锐捷网络极简X SDN——内网安全与协防方案部署指导(试点)

这篇具有很好参考价值的文章主要介绍了锐捷网络极简X SDN——内网安全与协防方案部署指导(试点)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

Ⅰ  方案介绍

Ⅱ  方案原理

Ⅲ  方案组件

Ⅳ  方案限制

Ⅴ  实施前准备(基础环境准备)

Ⅵ  部署指导



锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

 

Ⅰ  方案介绍

一、方案概述

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

 以XXXXXX人民医院的拓扑为例,传统的安全部署均部署在出口或者服务器区,这种安全的部署可以有效的进行南北向的安全防护,但是对于东西向的防护与传播无能力为。这种部署模式会出现几种典型问题:

1、安全防御系统大多部署在出口/数据中心区域,可以有效的防止南北向扩散,对于东西向防御能力弱;

2、受病毒感染主机不能及时做隔离、及时阻止病毒的传播,导致病毒横向扩散严重。

3、投资了大量的安全资金后,但是安全的利用率不足。

 对于问题3,我司已经推出了ServiceChain方案,将安全设备资源池化,提高设备的整体利用率和部署的灵活性;

对于内网安全,导入BDS对内网设备的日志进行分析,如果有出现异常终端则需要进行隔离,由于涉及到可视化,需要在SDN控制器上实现对安全态势感知平台BDS的对接呈现,并完成隔离策略下发到设备。


Ⅱ  方案原理

一、内网安全溯源

  通过BDS-TSP探针,采集设备流量,进行内网安全分析,识别失陷终端

二、BDS和SDN联动,实现对失陷终端的阻断

BDS和SDN控制器的联动由BDS的自动阻断功能出发,根据失陷终端的IP/MAC调用SDN控制器的接口进行接入设备查询,并下发对应的ACL到接入设备上。整体流程如下:

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

(1)信息查询

  BDS在呈现失陷终端更多维信息时,通过IP/MAC向SDN控制器发起终端信息查询,可以获取包括终端接入位置信息、终端用户信息等。而SDN控制器是通过SNMP/SSH通道,定时采集设备的arp/mac表来获取整网的终端信息,其中采集频率默认是:ARP表15分钟,MAC表5分钟,并根据拓扑的链路信息,排除内联口的mac地址,来获取到终端的接入位置

(2)策略下发

  BDS在执行失陷终端自动阻断功能时,调用SDN控制器的接口,下发阻断ACL/ACE到对应的交换机设备上。

(3)策略回收

  当失陷终端恢复正常后,BDS可撤销阻断,调用SDN控制器的接口,对其所下发的阻断ACL/ACE做撤销删除操作


Ⅲ  方案组件

1、安全协防方案主要组件为INC、BDS、接入汇聚核心交换机。

产品型号

软件版本

功能说明

交换机

11.x 12.x系列交换机:需要同时支持SSH、SNMP、SFLOW和全局ACL即可


Ⅳ  方案限制

一、INC上失陷终端位置识别限制

   BDS阻断失陷终端,INC下发对应ACL,需要INC上能够检测到终端在线信息(BDS阻断某个失陷终端,需要该终端,在INC上在线,否则BDS会阻断失败),而要计算到正确的接入位置,需要全网设备的SNMP/SSH都在线(SNMP协议用来发现终端位置,SSH协议用来下发/撤销ACL)、学习完整的ARP、MAC表项以及链路都学习齐全。

  接入位置识别异常的情况,主要包括以下几种:

1、ARP/MAC采集时间未到,无法获取到终端信息

     采集时间,ARP表默认是15分钟,MAC表默认是5分钟,此时,如果BDS阻断终端失败,可以在INC上查看对应终端是否正常在线,在终端流量正常的情况下,等待相应时间,正常情况下,INC能够采集到对应的终端信息,届时,BDS再做相应的操作即可

2、设备SNMP/SSH不在线,采集不到终端,无法获取到终端信息

     SNMP不在线,则无法获取到终端位置信息,SSH不在线,则对应ACL无法下发

3、设备SNMP/SSH不在线,终端接入位置计算不正确

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

 以主机1为例,它的接入位置在位置1

场景1:接入设备1的SNMP不在线则在接入设备1采集不到主机1的MAC表,则学习到的接入位置是位置2

场景2:汇聚设备1的SNMP不在线由于核心设备1的位置3学习到的主机MAC地址不能被排除掉,则学习到的接入位置是位置1和位置3,此时,INC上显示的终端接入位置信息,则位置1和位置3中,随机选择一个

