HUAWEI 数据中心网络安全技术白皮书
目录
1数据中心网络安全概述 (6)
1.1“三大平面”安全能力与风险防御目标 (7)
2网络安全威胁分析 (9)
2.1拒绝服务 (9)
2.2信息泄漏 (9)
2.3破坏信息完整性 (9)
2.4非授权访问 (10)
2.5身份欺骗 (10)
2.6重放攻击 (10)
2.7计算机病毒 (10)
2.8人员不慎 (11)
2.9物理入侵 (11)
3管理平面安全 (12)
3.1接入控制 (12)
3.1.1认证和授权 (12)
3.1.2服务启停控制 (12)
3.1.3服务端口变更 (12)
3.1.4接入源指定 (13)
3.1.5防暴力破解 (13)
3.2安全管理 (13)
3.2.1SSH (13)
3.2.2SNMPv3 (14)
3.3软件完整性保护 (14)
3.4敏感信息保护 (14)
3.5日志安全 (14)
4控制平面安全 (16)
4.1TCP/IP安全 (16)
4.1.1畸形报文攻击防范 (16)
4.1.2分片报文攻击防范 (17)
4.1.3洪泛报文攻击防范 (17)
4.2路由业务安全 (18)
4.2.1邻居认证 (18)
4.2.2GTSM (19)
4.2.3路由过滤 (19)
4.3交换业务安全 (20)
4.3.1生成树协议安全 (20)
4.3.2ARP攻击防御 (22)
4.3.3DHCP Snooping (25)
4.3.4MFF (27)
5数据平面安全 (28)
5.1应用层联动 (28)
5.2URPF (28)
5.3IP Source Gard (29)
5.4CP-CAR (29)
5.5流量抑制及风暴控制 (30)
数据中心网络安全技术白皮书
关键词:
网络空间、网络安全、数据中心网络
摘要:
网络空间已经成为社会生产力发展的新方向,网络安全问题也随之衍生。本文描述了数据中心网络产品具备的基础性网络安全能力。
缩略语清单:
1 数据中心网络安全概述
过去的几十年间,信息和网络技术的爆炸式发展给社会带来了一场深刻变革。这场变革使得我们所处的世界逐步信息化并互相连接,也逐步建立和形成了社会生产力发展的新方向——网络空间,并不断推动着社会进步。然而,在整个社会受益于信息和网络技术革命所带来巨大收益的同时,现实生
活中各种由来已久的非法活动也自然地延伸到网络空间,如故意破坏、盗窃、扰乱、间谍活动和肆意毁坏等行为,也由此而衍生出网络空间的安全问题。
网络空间中的安全问题本质上表现为攻击与防御之间的一对矛盾。一方面,攻击者利用资源(指计算机系统或系统中的信息)的安全脆弱性破坏其保密性、完整性和可用性;另一方面,资源所有者需要识别、减少乃至消除资源的脆弱性,以降低或消除攻击者利用安全脆弱性对资源进行攻击的风险。作为网络空间中端系统的连接纽带,网络设备常常成为攻击目标。而且由于网络空间的互联性,网络设备自身出现的安全问题通常会给整个网络空间带来很大的负面影响。因此,网络设备自身的安全防御能力成为构建整个网络空间安全的重要基石。
如下图所示,数据中心网络遵循X.805的三层三面安全隔离机制,其体系架构如下:
通过将管理面、控制面和转发面进行隔离,数据中心网络能够保证任何一个平面在遭受攻击时,不会影响其他层面的正常运行网络设备从功能组成上通常划分为“三个平面”,即管理平面、控制平面和数据平面。相应地,数据中心网络的安全能力也主要表现在管理平面安全、控制平面安全和
数据平面安全几个方面。
●管理平面安全:管理平面主要负责处理来自设备管理用户的各种操作维护活动,管理平面安
全主要保护设备管理用户对设备的各种操作维护活动安全。针对各种管理协议可能存在
的安全漏洞引入各种安全机制,提供安全的管理通道,对管理过程中的敏感信息进行保护
等。
●控制平面安全:控制平面负责维护各种网络协议的运行以控制数据流的交换和路由,控制
平面安全主要保护各种控制或信令协议自身运行的安全,以保证控制平面的可用性以及防止对网络控制信息的泄漏或滥用。
●数据平面安全:数据平面主要负责处理进入设备的数据流,根据控制平面下发的各种表项
加工和转发各种数据报文,数据平面安全指利用数据平面对上送到设备CPU处理的报文进行过滤或控制,提升管理平面或控制平面的抗攻击能力,从而降低设备安全风险。这些过滤或控制功能主体上在数据平面完成,但由数据中心网络实现策略控制。
白皮书重点描述数据中心网络在管理平面安全、控制平面安全和数据平面安全方面所具备的基础性安全能力。
1.1 “三大平面”安全能力与风险防御目标
数据中心网络“三大平面”(转发、控制、管理)提供了丰富的安全能力,下表列出了每一种安全能力能够防御的安全攻击的类型:
数据中心网络安全能力与风险防御目标汇总
2 网络安全威胁分析
2.1 拒绝服务
一般的网络设备的转发处理能力很强大,但是控制面和管理面处理能力有限。攻击者通过向网络设备发起海量的消息请求,导致网络设备CPU无法实时处理消息,引发正常的业务交互流程、内部处理流程阻塞,达到拒绝服务的目的。
拒绝服务是网络设备面临的最大的威胁,在安全加固配置时,要求重点考虑拒绝服务类攻击的防御。
2.2 信息泄漏
网络设备面临的信息泄漏威胁,最重要的风险就是非授权的访问,可以分成如下几种情况:
