本文是标题为“如何控制网络基础结构”的系列文章中的第三篇。 该系列中所有文章的内容和链接都可以在这里找到 。



谈论完全消除安全风险是没有意义的。 原则上，我们不能将它们减少到零。 您还需要了解，随着我们努力使网络变得越来越安全，我们的解决方案变得越来越昂贵。 您需要在价格，复杂性和安全性之间找到合理的折衷方案。

当然，安全性设计已有机地集成到整个体系结构中，并且所使用的安全性解决方案会影响可伸缩性，可靠性，可管理性……网络基础结构，这也必须予以考虑。

但是，我提醒您，现在我们不是在谈论创建网络。 根据我们的初始条件 ，我们已经选择了设计，选定的设备并创建了基础架构，并且在这个阶段，如果可能的话，我们应该“投入使用”并根据先前选择的方法来找到解决方案。

现在，我们的任务是在网络级别确定与安全性相关的风险，并将其降低到合理的水平。

网络安全审核

如果您的组织已实施ISO 27k流程，则应将安全审核和网络更改有机地集成到整个流程中，作为此方法的一部分。 但是这些标准仍然与特定解决方案无关，与配置无关，与设计无关...没有明确的技巧，没有任何标准详细规定您的网络应该是什么，这是此任务的复杂性和美观性。

我将重点介绍几种可能的网络安全审核：

• 设备配置审核（强化）
• 安全审核设计
• 访问审核
• 流程审核

硬件配置审核（强化）

在大多数情况下，这似乎是审核和提高网络安全性的最佳起点。 恕我直言，这很好地证明了帕累托定律（20％的努力给出了80％的结果，其余80％的努力仅得出了20％的结果）。

最重要的是，通常在配置设备时，我们会向供应商提供有关安全“最佳实践”的建议。 这称为强化。

根据这些建议，您通常还可以找到一份调查表（或自行撰写），这将帮助您确定硬件配置如何与这些“最佳实践”相匹配，并根据结果对网络进行更改。 这将使您几乎完全免费地轻松地显着降低安全风险。

一些思科操作系统的一些示例。

Cisco IOS配置强化
Cisco IOS-XR配置强化
思科NX-OS配置强化
思科基准安全检查表

基于这些文档，可以创建每种设备的配置要求列表。 例如，对于Cisco N7K VDC，这些要求可能看起来像这样 。

因此，可以为网络基础结构的不同类型的活动设备创建配置文件。 此外，您可以手动或使用自动化来“上传”这些配置文件。 在编排和自动化的另一系列文章中将详细讨论如何自动执行此过程。

安全审核设计

通常，一种形式或另一种形式的企业网络包含以下部分：

• DC（公共服务DMZ和Intranet数据中心）
• 上网服务
• 远程访问VPN
• 湾边
• 分行
• 校园（办公室）
• 核心

名称取自Cisco SAFE模型，但是当然不必绑定到这些名称和该模型。 尽管如此，我还是想谈一谈实质，而不是在形式上陷入困境。

对于这些细分中的每个细分，对安全级别，风险以及相应决策的要求都会有所不同。

对于您在安全设计方面可能遇到的问题，我们将逐一考虑。 当然，我再说一遍，这篇文章绝不声称是完整的，在这个真正深刻而多层面的主题中，这很难实现（即使有可能），但反映了我的个人经验。

没有完美的解决方案（至少目前是这样）。 这始终是一种妥协。 但是重要的是，在了解其优缺点的同时，有意识地做出采用这种方法的决定。

数据中心

最关键的安全部分。
而且，像往常一样，也没有通用的解决方案。 这完全取决于网络要求。

是否需要防火墙？

答案似乎很明显，但是一切似乎都不尽如人意。 而且您的选择可能不仅会受到价格的影响。

示例1. 延迟。

如果在网络的某些部分之间必须有低延迟，例如在交换的情况下确实如此，那么在这些部分之间，我们将无法使用防火墙。 很难找到有关防火墙延迟的研究，但是只有少数几种交换机型号可以提供小于或大约1毫秒的延迟，因此我认为，如果微秒对您来说很重要，那么防火墙就不适合您。