场景3:接入设备1、汇聚设备1、核心设备1和汇聚设备2的SNMP/SSH都不在线则学习到的MAC地址是在位置5,则学习到的接入位置是位置5,此时,如果主机1失陷,对应的阻断ACL下发到接入设备2上,则无法实际阻断失陷终端的攻击

二、INC下发到设备的ACL,不支持一致性

  当设备端主动删除活修改INC下发的阻断ACL/ACE时,本方案暂不支持该命令的一致性,即控制器不会重新添加/修改该ACL/ACE

三、接入设备型号限制

    该方案不支持10.x的设备,主要原因有两个:

(1)10.x的设备,不支持sflow相关配置,BDS无法采集到终端流量信息

(2)10.x设备,不支持全局acl的应用,BDS无法下发阻断acl

四、安全协防方案,目前只能用于underlay场景。
由于overlay场景,INC的snmp对于vxlan mac的读取,目前还未做适配,导致终端位置信息存在异常,因此overlay场景,无法部署安全协防方案


Ⅴ  实施前准备(基础环境准备)

1、RG-INC-PRO已升级至最新版本,或者之后的版本:(该版本只能在RG-ONC-AIO-E\RG-ONC-AIO-H硬件服务器上部署,或者在虚拟机中部署,详细步骤请参考——RG-INC初始化部署与维护——SDN产品介绍与安装章节)

2、RG-BDS升级至支持与INC对接的版本,(具体版本请咨询4008111000 RG-BDS的工程师)

3、交换机与INC、BDS完成对接

3.1 交换机INC对接:请参考“05 RG-INC 基础功能介绍(设备纳管、IP地址监控、免认证、环路监控、分级分权)”章节,

3.2 交换机与BDS对接

3.2.1 交换机配置sflow采样

全局配置

Ruijie(config)# sflow agent address 172.18.159.51    //交换机与BDS通信的源地址

Ruijie(config)# sflow collector 1 destination 10.18.92.39 6343      //采样ID,指向BDS的地址,以及对接的协议端口号

Ruijie(config)# sflow counter interval 30   //采样间隔(秒),依据实际情况修改,推荐为30,测试情况下,可以调短

Ruijie(config)# sflow sampling-rate 8192     //采样率,推荐为8192,测试情况下,可以调小

接口配置(针对接口进行采样)

Ruijie(config)# interface TenGigabitEthernet 0/1

Ruijie(config-if-TenGigabitEthernet 0/1)# sflow flow collector 1    //开启flow采样,采样ID与之前对应

Ruijie(config-if-TenGigabitEthernet 0/1)# sflow counter collector 1    //开启counter采样,采样ID与之前对应

Ruijie(config-if-TenGigabitEthernet 0/1)# sflow enable    //接口是能slow采样

Ruijie(config-if-TenGigabitEthernet 0/1)# end 

3.2.2 BDS添加交换机(请联系BDS工程师获取帮助)

4、RG-INC已经完成基本的设备纳管、业务网、业务子网等部署,并且RG-INC可以看到在网的终端设备。如下图

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络


Ⅵ  部署指导

一、BDS和INC对接

1、BDS和单机INC对接

(1)INC上添加BDS ip

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

(2)BDS上添加INC ip

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

(3)BDS上测试与INC的连通性

在BDS与OINC相关参数都填写正确的情况下,点击测试,则可返回二者连接成功的提示

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

2、BDS与集群INC对接

(1)集群INC LVS配置

进入INC部署配置页面,配置LVS虚ip与实ip为同一网段IP,三台INC都做相应配置,使得集群控制器对外呈现统一的虚ip。

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

(2)INC上添加BDS ip

分别进入这4个(3个集群成员ip+一个对外的虚拟lvs ip) INC ip的web界面,在【admin】->【系统管理】->【访问配置】->“第三方平台访问控制器配置”,添加对应的BDS IP

(3)在BDS上添加集群INC的LVS ip

对于集群控制器,BDS上仅需添加集群INC对外所呈现的LVS ip即可

二、终端失陷,BDS发现失陷终端

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

三、BDS阻断失陷终端

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

四、INC下发对应的阻断ACL到接入设备上

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

五、终端恢复正常后,BDS撤销阻断

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

六、INC将对应的撤销ACL下发到接入设备上

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络

七:注意事项:

BDS阻断某个失陷终端,需要该终端,在INC上在线,否则BDS会阻断失败

锐捷网络极简X SDN——内网安全与协防方案部署指导(试点),锐捷网络,人工智能,网络,tcp/ip,网络协议,锐捷网络文章来源地址https://www.toymoban.com/news/detail-774424.html

