簡單。主動保護往往是設備啟動服務之前就已經啟動了。約束的條件或者方法允許用戶在設備啟動服務前進行配置。NFPP工作原理3?1NFPP保護策略NFPP對報文流策略的實施可以分為三個主要的步驟：分類T入隊T策略3.1.1分類流分類是指采用一定的規則識別出符合某類特征的報文。分類規則指管理員根據管理需求配置的過濾規則。? 首先報文的作用，將報文分為控制流，管理流和數據流三大類。然后在此基礎上，依據報文的類型，將報文分為ARP，IPv4，IPv6，other四大類。最后可以繼續細分到用戶。如在ARP報文中還可以根據源MAC地址、源端口、vlan等相關信息來確定出某用戶的ARP報文。一般的分類依據都局限在封裝報文的頭部信息，如，源mac,源IP，vlan，端口，TTL值，源TCP/UDP端口號、目的TCP/UDP端口號等，這樣的細分，也是為了后面更有針對性的實施保護。鑒于此，NFPP不但可以在總體上對某類流進行策略的實施，還可以在細分流的基礎上對某端口或某個用戶進行限速甚至隔離。例如可以根據smac/sport/vlan三個特定字段對ARP類報文細分到用戶的程度，這樣當檢測到此用戶發送大量ARP報文時，就可以根據指定的策略對此用戶進行限速或者隔離。3.1.2入隊在整個NFPP實施的過程中，流表起到了舉足輕重的作用。每一個經過分類后的報文在流表中都可以找到對應的節點。在節點結構中維護著此類報文流所對應的策略項，如限速水線，告警水線等。根據數據流的報文類型以及細分的程度，維護節點結構的隊列可以分為一級流表和二級流表他們均采用高效的哈希鏈進行組織，有效保證了報文收發過程中的高效率。? 一級流表是靜態創建的，根據ARP，IPv4，IPv6,MACExtended四個一級分類定義的所有關鍵字組織的，記錄了最完整的流信息，一級流表對于每一個一級分類只能有一個，并且由流平臺初始化靜態創建。二級流表是可以由用戶動態創建和刪除的，是在一級流表的關鍵字基礎上，根據某些分類規則組成的二級關鍵字再次組織的節點集合，允許在每一個一級分類下多個并列共存。二級流表可以支持對于掃描攻擊的檢測，允許用戶在二級關鍵字基礎上增加掃描字段和掃描間隔的配置。策略經過分類的流要放入對應的隊列，隊列節點中不但保存著報文流的特征信息，還維護著此類流所對應的策略信息。如限速水線，告警水線，防掃描信息等。這些策略信息可以有效避免cpu資源過多的浪費在攻擊報文上，保證其處理正常的控制管理等報文。策略可以分為軟件保護和硬件隔離軟件保護是指NFPP會根據其對應的策略對報文做相應的處理，如計算報文的速度和在規定時間內接受的此類報文數量，并和其設置的策略值相比較。根據比較的結果向具體防攻擊模塊發出告警等通告，然后由模塊判斷作出相應的處理。在軟件保護的基礎上，硬件隔離室指，當防攻擊模塊收到NFPP發出的告警通告時，根據攻擊的性質會做出相應的處理措施，對特定的報文流進行限制。如可以調用NFPP的底層接口對攻擊源進行限速甚至硬件隔離。限速就是規定cpu在單位時間內接受此用戶報文流的最大值，超過的部分進行丟棄。如果發現某用戶確實是在發送大量的攻擊報文，也可以將此用戶進行硬件隔離，即在特定時間內不在接受此用戶發出的報文。3.2NFPP的工作流程上層報文處理--流分類流數據-庫一」上層報文處理--流分類流數據-庫一」圖3-1報文流被接收后就會根據預先定義好的分類規則進行流分類，這些規則和各種類型流的關鍵信息都保存在流數據庫中。首先報文會按作用類型分發管理類，控制類，數據類三種流，并對每一種流實施攻擊檢測策略。然后，再按照類型對報文分成圖3-1報文流被接收后就會根據預先定義好的分類規則進行流分類，這些規則和各種類型流的關鍵信息都保存在流數據庫中。首先報文會按作用類型分發管理類，控制類，數據類三種流，并對每一種流實施攻擊檢測策略。然后，再按照類型對報文分成ARP,IPv4,IPv6,other四種流。