1.利用系统配置疏忽:网络设备为了某些特定场合的便利性,提供了免认证登录的模式,
在现网部署是由于疏忽没有关闭此模式,导致恶意用户非授权访问。
2.利用管理流程疏忽:网络设备为了开局方便,通常使用一套配置文件作为模板开局,由于
管理员疏忽,没有修改管理员账号密码,引发非授权访问。
3.利用IP 网络开放性的缺陷:恶意用户通过在网络上部署嗅探器、监听设备,把传输的
IP 报文截获并进行解析,达到信息泄漏目的。
4.存储介质泄密:网络设备的单板、存储介质,从一个地方转移到另一个地方时,由于缺乏
存储介质加密机制,造成泄密。
2.3 破坏信息完整性
IP网络的开放性,导致报文在传输过程中,可能会被中间转发节点进行恶意篡改,导致信息传输失真,或者被中间人有意识的修改消息内容,达到攻击的目的。
2.4 非授权访问
通过非授权访问,获得网络设备的控制权限,或者获取更高权限的信息。
1.利用网络配置漏洞:由于没有合理的配置防火墙访问控制策略,导致恶意用户从公网进行
暴力破解等方式,强行进入系统。
2.非法利用系统提供的调试手段:网络设备为了进行故障定位,提供了一些获取网络设备内
部信息处理流程中的信息查看方法。恶意用户通过利用这些诊断调试接口,越权获取信息。
3.由于网络设备本身的命令行控制机制是基于用户角色而非账号的管理控制,导致某些用户
操作远超其个人身份所需的命令行,读取个人通信数据,或者窃取系统配置信息。
4.由于SNMP MIB 数据库没有信息隔离机制,只要能够访问MIB,就可以遍历全部MIB
节点。
2.5 身份欺骗
由于IP网络开放性,对MAC和IP地址缺乏有力的认证鉴权机制,极易产生基于ARP/IP的地址欺骗攻击,导致网络设备需要不断刷新转发流程必须的地址表项,处理来自欺骗地址的请求,由于地址表项错误导致转发中断,由于表现学习能力不足引发拒绝服务。
2.6 重放攻击
IP网络的开放性,导致通信终端在L4及以下层面,无法对对端进行认证。黑客利用这一特性,
通过重复发送特定报文,引发拒绝服务攻击。
2.7 计算机病毒
网络设备在网络系统中,除了作为转发节点,同时也是一个可以被管理的网络单元。当同一个网络区域的计算机感染病毒,发送大量垃圾流量,耗尽网络带宽。此时,网络设备作为一个网元节点,将无法获得网络资源,导致业务不可用。
2.8 人员不慎
在网络建设阶段为了便利业务开通部署而设置的策略,在业务开通之后并没有及时清除,导致遗留的配置成为后门,被攻击者利用。
在网络整改过程中,由于操作人员的不慎或者技能不足,导致配置出错,引发事故。例如:网线插错导致环路,协议配错引发业务中断,访问控制策略配置错误引发异常阻断或者开启了不该开启的访问通道等等。
管理员不慎将账户口令共享给他人。
2.9 物理入侵
网络设备通常对机房管理员物理接入设备,安全防御能力不足,直接物理连接容易获取高优先级权限。恶意攻击者通过避开门禁、监控等防护措施,接入网络设备。
3 管理平面安全
设备管理涉及对设备的本地和远程接入管理、操作维护等功能。如果设备管理安全受到损害,攻击者则可能进入并控制设备肆意从事任意非法活动,网络设备的安全也就无从谈起,进而影响到整个网络的安全和管理。因此,设备管理安全在网络安全中首当其冲,建立牢固的安全机制以防止对设备的非授权访问或非授权使用是非常必要和关键的。数据中心网络的设备管理安全能力主要表现在接入控制、安全管理、文件传输、软件完整性和敏感信息保护、安全审计几个方面,以下分别加以描述。
3.1 接入控制
网络设备通常需要提供各种不同的接入机制,包括本地Console口接入和远程Telnet、SSH、等接入方式。数据中心网络针对这些接入方式可能存在的安全风险设计与实现了如下一些接入控制。
3.1.1 认证和授权
所有能对系统进行管理的物理接口、逻辑通信接口及协议都具备接入认证机制,以防止非授权访问,这些接口及协议包括Console接口、Telnet、SSH、SNMP。所有这些接入方式都支持AAA 认证,只有通过认证的管理用户才能进入设备管理界面。此外,对通过认证的管理用户采用分级授权机制,权限由低到高依次为参观级、监控级、配置级、管理级,以降低设备管理过程中因权限分配导致的安全风险。
3.1.2 服务启停控制
一些网络设备可能在缺省状态下启动了一些不必要的接入服务,这无疑增加了设备的安全风险。数据中心网络支持接入服务的启动和关闭控制,以便可以关闭一些不必要的接入服务。如Telnet、SSH 等接入服务都可以进行启动和关闭控制。
3.1.3 服务端口变更
一些接入服务的缺省端口号为知名端口号,易被扫描和攻击,可以修改这些服务的端口号为私
有端口号,范围为1025~65535,以减小被扫描和攻击的几率。可以变更端口号的接入服务有Telnet、SSH、FTP(SFTP) 、SNMP。
3.1.4 接入源指定
支持限制接入范围,提高设备安全性。如通过ACL配置控制允许接入的用户IP,通过源接口配置控制仅允许通过特定接口IP接入用户。
3.1.5 防暴力破解
字典攻击是暴力破解的一种常见攻击手段,发生字典攻击的时候,强制增强密码复杂度或限制登录尝试频率使这样的攻击很难成功。
一般情况下,AAA服务器负责接入认证,AAA服务器通常会强制使用高复杂度密码或限制登录尝试频率。但在AAA服务器不可用时,本地认证需要具备同样的特性来防止非法用户登录。