到了这里,关于锐捷网络极简X SDN——内网安全与协防方案部署指导(试点)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 锐捷RSR系列路由器_安全_NAT 网络地址转换

    目录 01  NAT简介 02  源地址转换 2.1  上网配置-ADSL拨号(PPPoE)出口 2.2  上网配置——无交换口路由器 2.3  上网配置——固化交换模块路由器 2.4  上网配置——多出口及permit-inside功能 03  外部源地址转换 04  NAT实现TCP负载均衡 05  双向NAT转换 06  VRF  NAT 07  常见问题和故障

    2024年02月04日
    浏览(46)
  • 使用内网端口映射方案,轻松实现U8用友ERP的本地部署异地远程访问——“cpolar内网穿透”

    搭建在公司或家里局域网内的如:财务软件、ERP、OA、CRM等电脑主机在没有公网地址的情况下是如何实现远程访问,在没有提供公网地址的,只能使用同账号同地域的公司或家里局域网之间内网连接,那我们想要从外部来远程访问财务软件要怎么办呢? 想要从外部远程访问公司

    2024年02月08日
    浏览(50)
  • 【内网安全】搭建网络拓扑,CS内网横向移动实验

    实验拓扑结构如下: **攻击者win10地址:**192.168.8.3 dmz win7地址: 10.9.75.49 172.16.1.1 **DC server2008地址:**172.16.1.254 CS服务器 kali: 10.9.75.171 1、搭建CS服务器,CS客户端连接 攻击者充当CS客户端连接 开启监听 生成木马 攻击者win10 攻击者访问dmz的Web服务器,上传一句话木马,蚁剑连

    2024年02月03日
    浏览(46)
  • 内网穿透的应用-Linux JumpServer堡垒机:安全远程访问解决方案

    JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。JumpServer 帮助企业以更安全的方式管控和登录所有类型的资产,实现事前授权、事中监察、事后审计,满足等保合规要求。 下面介绍如何简单设置即可使本地jump server 结合cpolar 内网穿透实现远程访问

    2024年02月07日
    浏览(47)
  • 网络安全-内网DNS劫持-ettercap

    什么是DNS呢 DNS就是你访问网站,比如百度,你知道百度的域名www.baidu.com,但是你并不知道他全国各地的他那个那个IP位于哪里 那么DNS就会这个去查找对应的IP以及域名给你解析让你正常的上网 这个里面的文件夹全部拉进去kali的桌面即可,准备好的劫持的环境 双击点开index

    2024年02月09日
    浏览(36)
  • 网络安全(黑客)内网渗透基础知识

    0x01 内网概述 内网也指局域网(Local Area Network,LAN)是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的历程安排、电子邮件和传真通信服务等功能。 内网是封闭型的,它可以由办公

    2024年02月13日
    浏览(56)
  • 【网络安全】Seeker内网穿透&追踪定位

    首先我们来说一下定位原理,首先我们需要在本地虚拟机上利用seeker生成一条链接,但是该链接只允许本地访问,无法在互联网上被其他用户访问。 而我们每个人用的手机、电脑、平板也可以看成一个内网,无法访问到本地虚拟机,两者互不相通。要想实现两者互通,需要利

    2024年02月06日
    浏览(44)
  • SDN(软件定义网络)基本概念

    SDN(Software Defined Network)是“软件定义网络”的缩写,它是一种网络架构和技术,旨在将网络控制器与数据转发分离开来,以提高网络管理的灵活性和可编程性。传统的网络架构中,网络控制器和数据转发通常是耦合在一起的,而SDN通过将它们分离,可以使网络管理员更轻松

    2024年02月06日
    浏览(42)
  • 【计算机网络详解】——软件定义网络SDN(学习笔记)

    软件定义网络(Software Defined Network,SDN)的概念最早由斯坦福大学的Nick McKeown教授于2009年提出。 SDN最初只是学术界讨论的一种 新型网络体系结构 。 SDN成功案例:谷歌于2010~2012年间建立的数据中心网络B4。 SDN是当前网络领域最热门和最具发展前途的技术之一,成为近年来的

    2024年02月10日
    浏览(33)
  • 【网络安全】DVWA靶场实战&BurpSuite内网渗透

    我们先来认识一下BurpSuite中有哪些攻击模式,然后开始实战操作 下面攻击案例即将使用,对单个参数进行攻击破解 联想战争中狙击手的作用,一次只能击杀一名敌人 联想古代的攻城锤,特点就是攻击范围比狙击手大,但是效率不一定高 可以设置多个攻击字段,但是payload值

    2024年02月13日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包