前言

其中一個關鍵要素到建立一個成功的網絡安全設計是識別和強制執行 一個適當信任模式。適當信任模式定義了誰需要談與誰并且 什么樣的數據流需要被交換; 應該否決其他數據流。一旦適當信任模式被識別，然后安全設計員應該決定如何強制執行 型號。 因為重要資源是全局可用的并且網絡攻擊的新的表演 變，網絡安全基礎設施傾向于變得更加復雜，并且更多產品是可用 的。 防火墻、路由器、LAN交換機、入侵檢測系統、AAA服務 器和VPN是可幫助強制執行型號的某些技術和產品。當然，每 一個這些產品和技術在整體安全實施之內扮演一個特定的角色，并 且了解設計員是重要的這些元素如何可以配置。

使用的組件

本文不限于特定軟件和硬件版本。

背景信息

識別和強制執行一個適當信任模式似乎是一項非常基 本任務，但在幾年支持的安全實施之后，我們的經驗表明安全事件 經常與惡劣的安全設計有關。通常這些設計差是不強制執行 一個適當信任模式的一個直接后果，有時因為什么是公正必要的沒 有了解，其他次正因為充分地沒有了解也沒有誤用介入的技術。

本文詳細解釋如何二個功能可用在我 們的Catalyst交換機，專用VLAN (PVLANs)并且VLAN 訪問控制表 (VACLs)，在兩可幫助保證適當信任模型企業并且服務提供商環境。

強制執行適 當信任模式的重要性

不強制執行適當信任模型的一個立即后果是整體安全實施變得較不 對免疫有惡意的活動。非敏感區域(DMZs)普通是被實施沒有 強制執行正確的制度因而實現一個潛在入侵者的活動。此部 分分析DMZs經常如何是被實施和設計差的后果。我們以后將 解釋如何緩和，或者在最佳的案件避免，這些后果。

通常，DMZ服務器只應該處理流入請 求從互聯網和最終首次與一些后端服務器的連接位于里面或其他DMZ 分段，例如數據庫服務器。 同時，DMZ服務器不應該彼此談 或首次與外界的任何連接。這在一個簡單信任型號清楚地定 義了必要的數據流; 然而，我們經常看型號不足夠被強制執 行的這種。

設計員通常傾向于使用 一個共用段實現DMZs為所有服務器沒有對數據流的任何控制他們之 間。例如，所有服務器位于普通的VLAN。因為什么都 在同樣VLAN之內不控制數據流，如果其中一個服務器被攻陷然后在 同一個分段可以使用同一個服務器來源攻擊對任何服務器和主機。 這清楚地實現展開端口重定向或應用層攻擊的一個潛在入侵 者的活動。

一般，只用于防火墻和信 息包過濾器控制流入的連接，但是什么都通常沒有完成從DMZ限制被 發起的連接。一些時間前有允許入侵者通過發送HTTP流開始X 終端仿真程序會話的cgi-bi腳本的一個著名的弱點; 這是應 該由防火墻允許的數據流。如果入侵者足夠幸運，他或她可 能使用另一種款待得到根提示，典型地緩沖溢出攻擊。這類 問題可以通過強制執行一個適當信任模式避免的大多時代。首先，服務器不應該彼此談，并且不應該于這些服務器其次發起連 接與外界。

同樣備注適用于許多其他 方案，去從所有正常不信任的分段至小型服務器站在應用程序服務 提供商。

PVLANs和VACLs在Catalyst 交換機可幫助保證一個適當信任模式。PVLANs將通過限制主 機的之間數據流幫助在一個共用段，而VACLs將通過提供對產生或被 注定的所有數據流的進一步控制貢獻給一個特定段。這些功 能在以下部分討論。

專用VLAN

PVLANs是可用的在運行CatcOs 5.4或以上，在 Catalyst 4000的Catalyst 6000，2980G、2980G-A、運行 CatcOs 6.2或以上的2948G和4912G。