在强制增强密码复杂度方面,数据中心网络对本地认证用户的密码和提升等级密码有最低复杂度要求,具体要求如下:密码长度不能小于8个字符,要求包含四种字符,字符种类包括小写字母、大写字母、数字和特殊字符。密码最大长度为8~128个字符,区分大小写,本地用户密码不得与用户名或者用户名倒写相同(与用户名比较时不区分大小写)。
在限制登录尝试频率方面,数据中心网络可配置用户可认证失败次数和可再次进行认证的时间间隔来有效延缓攻击,增加攻击成功所需要的时间。
3.2 安全管理
接入控制机制在一定程度上提高了设备管理的安全性,但一些协议由于自身安全机制的缺乏难以提供对管理通信过程中的用户和配置等信息的机密性和完整性保护,数据中心网络支持两种安全管理方式,以进一步增强接入管道的安全,以下分别介绍。
3.2.1 SSH
SSH是Secure Shell的简称,它能够在不安全的网络上提供安全的远程连接服务。用户通过一
个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。SSH通过TCP进行数据交互,它在TCP之上构建了一个安全的通道。
3.2.2 SNMPv3
SNMP是用于管理网络设备的协议。网络管理员需要从设备获取数据或向设备执行设置操作,都可以通过SNMP来完成。SNMP发展到现在有V1、V2c和V3三个版本,V1/V2c采用UDP方式明文传输报文,用户认证和管理信息很容易泄露造成安全隐患。数据中心网络支持安全性增强的SNMPv3,SNMPV3支持密文传输报文,支持MD5/SHA鉴权和DES加密算法,通过对通信过程中的数据进行鉴权和加密,解决消息被伪装、篡改、泄密等安全问题,从而提高了一种安全管理手段。
3.3 软件完整性保护
网络设备运行的软件需经历开发、生产、传输和交付等众多环节,若软件在其中某个环节被恶意人员篡改或替换,甚至被植入木马、病毒或非法程序,再被安装到现网运行,则会造成巨大的安全隐患。数据中心网络提供软件完整性保护,对安装、升级过程中的软件(软件包/补订包)进行完整性验证,防止软件被篡改。在软件发布时,对软件进行数字签名,并将包含数字签名信息的数字签名信息文件打包到软件,网管在向网元分发时或直接在网元上加载时,进行数字签名的验证。验证通过后,才认为该软件是完整可信的,否则认为该软件是非法的。同时,在加载软件时进行MD5 在线校验,如果校验通过,则认为该软件合法可正常加载,否则认为该软件是非法的。
3.4 敏感信息保护
网络设备需要在本地存储一些敏感信息,如用户认证信息。认证信息通常由AAA服务器来集中维护和控制,AAA服务器能够提供安全特性来保护这些敏感信息。但是当AAA服务器不可用而采用本地认证时,本地需要保存认证信息。这些认证信息使用高级加密算法进行加密保存。此外,对可能出现在日志中敏感信息进行过滤输出,也体现了对敏感信息的保护。
3.5 日志安全
日志主要用于记录设备上用户操作、设备运行状态等信息,以日志文件的形式存在设备上,为网络管理员监控设备的运行情况和诊断网络故障提供了有力的支持。日志安全主要体现在两方面:
●日志内容安全:对关键敏感信息(如用户密码等)进行过滤,采用***方式输出。
●日志文件安全:由各种接入方式的认证来保证。日志文件只能被具有管理员权限用户查看,管
理员可以登录设备通过命令行查看,或在远程将日志文件取到本地查看。上述两种查看方
式,均需要用户通过接入认证成功登录设备,才能进行日志文件相关操作。
4 控制平面安全
如前所述,控制平面安全主要保护各种控制或信令协议自身运行的安全,以保证控制平面的可用性以及防止对网络控制信息的泄漏或滥用。数据中心网络作为一个成熟的网络操作系统,已经包含了多种类型的网络控制协议实现,本文不一一列举数据中心网络所实现的所有网络协议安全能力,而是选取了一些典型的基础性网络协议对其进行安全能力进行介绍,包括TCP/IP安全、路由业务安全和交换业务安全,以下分别加以描述。
4.1 TCP/IP 安全
TCP/IP协议是网络基础协议,大部分路由协议和应用层协议都是通过TCP/IP协议实现信令报文的传输,TCP/IP协议所面临的攻击已经使其成为网络不稳定的重要因素。目前,基于TCP/IP网络的攻击日益增多,TCP/IP协议本身的缺陷以及实现过程的不严谨,导致网络攻击造成的影响越来越大。特别是对网络设备的攻击,将会导致网络瘫痪或者不可用。
对TCP/IP的攻击主要可分为洪泛攻击和畸形报文攻击两大类。洪泛攻击指使用大量的数据包攻击系统,使系统无法接受正常用户的请求,或者资源耗尽不能正常的工作,如SYN Floold、Fraggle 等。
畸形报文攻击指通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的IP包时会出现崩溃,给目标系统带来损失,如Ping of Death、Teardrop等。这两类攻击不同于其它类型的攻击,攻击者并不是去寻找进入内部网络的入口,而是阻止合法用户对网络设备或资源的正常访问和使用。
数据中心网络提供了针对这几种类型攻击的防范能力,大大增强系统的安全性,以下分别描述。
4.1.1 畸形报文攻击防范
为防止网络设备处理畸形报文占用资源过多导致系统崩溃甚至网络瘫痪,数据中心网络对检测到