示例2. 性能。

顶部三层交换机的带宽通常比生产力最高的防火墙的带宽高一个数量级。 因此，在高强度流量的情况下，您极有可能还必须允许此流量绕过防火墙。

例子3. 可靠性。

防火墙，尤其是现代的NGFW（下一代FW）是复杂的设备。 它们比L3 / L2开关复杂得多。 它们提供了大量的服务和配置选项，因此其可靠性要低得多也就不足为奇了。 如果服务的连续性对于网络至关重要，那么您可能必须选择提高可用性的因素-防火墙安全性或使用普通ACL在交换机（或各种工厂）上建立的网络的简单性。

在上述示例的情况下，您很可能（通常）必须找到一个折衷方案。 寻求以下解决方案：

• 如果您决定不使用数据中心内部的防火墙，则需要考虑如何尽可能限制对外围的访问。 例如，您只能从Internet打开必要的端口（用于客户端通信），并且只能从跳转主机打开对数据中心的管理访问。 在跳转主机上，执行所有必要的检查（身份验证/授权，防病毒，日志记录...）
• 您可以使用数据中心网络的逻辑分区来划分网段，类似于PSEFABRIC 示例p002中描述的方案。 同时，必须对路由进行配置，以使对延迟或高强度流量敏感的流量“进入”一个网段（对于p002，VRF-a），而不会通过防火墙。 不同网段之间的流量仍将通过防火墙。 您还可以在VRF之间使用路由泄漏，以避免通过防火墙重定向流量。
• 您也可以将防火墙用于透明模式，并且只能用于那些因素（延迟/性能）不重要的VLAN。 但是您需要仔细研究与每个供应商使用此mod相关的限制
• 您可能会考虑应用服务链架构。 这将使您仅引导必要的流量通过防火墙。 从理论上讲它看起来很漂亮，但是我从未在生产中见过这种解决方案。 大约3年前，我们对Cisco ACI / Juniper SRX / F5 LTM的服务链进行了测试，但那时，该解决方案在我们看来似乎“原始”

防护等级

现在，您需要回答要使用哪些工具过滤流量的问题。 以下是NGFW中通常存在的一些功能（例如here ）：

• 有状态防火墙（默认）
• 应用防火墙
• 威胁预防（防病毒，反间谍软件和漏洞）
• 网址过滤
• 数据过滤（内容过滤）
• 文件阻止（文件类型阻止）
• DOS保护

而且也不是一切都清楚。 似乎保护水平越高越好。 但是你也需要考虑

• 您使用的上述防火墙功能越多，自然地它就会越昂贵（许可证，附加模块）
• 使用某些算法会大大降低防火墙的吞吐量，并增加延迟，请参阅此处的示例
• 像任何复杂的解决方案一样，使用复杂的保护方法可能会降低解决方案的可靠性，例如，当使用应用程序防火墙时，我遇到了对一些相当标准的工作应用程序（dns，smb）的阻止。

与往常一样，您需要为您的网络找到最佳的解决方案。

不可能明确回答可能需要什么保护功能的问题。 首先，因为它当然取决于您传输或存储并试图保护的数据。 其次，实际上，补救方法的选择通常是对卖方的信任和信任的问题。 您不知道算法，也不知道它们的有效性，并且无法完全测试它们。

因此，在关键细分市场中，一个好的解决方案可能是使用来自不同公司的报价。 例如，您可以在防火墙上启用防病毒功能，也可以在主机本地使用防病毒保护（来自其他制造商）。

细分

这是数据中心网络的逻辑分段。 例如，划分为VLAN和子网也是逻辑分段，但是由于其明显性，我们不予考虑。 考虑到诸如FW安全区域，VRF（及其与各种供应商有关的类似物），逻辑设备（PA VSYS，Cisco N7K VDC，Cisco ACI租户等）之类的实体，分段很有趣。

PSEFABRIC项目的p002中提供了此类逻辑分段和当前所需的数据中心设计的示例 。

定义了网络的逻辑部分之后，您可以进一步描述流量在不同网段之间如何流动，将在哪些设备上执行过滤以及采用何种方式。

如果您的网络没有清晰的逻辑分区，并且没有规范化将安全策略应用于不同数据流的规则，那么这意味着当您打开此访问权限时，您将被迫解决此问题，并且很有可能每次都将解决它以不同的方式。

