圖示SAFE設計準則:安全不是堆砌

思科公司制定的面向企業網絡的安全藍圖(SAFE)的主要目標是，為用户提供有關設計和實施安全網絡的最佳實踐信息。SAFE可作為正考慮其網絡安全性要求的網絡設計人員的指南。SAFE在網絡安全設計方面採用了深入防禦的方式。這類設計的重點在於所預測出的威脅及減輕威脅的方法，而不是單純地“將防火牆放在這兒，將入侵檢測系統放在那兒”等。該策略帶來了一種安全分層方式，這樣，一個安全系統的故障就不大可能引發對整個網絡資源的損壞。SAFE以思科及其合作伙伴的產品為基礎。

設計原則

SAFE最大限度地模擬了當今企業網絡的功能需求。實施決策取決於所需的網絡功能。而以下按重要順序列出的設計目標則是決策制訂過程的指導準則：

1 安全性和基於政策的攻擊緩解

2 整個基礎設施的安全實施（而非僅為具體安全設備）

3 安全性管理和報告

4 對關鍵網絡資源的用户和管理員驗證與授權

5 針對關鍵資源和子網的入侵檢測

6 對新興聯網應用的支持

7 模塊概念

儘管大多數企業網絡隨企業不斷提高的IT要求而發展，SAFE體系結構使用了環保型的模塊化方式。模塊化方式有兩種主要優勢。首先，它允許體系結構實現網絡各功能塊間的安全關係，其次，它讓設計者可逐個模塊地評估和實施安全性，而非試圖在一個階段就完成整個體系結構。

圖1 SAFE第一層模塊

圖1為SAFE的第一層模塊。每塊代表一個功能區域。互聯網接入服務供應商（ISP）模塊不由企業實施，而是用於提供ISP為緩解某些攻擊而可能需要的特定安全功能。

第二層模塊如圖2所示，對每個功能區中的模塊進行了展示，這些模塊在網絡中扮演特定角色，有特定的安全需求，但圖中模塊規模並不代表其在實際網絡中的大小。例如，代表最終用户設備的構建模塊可能包括80％的網絡設備。每個模塊的安全設計單獨描述，但作為整個企業設計的一部分加以驗證。

圖2 企業SAFE分塊構成圖

SAFE準則

路由器目標

路由器控制網絡間接入。它們向網絡廣播信息並過濾可以使用它們的人，它們是黑客潛在的最好朋友。路由器安全性是安全部署中的關鍵元素。可參考其他有關路由器安全性的文件。這些文件提供了有關下列方面的更多細節：

遠程通信網到路由器的接入; 簡單網絡管理協議（SNMP）到路由器的接入; 通過使用終端接入控制器接入控制系統＋（TACACS＋）來控制到路由器的接入; 關閉不需要的服務; 以適當級別登錄;路由更新的驗證。

交換機目標

和路由器一樣，交換機（第2層和第3層）有自己的一套安全考慮。而與路由器不同的是，有關交換機安全風險及為減輕這些風險而應採取的措施的公開信息並不十分豐富。上一部分“路由器目標”中描述的大多數安全技術均適用於交換機。此外，您應採取以下預防措施：

1 無需中繼的端口應將中繼設備置於關閉而非自動。

2 確保中繼端口使用的虛擬LAN （VLAN）號不會在交換機中的其他地方使用。

3 將交換機上所有未用端口設置為第3層連接的VLAN。

4 避免將VLAN用作保護兩個子網間接入的唯一方式。

主機目標

主機在攻擊中最有可能成為目標，從安全角度來講，也是最難保護的。它們有眾多的硬件平台、操作系統和應用，均在不同的時間段要升級、補丁和修復。因為主機向提出請求的其他主機提供應用服務，它們在網絡中是高度可視的。

為保護主機，就必須密切注意系統中的每個組件。使系統保持與最新補丁、修復等的同步。此外，要注意這些補丁對其他系統組件的運行有所影響，在對生產環境實施升級前，在測試系統上對其進行評估。如不這樣做，補丁本身就可能導致拒絕服務（DoS）。

網絡目標

最糟的攻擊是您無法中止的攻擊。分佈式拒絕服務（DDoS）正是這樣一種攻擊。通過與其ISP合作，用户才有希望挫敗這類攻擊。ISP可配置對該公司網站輸出接口的速率限制。

限制這類攻擊的方法之一是遵循RFC1918和RFC2827中列出的指導。RFC1918定義了保留專用且永遠不應在公共互聯網上看到的網絡。對於與互聯網相連的路由器上的輸入信息流，您可採用RFC1918和2827過濾來防止未授權信息流進入公司網絡。在ISP實施後，該過濾能防止DDoS攻擊使用這些地址作為流經WAN鏈路的源地址的信息包，從而在攻擊期間潛在地節約了帶寬。總之，如果全球的ISP均採取了RFC2827中的指導措施，源地址電子欺騙就會大大減少。此策略並未直接防止DDoS攻擊，而是防止這類攻擊破壞其源地址，這就會使跟蹤所攻擊網絡更方便。

應用目標

應用（大多數時）是由人編寫的，因此易於發生更多錯誤。這些錯誤可以是輕微的——如導致您文件錯誤打印的一個錯誤，也可以是惡意的——如使您信用卡號碼經由異步FTP在數據庫服務器上公佈。入侵檢測系統（IDS）旨在發現惡意問題，以及其他更常見的安全漏洞。思科建議將NIDS與HIDS系統組合起來——關鍵主機上設置HIDS、整個網絡採用NIDS——來實現全面的入侵檢測系統。

安全管理和報告

從體系結構的角度來説，提供網絡系統的帶外管理是適用於所有管理和報告策略的最好的第一步。設備應儘可能地與這樣一個網絡建立直接本地連接，在無法實現的情況下（由於地理原因或系統相關問題），設備應經由生產網絡上的一條專用加密隧道與其連接。確保帶外網絡自身不會帶來安全問題。

大多數聯網設備可以發送系統日誌數據，這些數據在對網絡問題或安全威脅進行糾錯時極為重要。管理還指除記錄和報告外，管理員對某一設備所執行的功能，可進行安全配置。鑑於底層協議有自身的安全漏洞，應最為小心地處理SNMP。配置變更管理是另一個與安全管理相關的問題。當一個網絡處於攻擊下，重要的是瞭解主要網絡設備的狀態以及所知道的最後一次修改發生的時間。