的畸形报文直接将其丢弃,具体操作如下:
对于没有IP载荷的泛洪攻击,如果发现只有IP头部,没有携带任何高层数据IP 报文,认为是没有作用的,直接丢弃。
●对于IGMP空报文攻击,如果IGMP报文长度小于28 字节,认为为畸形报文直接丢弃。
●对于LAND攻击,检测TCP syn报文中的源地址和目的地址是否一致,如果一致认为是畸
形报文直接丢弃。
●对于Smurf攻击,对于目的地址为广播地址或者子网广播地址的ICMP echo request报文,
直接认为是畸形报文丢弃。
●对于TCP标志位非法攻击,检查TCP 报文的各个标志位,若出现URG、ACK、PSH、RST、
SYN、FIN标志位全部为“1”或“0”,或者SYN和FIN位同时为1,直接将其丢弃。
4.1.2 分片报文攻击防范
几种典型的可能对设备可用性造成危害的分片报文攻击及防范措施分别描述如下:
●Teardrop类攻击主要是利用分片报文的Offset可能重叠,系统对分片报文重组时占用资源
过高,导致网络中断。数据中心网络在处理Teardrop类攻击时,丢弃重组有重叠的报文,保证系统对分片报文重组正确。
●巨大Offset类攻击是利用分片报文Offset长度大于65512,导致系统重组报文时占用资源过
高,导致网络服务中断。数据中心网络在处理巨大Offset类攻击时,判断Offset的总长度是否会超过65515,超过即丢弃。
●重复分片类攻击是指将相同的分片报文发送多次,包括相同的分片重传;Offset相同,但
是并不是相同分片,导致系统重组报文失败,CPU占用资源过高。对于重复分片类报文的攻击,数据中心网络在接口板上对分片报文进行限速处理,保证不对CPU造成攻击,速度Car大小可配置。
4.1.3 洪泛报文攻击防范
泛洪攻击主要包括TCP SYN Flood攻击、UDP Flood攻击(包括Fraggle攻击、UDP诊断端口攻击)、ICMP Flood攻击。数据中心网络针对TCP SYN Flood攻击和ICMP Flood攻击主要采用速率限制,防止CPU占用资源过高,针对UDP Flood攻击,数据中心网络检测UDP报文的端口号,对于端口号为7,13,19的报文,认为是攻击报文,直接丢弃。
4.2 路由业务安全
路由业务是网络设备中最重要的组成部分之一,也是易遭受网络攻击的业务之一,采取必要措施保障路由业务安全显得尤为重要。路由业务的主要功能就是学习和发布路由信息,从而为数据转发提供最合适的路径,这些功能通常由网络设备之间通过路由协议交互来完成。因此,路由业务的安全威胁实质上来自于对路由协议对的攻击,主要表现在对邻居关系和路由信息的攻击上。
路由协议在交换路由信息之前都需要建立邻居关系,一些攻击则试图破坏或阻止邻居关系的建立,从而威胁路由业务的安全运行。如利用发送畸形报文、重置TCP连接等手段来破坏已经建立的对等体会话,发起DoS攻击耗尽网络设备内存、CPU等资源而阻止合法邻居关系的建立。一些路由协议设计与实现了自动发现机制以简化网络设备的部署,这一机制假定对等体是可信的,这为伪造设备与合法设备之间建立邻居关系并注入非法路由创造了条件。
数据中心网络针对路由协议所面临的安全威胁,实现了邻居认证、GTSM、路由过滤等机制来
降低路由业务的安全风险,以下分别描述。
4.2.1 邻居认证
邻居认证是大多数路由协议都支持的特性,它可以保证设备只接收可靠的路由信息并且是从可信的邻居接收到的。这是通过对每个邻居的真实性和路由更新消息的完整性进行认证的方式获得的。技术上,每个设备初始配置一个共享的密钥以用于验证每个路由更新。在发送路由更新之前,每个设备要求对其用预先定义的密钥进行数字签名,并将签名结果作为更新消息的一部分。最后,更新消息被接收该消息的邻居验证以证明其真实性和完整性。邻居认证被BGP、IS-IS、OSPF、RIP 等路由协议支持。
邻居认证有助于保护对等体会话免受会话重置和非法路由对等体的会话插入攻击。邻居认证也有助于保护路由信息免受非法路由注入,以及非法路由对等体对合法路由的删除或更新。但需要指出的是,邻居认证无法阻止被已经成功伪装为合法路由邻居设备注入不可接受的路由信息。幸运的是,这样的攻击场景可以被路由过滤消除,稍后有描述。
大部分路由协议支持两种邻居认证方式,明文和MD5认证。明文认证方式的认证密钥以明文形式在路由协议消息中传送,由于路由消息在传输过程中可能被截获,这种方式无法提供更多的安全。MD5认证方式并不直接在路由消息中携带认证密钥,而是携带密钥经过MD5算法计算后的结果,因
而比明文认真方式更加安全。在实际部署过程中,推荐优先使用MD5认证方式。
4.2.2 GTSM
如果攻击者模拟真实的网络设备发送路由协议报文,对一台设备不断的发送报文,设备收到这些报文后,发现是发送给本机的报文,则直接上送控制层面的路由协议处理,而不辨别其“合法性”,这样导致设备控制层面因为处理这些“合法”报文,系统异常繁忙,CPU占用率高。
GTSM又称为通用TTL安全保护机制,GTSM特性主要用于保护建立在TCP/IP基础上的控制协议(路由协议等)免受CPU利用类型的攻击,如CPU过载。GTSM通过检查IP报文头中的TTL值是否在一个预先定义好的范围内,对IP层以上业务进行保护。其保护原理基于这样的预置条件:路由协议的邻居都是建立在相邻或相近的设备之间,且在协议报文转发过程中TTL不易被篡改。其主要技术手段如下:
●对于直连的协议邻居:将需要发出的协议报文的TTL值设定为255,这样部署了GTSM功能
的邻居收到时,邻居转发层面会将TTL值非255的协议报文直接丢弃,避免了对控制层面的
攻击。
●对于多跳的邻居:可以定义一个合理的TTL范围,例如251 ~255,邻居转发层面将超出
这个TTL范围的协议报文直接过滤掉,从而避免了控制层面受到攻击。
4.2.3 路由过滤
路由过滤是另一种保护路由业务安全的机制。大部分路由协议允许配置路由过滤以保护特定的路由不被扩散到网络中。从安全角度看,这种过滤功能有助于保证只有合法的网络路由信息被通告,而那些理应不被扩散的网络路由则不会被通告。
路由过滤可以被分为两种形式,路由对等体之间交换的路由信息过滤,以及在同一路由设备上不同路由进程之间交换的路由信息过滤。路由对等体之间的路由信息过滤控制不同设备间的路由相互引入,路由进程之间的路由信息过滤则可以控制不同路由协议之间的路由相互引入,通常是IGP 与BGP路由协议之间的路由引入。
4.3 交换业务安全
交换业务是数据中心网络支撑的另一重要业务之一,其安全主要涉及对二层网络的可用性保护。生成树协议、ARP以及DHCP都是二层网络中最常用的基础协议,以下分别描述数据中心网络在这些协议方面的安全能力。
4.3.1 生成树协议安全
在二层交换网络中,一旦网络存在环路就会造成报文在环路内不断复制和循环,产生广播风暴。在
广播风暴的情况下,所有的有效带宽都被广播风暴占用,网络将变得不可用。生成树协议是一种二层管理协议,它通过选择性地阻塞网络中的冗余链路来消除二层环路,同时还具备链路备份的功能。运行生成树协议的设备通过彼此交互包含拓扑信息的BPDU报文发现网络中的环路,并有选择的对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免设备由于重复接收相同的报文造成的报文处理能力下降的问题发生。
生成树协议虽然能有效破除二层网络环路,但因其没有任何认证和加密手段来保护BPDU报文的交换,导致其容易受到多种攻击。由于缺乏认证,攻击者可以与STP协议使能设备进行会话,攻击者可以轻易地注入伪造的BPDU报文,触发网络拓扑的重新计算,导致网络震荡和业务中断。此外,由于BPDU报文没有加密保护,使得BPDU报文在传输过程中很容易被截获,从而导致泄露重要的拓扑信息。
数据中心网络实现了一些保护机制来降低运行生成树协议的安全风险。
1. BPDU保护
在交换机上,通常将直接与用户终端(如PC机)或文件服务器等非交换机设备相连的端口配置为边缘端口,以实现这些端口的快速迁移。正常情况下,这些端口不会收到BPDU。如果有人伪造BPDU恶意攻击交换机,当这些端口接收到BPDU时,交换机会自动将这些端口设置为非边缘端口,
并重新进行生成树计算,从而引起网络震荡。数据中心网络的MSTP实现提供了BPDU保护功能来
防止这种攻击。交换机上启动BPDU保护功能后,如果边缘端口收到了BPDU,交换机将关闭这些端口,同时通知网管系统。被关闭的端口只能由网络管理人员手动恢复。
i 版权所有? 华为技术有限公司
前言 区块链成为近两年热点话题,因其通过分布式数据存储、点对点传输、共识机制、加密算法等技术的集成,可有效解决传统交易模式中数据在系统内流转过程中的造假行为,从而构建可信交易环境,打造可信社会。近年来各国政府机构,国际货币基金组织以及标准、开源组织和产业联盟等在纷纷投入区块链产业的拉通和应用。随着区块链的产业价值的逐渐确定,区块链迅速地成为一场全球参与竞逐的“军备”大赛,中国也开始从国家层面设计区块链的发展道路(发改委委托信通院组织国内主要区块链公司进行区块链的顶层设计的研讨,工信部的信软司也在积极确定区块链的顶层设计机构)。2018年,区块链及相关行业加速发展,中国将领跑全球进入“区块链可信数字经济社会”,我们正面临区块链重大的产业机遇。 区块链的应用已由开始的金融延伸到物联网、智能制造、供应链管理、数据存证及交易等多个领域,将为云计算、大数据、承载网络等新一代信息技术的发展带来新的机遇,其构建的可信机制,将改变当前社会商业模式,从而引发新一轮的技术创新和产业变革。 编委会成员 顾问:张文林、龚体、肖然、廖振钦、万汉阳、楚庆、张辉、潘秋菱、祁峰、伊志权、ZHU PEIYING、刘培、王伟、王小渭、LIAO HENG 研究撰写:张小军、曹朝、胡瑞丰、刘再耀、张亮亮、周瑛达、郭兴民、吴义镇、杜伟、甘嘉栋、WU SHUANG、姜耀国、William Michael Genovese、朱朝晖 排版设计:杨少青 审稿:潘秋菱、张小军、胡瑞丰、刘再耀、周瑛达