從我們的透視圖，PVLANs是準許分離數據流在把廣播分段的變成第 二層的一個工具(L2)一個非廣播multi-access-like分段。 交易在所有端口來自到交換機一個混亂端口(即是能轉發主要和輔助 VLAN)能出去屬于同樣主VLAN的端口。交易(它可以是查出， 屬性或者走向交換機自端口被映射對輔助VLAN 的雙向屬性VLAN)可 以轉發到屬于同一屬性VLAN 的一個混亂端口或端口。多個 端口映射對同樣隔離VLAN不能交換任何數據流。

以下鏡象顯示概念。

圖1：專用VLAN

498)this.style.width=498;" align=center vspace=1 border=1>

主VLAN在藍色 表示; 輔助VLAN在紅色和黃色表示。Host-1連接到屬 于輔助VLAN紅色交換機的端口。Host-2連接到屬于輔助 VLAN 黃色交換機的端口。

當主機傳 輸時，數據流運載輔助VLAN。 例如，當時Host-2傳輸，其數 據流在VLAN 黃色去。當那些主機接受時，數據流來自VLAN 藍色，是主VLAN。

路由器和防火墻其 中連接的端口是混亂端口因為在映射能轉發數據流來自每個輔助 VLAN定義的那些端口并且主VLAN。端口連接到每主機能只轉 發來自主VLAN和輔助VLAN 的數據流配置在該端口。

圖畫表示專用VLAN作為連接路由器和 主機的不同的管道：包所有其他的管道是主VLAN (藍色)和數 據流在VLAN藍色從路由器流到主機。管道內部對主VLAN是輔 助VLAN，并且移動在那些管道的數據流是從主機往路由器。

當鏡象顯示，主VLAN能包一個或更多 輔助VLAN。

及早在本文我們說PVLANs 幫助在一個共用段之內通過簡單保證主機的離析強制執行適當信任 模式。即然我們知道更多專用VLAN ，讓我們看見這在我們最 初的DMZ方案如何可以實現。服務器不應該彼此談，但是他們 還是需要與他們被聯系的防火墻或路由器談。在這種情況下 ，當應該附有路由器和防火墻混亂端口時，應該連接服務器到隔離 的端口。通過執行此，如果其中一個服務器被攻陷，入侵者 不會能使用同一個服務器來源攻擊到另一個服務器在同一個分段之 內。交換機將投下所有信息包以線速，沒有任何影響性能。

另一個注意事項是這種控制可以只是 被實施在L2設備因為所有切斷屬于相同子網。 沒什么每防火 墻或路由器能執行因為切斷將設法直接地溝通。另一個選項 是投入一個防火墻端口每個服務器，但這是可能太消耗大，難實現 和不擴展。

在后面，我們詳細描述您能使用此功能的一些其他典型的方案。

VLAN訪問控制表

VACLs是可用的在運行 CatcOs 5.3或以后的Catalyst 6000系列。

VACLs在一臺Catalyst 6500可以配置在L2 沒有需要 對于路由器(您只需要Policy Feature Card (PFC))。他們在配置VACLs被強制執行以線速那么那里是沒有影響性能在 Catalyst 6500。 因為VACLs查找在硬件執行不管訪問控制列 表的大小，轉發速率保持不變。

VACLs可以分開被映射對主要或備用VLAN 。有在輔助VLAN配置的VACL準許過濾主機產生的數據流沒有涉及路由 器或防火墻生成的數據流。

通過結合 VACLs和專用VLAN它是可能的對根據流量方向的過濾流量。例 如，如果二個路由器連接到分段和一些主機(例如服務器一樣)， VACLs在輔助VLAN可以配置以便主機生成的僅數據流被過濾當數據流 被交換在路由器之間是未觸動過的時。