通常，分段仅基于防火墙安全区域。 然后，您需要回答以下问题：

• 您需要什么安全区域
• 您想对每个区域应用什么级别的保护
• 默认情况下是否允许区域内流量
• 如果没有，将在每个区域内应用哪些流量过滤策略
• 哪些流量过滤策略将应用于每对区域（源/目标）

TCAM

通常，对于路由和访问，都存在TCAM（三态内容可寻址存储器）不足的问题。 恕我直言，这是选择设备时最重要的问题之一，因此您需要以适当的准确性来处理此问题。

示例1.转发表TCAM。

让我们看一下Palo Alto 7k防火墙。
我们看到IPv4转发表的大小* = 32K
同时，此数量的路由对于所有VSYS是通用的。

假设您根据设计决定使用4个VSYS。
这些BGPS VSYS中的每一个都连接到两个用作BB的MPLS云PE。 因此，四个VSYS相互交换所有特定的路由，并具有一个转发表，其中转发表具有大致相同的路由集（但NH不同）。 因为 每个VSYS具有2个BGP会话（具有相同的设置），然后，通过MPLS接收的每个路由具有2个NH，因此在转发表中具有2个FIB条目。 如果我们假设这是数据中心中唯一的防火墙，并且应该了解所有路由，这将意味着我们数据中心中的路由总数不能超过32K /（4 * 2）= 4K。

现在，如果我们假设有两个数据中心（具有相同的设计），并且我们要使用在数据中心之间“拉伸”的VLAN（例如，对于vMotion），那么要解决路由问题，我们应该使用主机路由，但这意味着对于2个数据中心，我们最多只能有4096个主机，当然，这可能还不够。

示例2. ACL TCAM。

如果计划过滤L3交换机（或其他使用L3交换机的解决方案，例如Cisco ACI）上的流量，则在选择设备时应注意TCAM ACL。

假设您要控制Cisco Catalyst 4500 SVI接口上的访问，然后，如从本文中所见，您只能使用4096行TCAM来控制接口上的传出（以及传入）流量。 使用TCAM3时将为您提供约40万个ACE（ACL线路）。

如果您面临TCAM不足的问题，那么首先，当然，您需要考虑优化的可能性。 因此，如果转发表的大小有问题，则需要考虑汇总路由的可能性。 如果访问的TCAM大小存在问题-访问的审计，删除过时和重叠的记录以及可能的情况下，修改打开访问的程序（将在访问审计一章中详细讨论）。

高可用性

问题是将HA用于防火墙还是“并行”放置两个独立的盒子，如果其中一个崩溃，则将流量路由通过第二个盒子？

答案似乎很明显-使用HA。 但是，产生此问题的原因是，不幸的是，实际上在实用性百分比的小数点后的理论值和广告值99和几个9远没有那么乐观。 从逻辑上讲，高可用性是一件非常复杂的事情，并且在不同的设备上以及在不同的供应商（无一例外）下，我们发现了问题，错误和服务关闭。

在使用HA的情况下，您将能够关闭单个节点，在它们之间切换而无需停止服务，这很重要，例如，在升级时，但是您绝不会将两个节点同时中断以及下一个节点中断的可能性为零。升级将不会像供应商所承诺的那样顺利进行（如果您有机会在实验室设备上测试升级，则可以避免此问题）。

如果您不使用HA，那么从双重破坏的角度来看，您的风险要低得多（因为您有2个独立的防火墙），但是 由于会话不同步，因此每次在这些防火墙之间进行切换时，都会丢失流量。 当然，您可以使用无状态防火墙，但是使用防火墙的含义在很大程度上丢失了。

因此，如果通过审核发现孤独的防火墙，并且考虑提高网络的可靠性，那么HA当然是推荐的解决方案之一，但是您应该考虑与该方法相关的缺点，也许只是为了您自己。另一种解决方案会更合适。

管理上的便利（可管理性）

原则上，HA也与可管理性有关。 无需单独配置2个盒子并解决同步配置的问题，而是可以通过多种方式管理它们，就像拥有一台设备一样。

但是也许您有许多数据中心和许多防火墙，那么这个问题就上升到一个新的高度。 问题不仅在于配置，还在于

• 备份配置
• 更新
• 升级
• 监控
• 测井

所有这些都可以通过集中管理系统来解决。

因此，例如，如果您使用Palo Alto防火墙，那么Panorama是这样的解决方案。

待续。