目录 前言 (ii) 1 区块链的兴起 (1) 1.1 区块链的起源 (1) 1.2 区块链的发展路径 (2) 1.3 当前区块链认识上的两大误区 (3) 2 区块链核心技术及原理机制 (5) 2.1 区块链的概念和特征 (5) 2.2 区块链的核心技术 (6) 2.2.1 分布式账本 (6) 2.2.2 共识机制 (7) 2.2.3 智能合约 (8) 2.2.4 密码学 (11) 2.3 华为在区块链发展中进行的技术创新 (12) 2.3.1 共识算法创新 (12) 2.3.2 安全隐私保护 (13) 2.3.3 离链通道 (14) 3 区块链国内外产业发展现状 (16) 3.1 区块链相关产业政策现状 (16) 3.2 区块链在开源领域的发展现状 (17) 3.3 区块链在标准领域的发展现状 (18) 3.4 区块链产业联盟发展现状 (19) 4 区块链的典型应用场景 (22) 4.1 数据交易:实现数据交易的过程透明、可审计,重塑社会公信力 (23) 4.2 身份认证:验证身份的合法性,加速数字化社会发展 (24) 4.3 新能源:打造清洁能源交易信任基石 (25) 4.4 车联网:用区块链实现信息准确共享,构建新经济模式 (27) 4.5 供应链溯源:树立公信力,构建真实交易 (28) 4.6 运营商云网协同:解决运营商网络碎片化,构建新商业模式 (29) 4.7 供应链金融:有效减少金融风险,拓展金融业务发展 (30)
现阶段,由核心技术、扩展技术和配套技术三者组成的区块链技术体系已逐步成形,未来将继续在数据流通、网络规模、技术运维、平台安全等方面创新演进。 (一)区块链技术图谱 区块链作为一种综合性技术,其技术组成按重要程度可分为核心技术、扩展技术、配套技术三类。核心技术指一个完整的区块链系统必须要包含的技术,包括密码算法、对等式网络、共识机制、智能合约、数据存储;扩展技术指进一步扩展区块链服务能力的相关技术,包括可扩展性、互操作性、协同治理、安全隐私;配套技术指提升区块链系统安全性、优化使用体验等相关技术,包括系统安全、运维部署、基础设施。 1.核心技术现状 2014年以太坊的诞生,奠定了区块链系统的五大核心技术,包括密码算法、对等式网络、共识机制、智能合约、数据存储。 (1)密码算法 国密支持成为多数联盟链标准配置。2020年1月1日起实施的《中华人民共和国密码法》,加速了国内联盟链对国密算法的支持进度,国密支持占比逐步提升,逐渐成为联盟链的标准配置。据2020年可信区块链评测结果显示,受测厂商目前国密支持占比已达82%,其中,SM2、SM3、SM4支持率分别占比79%、75%、68%。 (2)对等网络 兼顾通信效率与去中心程度的混合型网络成为主流。对等网络按网络结构可分为无结构网络、结构化网络、混合型网络。无结构网络鲁棒性好,去中心化程度高,但通信冗余严重,容易形成网络风暴,如经典Gossip网络;有结构网络牺牲了去中心化程度,按照一定策略维护网络拓扑结构,提升通信效率,如类DHT ((Distributed Hash区块链白皮书(2020年)23Table,分布式哈希表)网络;混合型网络作为一种折中方案,兼顾了通信效率与去中心化程度。随着区块链网络规模的扩大,出于对高效通信策以及网络治理的需要,混合型网络逐渐成为行业主流方案。 (3)共识机制
2018年华为区块链白皮书
前言 区块链成为近两年热点话题,因其通过分布式数据存储、点对点传输、共识机制、加密算法等技术的集成,可有效解决传统交易模式中数据在系统内流转过程中的造假行为,从而构建可信交易环境,打造可信社会。近年来各国政府机构,国际货币基金组织以及标准、开源组织和产业联盟等在纷纷投入区块链产业的拉通和应用。随着区块链的产业价值的逐渐确定,区块链迅速地成为一场全球参与竞逐的“军备”大赛,中国也开始从国家层面设计区块链的发展道路(发改委委托信通院组织国内主要区块链公司进行区块链的顶层设计的研讨,工信部的信软司也在积极确定区块链的顶层设计机构)。2018年,区块链及相关行业加速发展,中国将领跑全球进入“区块链可信数字经济社会”,我们正面临区块链重大的产业机遇。 区块链的应用已由开始的金融延伸到物联网、智能制造、供应链管理、数据存证及交易等多个领域,将为云计算、大数据、承载网络等新一代信息技术的发展带来新的机遇,其构建的可信机制,将改变当前社会商业模式,从而引发新一轮的技术创新和产业变革。 编委会成员 顾问:张文林、龚体、肖然、廖振钦、万汉阳、楚庆、张辉、潘秋菱、祁峰、伊志权、ZHU PEIYING、刘培、王伟、王小渭、LIAO HENG 研究撰写:张小军、曹朝、胡瑞丰、刘再耀、张亮亮、周瑛达、郭兴民、吴义镇、杜伟、甘嘉栋、WU SHUANG、姜耀国、William Michael Genovese、朱朝晖 排版设计:杨少青 审稿:潘秋菱、张小军、胡瑞丰、刘再耀、周瑛达
目录 前言 (ii) 1 区块链的兴起 (1) 1.1 区块链的起源 (1) 1.2 区块链的发展路径 (2) 1.3 当前区块链认识上的两大误区 (3) 2 区块链核心技术及原理机制 (5) 2.1 区块链的概念和特征 (5) 2.2 区块链的核心技术 (6) 2.2.1 分布式账本 (6) 2.2.2 共识机制 (7) 2.2.3 智能合约 (8) 2.2.4 密码学 (11) 2.3 华为在区块链发展中进行的技术创新 (12) 2.3.1 共识算法创新 (12) 2.3.2 安全隐私保护 (13) 2.3.3 离链通道 (14) 3 区块链国内外产业发展现状 (16) 3.1 区块链相关产业政策现状 (16) 3.2 区块链在开源领域的发展现状 (17) 3.3 区块链在标准领域的发展现状 (18) 3.4 区块链产业联盟发展现状 (19) 4 区块链的典型应用场景 (22) 4.1 数据交易:实现数据交易的过程透明、可审计,重塑社会公信力 (23) 4.2 身份认证:验证身份的合法性,加速数字化社会发展 (24) 4.3 新能源:打造清洁能源交易信任基石 (25) 4.4 车联网:用区块链实现信息准确共享,构建新经济模式 (27) 4.5 供应链溯源:树立公信力,构建真实交易 (28) 4.6 运营商云网协同:解决运营商网络碎片化,构建新商业模式 (29) 4.7 供应链金融:有效减少金融风险,拓展金融业务发展 (30)