如果用戶還注冊了更為詳細的劃分，此分類過程還會繼續執行。等分類完成后，就會執行每一種流定義的策略。分類后的報文流進入分保護策略模塊，就會根據該流的類型判斷其是否超過速率限制，以決定該流的行為。保護的行為主要為:處理該限速范圍的流、丟棄所有流、丟棄超過限速范圍的流。配置相應的流類型將同時更新該類型到流分類及流數據庫管理模塊。該模塊可以進行動態的配置，配置的方法就是按照QOS的方法進行配置。然后報文流會進入攻擊檢測模塊，這些檢測機制也主要基于幀的數目，比如說檢測同一目的IP每秒攻擊的幀數目等。同時在檢測到攻擊后，將異步發送攻擊消息給外部模塊，消息的內容可以在注冊接收時同時指定。當報文流經過各種策略保護后，將被放入報文隊列。但在放入隊列前要對此類型的報文在隊列中所占的比例進行限制。這樣可以避免某種類型的流占滿隊列，導致各層的報文分發器一直處理某種類型的流而使其他類型的流得不到處理。當進行完上面的操作，如果報文合法，沒有被丟棄，就會送到報文隊列等待后面的處理。銳捷NFPP技術特點防止多種攻擊NFPP能夠防止目前網絡上常見的多種攻擊手段，包括ARP攻擊、ICMP攻擊、IP掃描攻擊及DHCP耗竭攻擊等，形成一套完整的保護體系，為用戶提供一個安全可靠的網絡平臺。配置靈活方便NFPP的用戶界面CLI命令設計簡單方便，這樣使用戶無需對相關專業知識有很深認識的情況下，也能完成配置。NFPP所實現的防攻擊技術如ARP防攻擊、ICMP防攻擊都集中在NFPP配置模式下進行配置，且對各種類型防攻擊的配置基本相仿，使得用戶只須熟悉其中一種配置就可以了。同時，用戶可以根據實際需要選擇相應功能，即可以選擇打開ARP防攻擊功能而關閉ICMP防攻擊功能。整網設備聯動結合銳捷網絡的IPFIX流量監控技術，可以基于端口進行流量檢測，將流量發送到上層網絡管理中心。一旦有異常流量，安全管理平臺就立即協助網絡管理者發現網絡中的非法數據源，并由網絡設備聯動整網下發NFPP安全策略，最終杜絕攻擊保證全網安全。支持特權用戶NFPP支持特權用戶，即管理者能夠設置一些可信任用戶為特權用戶。設置為特權用戶后，就不會對該用戶進行監控，即該用戶不會被限速，更不會被隔離。需要注意的是，特權用戶是針對某種攻擊而言，即若該用戶為ARP特權用戶，僅表示該用戶的ARP報文不受監控。NFPP應用基于對NFPP技術原理的理解，在此以ARP抗攻擊為例對NFPP的應用進行詳細剖析，下圖為NFPP對ARP攻擊的處理過程：5.1設置策略由防攻擊模塊向NFPP框架下發策略，說明需要創建的二級流表的類型。對于一種攻擊，可能會同時創建幾張二級流表，以識別更多種類的攻擊。例如針對ARP攻擊創建的二級流表類型表示如下：per-src-ip：表示由源IP地址、vlan和物理端口組成的三元組來確定一張二級流表。per-src-mac：表示由源mac地址、vlan和物理端口組成的三元組來確定一張二級流表。per-port:表示由端口確定一張二級流表。每張二級流表都包含限速水線和攻擊水線值。5.2識別攻擊假設用戶只開啟ARP抗攻擊功能，那么僅創建ARP報文的三張二級流表，該流表只對ARP報文生效。如果IP報文到達NFPP框架時，由于找不到對應的二級流表，可以直接通過，不對該報文進行監控。如果ARP報文到達，則會匹配相應的二級流表。以persrcip為例，會根據ARP報文的源IP、vlan和物理端口號進行匹配。如果匹配到二級流表的一條表項，則把該表項的統計值加1。如果沒有則增加一條表項。然后將這個統計值與限速水線相比較，如果超過就將報文丟棄。但報文統計值依然會增加。當這個值超過攻擊水線時，將打印出攻擊日志，并根據配置決定是否將該源IP的用戶進行隔離。5.3隔離用戶當識別出攻擊時，NFPP會根據用戶的配置決定是否對識別出的攻擊源進行隔離。攻擊源一旦被隔離，它所發送的相應的報文就會被立即丟棄。這里應該注意的是：隔離操作只是隔離該攻擊源發出的被識別