VACLs可以容易地配置強制執行適當信任模式。 請分析我們的DMZ案件。服務器在DMZ應該服務僅流入 的連接，并且他們沒有預計首次與外界的連接。VACL可以適 用于他們的輔助VLAN為了控制離開這些服務器的數據流。注 意到是關鍵的，當時使用VACLs ，數據流在硬件降低那么那里是對 路由器的CPU的沒有影響亦不交換機。在案件一個服務器在分 布拒絕服務(DDos)攻擊涉及作為來源，交換機將降低所有非法數 據流以線速，沒有任何影響性能。相似的過濾器在服務器在 哪里連接到的路由器或防火墻可以被應用，但這通常有嚴重性能指 示。

VACLs 和PVLANs的已知限制

當配置過濾用VACLs時，您在PFC應該小心關于片段處理，根據硬件 的規格，并且那配置被調整。

假使 Catalyst 6500的Supervisor 1的PFC的硬件設計，明確地拒絕icmp 片段最好的。原因是互聯網控制信息協議(ICMP)片段和ECHO 回復由硬件認為同樣，默認情況下并且硬件被編程明確地允許片段 。如此如果想要從離開服務器終止回應數據包，您必須用線 路deny icmp any any fragment 明確配置 此。配置在本文考 慮到此。

有一個著名的安全限制對 PVLANs，是可能性路由器轉發數據流來自的取消相同子網。路由器能發送數據流橫跨阻撓目的對于PVLANs的隔離的端口。 此限制歸結于事實PVLANs是提供隔離在L2的工具，不在第三 層(L3) 。

有修正到此問題，通過在 主VLAN配置的VACLs達到。案例分析提供在主VLAN需要配置到 下落數據流產生由相同子網和路由回到相同子網的VACLs。

在一些線路卡，PVLAN映射/映射/中 繼端口的配置是受多個PVLAN映射其中必須屬于不同的端口專用集成 電路的一些限制支配(ASIC)為了獲得配置。那些限制在新的 端口ASIC Coil3 被去除。參見軟件配置的最新的 Catalyst 交換機文檔的這些詳細資料。

示例分析

以下部分描述三個案例 分析，我們相信是多數實施代表并且給予詳細資料與PVLANs 和 VACLs的安全部署有關。

這些方案是 ：

轉接DMZ

外部DMZ

與防火墻并聯 的VPN集中器

轉接DMZ

這是其中一個最普通配置的方案。 在本例中 ，DMZ實現一個轉換區域在二個防火墻路由器之間如下圖所示的。

圖2：轉接 DMZ

498)this.style.width=498;" align=center vspace=1 border=1>

在本例中，DMZ服務器應該由外部獲取并且內部用戶，但他 們不需要與彼此聯絡。 在某些情況下，DMZ服務器需要打開 與一臺內部主機的連接。同時，內部客戶端應該訪問互聯網 沒有限制。一個好例子將是那個帶有網絡服務器在DMZ，需要 與位于內部網絡的數據庫服務器聯絡和有內部的客戶端訪問互聯網 。

配置外部防火墻允許與服務器的 流入的連接位于DMZ，但通常過濾器或限制沒有被運用于流出的數據 流，于DMZ發起的特殊數據流。因為我們及早在本文討論，這 能潛在實現一名攻擊者的活動為二個原因： 第一個，當其中 一臺DMZ主機被攻陷，其他DMZ主機顯示; 第二個，攻擊者能 容易地利用向外的連接。

因為DMZ服 務器不需要彼此談，推薦是確定他們查出在L2。而連接到二 個防火墻的端口將被定義如混亂，服務器端口將被定義作為PVLANs 隔離的端口。定義主VLAN為防火墻和輔助VLAN為DMZ服務器將 達到此。

將用于VACLs控制于DMZ發 起的數據流。 這將防止一名攻擊者能打開非法向外的連接。 記住DMZ服務器不僅將需要回復帶有對應于客戶端會話的數據 流是重要的，但他們也將需要一些其它服務，例如域名系統(DNS)和 最大傳輸單元(MTU)(MTU)路徑發現。 如此，ACL應該允許 DMZ服務器需要的所有服務。