1项目技术方案 对于XXX项目中众多应用系统,采用华为FusionSphere虚拟化技术,将上述部分应用服务部署到虚拟化化的高性能物理服务器上,达到高可靠、自动化运维的目标。众多物理服务器虚拟化成计算资源池(集群),保障虚拟化平台的业务在出现计划外和计划内停机的情况下能够持续运行。本项目采用华为FusionSphere虚拟化计算技术实现, 通过云平台HA、热迁移功能,能够有效减少设备故障时间,确保核心业务的连续性,避免传统IT,单点故障导致的业务不可用。 易实现物理设备、虚拟设备、应用系统的集中监控、管理维护自动化与动态化。 便于业务的快速发放, 缩短业务上线周期,高度灵活性与可扩充性、提高管理维护效 率。 利用云计算技术可自动化并简化资源调配,实现分布式动态资源优化,智能地根据应 用负载进行资源的弹性伸缩,从而大大提升系统的运作效率,使 IT 资源与业务优 先事务能够更好地协调。 在数据存储方面,通过共享的SAN存储架构,可以最大化的发挥虚拟架构的优势;提 供虚拟机的HA、虚拟机热迁移、存储热迁移技术提高系统的可靠性;提供虚拟机快 照备份技术(HyperDP)等,而且为以后的数据备份容灾提供扩展性和打下基础。 云平台:采用华为FusionSphere云平台,提供高可用性的弹性虚拟机,保障业务系统的连续性与虚拟机的安全隔离。 备份系统:采用华为FusionSphere HyperDP备份节点建立完整的数据保护系统。整个备份云可实现集中管理,负载均衡。 数据中心包含云管理、计算资源池、存储资源池,备份系统为可选。 Figure图1 单数据中心方案拓扑
XXX 应用系统集群 Exchange Sharepoint 终端终端 Internet XXX 项目数据中心架构分为: 接入控制:用于对终端的接入访问进行有效控制,包括接入网关,防火墙等设备。接入控制设备不是解决方案所必须的组成部分,可以根据客户的实际需求进行裁减。 虚拟化资源池:通过在计算服务器上安装虚拟化平台软件,然后在其上创建虚拟机。存储用于向虚拟机提供系统盘、数据盘等存储资源。 资源管理:云资源管理及调度,主要是对各种云物理资源和虚拟资源进行管理。创建虚拟机时,为虚拟机分配相应的虚拟资源。包括云管理服务器、集群管理服务器、安装服务器等。 硬件资源:服务器、存储、交换机。
华为数据中心解决方案 伴随着互联网的飞速发展,企业信息化步伐不断加快。IT资源的应用和管理模式正发生着深刻的变革,将逐步从独立、分散的功能性资源发展成以数据中心为承载平台的服务型创新资源。企业通过租赁的方式从数据中心获取高效、专业的IT资源及增值服务,进而更加专注于自身业务的创新与发展。 然而,在各种网络及自营数据业务快速增长的同时,数据中心规模和复杂性也不断增加;资源紧缺、能耗高、运营管理效率低等问题日益突出,严重制约了企业的业务发展。如何降低TCO、提升运营管理效率、增进业务创新能力成为CIO们面临的严峻挑战。 华为集丰富的ICT融合经验和领先的技术创新理念,提供面向服务的下一代绿色数据中心解决方案,帮助您解决数据中心面临的高成本、低效益问题,建设业务发展的重要战略信息平台,构筑卓越绩效的基石。 华为数据中心解决方案全貌 “面向服务的下一代绿色数据中心”是华为公司全面集合自身优势资源,贴身客户需求,基于业务视角开发的端到端数据中心综合解决方案。 方案引入模块化设计理念,以绿色节能为核心,综合运用机房热管理和IT 虚拟化技术,应用自动化运营管理平台,全面助力客户构建可运营、可维护、可扩展的业务增值与创新中心。 方案分为以下主要方面:
前期咨询:方案咨询、项目规划与设计服务 中期建设:机房建设、IT架构集成、业务开发和综合运营管理平台建设服务后期运维:专业维保服务,长期战略性业务创新合作 商业咨询服务 华为是全球领先的电信解决方案供应商,近20年电信领域的积淀铸就了华为对行业的深刻理解,形成了完善的商业咨询体系、高效的商业咨询流程与方法论;同时具有大量资深商业咨询专家和丰富的数据中心建设、运营和业务咨询经验,可为客户提供一流的咨询服务,带来独特的商业价值。 华为可以帮助您评估当前系统现状与未来发展需求,提供全面、专业的数据中心建设或改造建议,让您清晰把握未来趋势,利用新技术、新的IT管理理念构建面向服务的下一代绿色数据中心。 商业咨询方案 集成交付方案 针对数据中心建设中面临的设备复杂、差异性强、厂商众多、交付维护困难等问题,华为提供端到端的总集成和一站式交付方案;同时与赛门铁克、艾默生、Intel等业界著名厂商深入合作,提供强大的数据中心基础设备和软件应用整合服务。 集成交付实施流程 华为在全球7大片区设立合作分部,100多家区域级战略合作伙伴,300多家SP/CP合作伙伴,拥有全球化的集成交付资源和数据中心集成服务经验,可为客户提供从规划、设计、建设到运维全方位的集成服务和快速的响应交付,降低建设成本。 机房建设方案
Technical White Paper High Throughput Computing Data Center Architecture Thinking of Data Center 3.0 Abstract In the last few decades, data center (DC) technologies have kept evolving from DC 1.0 (tightly-coupled silos) to DC 2.0 (computer virtualization) to enhance data processing capability. Emerging big data analysis based business raises highly-diversified and time-varied demand for DCs. Due to the limitations on throughput, resource utilization, manageability and energy efficiency, current DC 2.0 shows its incompetence to provide higher throughput and seamless integration of heterogeneous resources for different big data applications. By rethinking the demand for big data applications, Huawei proposes a high throughput computing data center architecture (HTC-DC). Based on resource disaggregation and interface-unified interconnects, HTC-DC is enabled with PB-level data processing capability, intelligent manageability, high scalability and high energy efficiency. With competitive features, HTC-DC can be a promising candidate for DC3.0. Contents Era of Big Data: New Data Center Architecture in Need 1 ?Needs on Big Data Processing 1 ?DC Evolution: Limitations and Strategies 1 ?Huawei’s Vision on Future DC 2 DC3.0: Huawei HTC-DC 3 ?HTC-DC Overview 3 ?Key Features 4 Summary 6
华为,数据中心解决方案部篇一:华为数据中心虚拟化解决方案 1 项目技术方案 对于XXX项目中众多应用系统,采用华为FusionSphere 虚拟化技术,将上述部分应用服务部署到虚拟化化的高性能物理服务器上,达到高可靠、自动化运维的目标。众多物理服务器虚拟化成计算资源池(集群),保障虚拟化平台的业务在出现计划外和计划内停机的情况下能够持续运行。本项目采用华为FusionSphere虚拟化计算技术实现, ? 通过云平台HA、热迁移功能,能够有效减少设备故障时间,确保核心业务的连续 性,避免传统IT,单点故障导致的业务不可用。 ? 易实现物理设备、虚拟设备、应用系统的集中监控、管理维护自动化与动态化。 ? 便于业务的快速发放, 缩短业务上线周期,高度灵活性与可扩充性、提高管理维护效率。 ? 利用云计算技术可自动化并简化资源调配,实现分布式动态资源优化,智能地根据 应用负载进行资源的弹性伸缩,从而大大提升系统的运作效率,使 IT 资源与业务优先事务能够更好地协调。 ? 在数据存储方面,通过共享的SAN存储架构,可以
最大化的发挥虚拟架构的优势; 提供虚拟机的HA、虚拟机热迁移、存储热迁移技术提高系统的可靠性;提供虚拟机快照备份技术(HyperDP)等,而且为以后的数据备份容灾提供扩展性和打下基础。云平台:采用华为FusionSphere云平台,提供高可用性的弹性虚拟机,保障业务系统的连续性与虚拟机的安全隔离。 备份系统:采用华为FusionSphere HyperDP备份节点建立完整的数据保护系统。整个备份云可实现集中管理,负载均衡。 数据中心包含云管理、计算资源池、存储资源池,备份系统为可选。 Figure图1 单数据中心方案拓扑 终端终端 业务网络 管理网络 存储网络 网络连线防火墙防火墙 XXX项目数据中心架构分为: 接入控制:用于对终端的接入访问进行有效控制,包括接入网关,防火墙等设备。接入控制设备不是解决方案所必须的组成部分,可以根据客户的实际需求进行裁减。