风暴控制使您你够保护你的网络免受过多的流量泛滥。通过设置阈值,可以控制端口每秒内允许通过的广播、未知单播和未知组播报文的最大数量。超过端口上设置的速率阈值的报文将被交换机丢弃。
默认禁用所有流量洪水类型的风暴控制——广播、未知单播和未知多播。你可以全局启用风暴控制,也可以覆盖端口上的全局设置。当你配置风暴控制时,你可以设置一个阈值,并启用流量洪水类型进行监控。
上图展示了如何在全局范围内启用风暴控制。当你全局启用风暴控制时,配置的阈值会在所有管理交换机的每个端口上执行。例如,500的阈值意味着当该端口的速率超过每秒500帧时,交换机会丢弃该端口上受监控的洪水流量。
上图还展示了如何覆盖特定端口上的全局设置。管理交换机上的端口被分配了默认的风暴控制策略。该策略被配置为在端口上应用全局设置。如果你想覆盖设置,你可以创建另一个风暴控制配置文件,并将其分配给上图所示的端口。
网络中的任何设备都可能充当DHCP服务器。DHCP服务可以错误地在设备上启用,也可以由攻击者故意启用。因此,DHCP客户端有可能从错误的不受信任的服务器获取其IP配置。此外,由于DHCP请求通常是广播的,广播域中的所有设备都会收到请求的副本,这会导致DHCP信息泄露。
DHCP侦听通过检查DHCP流量并确保以下情况,保护网络中的DHCP服务免受流氓DHCP服务器和信息泄露的影响:
1. DHCP应答(OFFER和ACK数据包)仅在受信任的端口上接受。
2. DHCP请求(discover和REQUEST)报文只转发到可信端口。这需要将FortiSwitchOS CLI dhcp-snoop-client- req设置为drop-untrusted。缺省情况下,DHCP-snoop-client-req配置为forward-untrust,表示将DHCP请求转发到不受信任的端口。
在VLAN上开启DHCP snooping功能,然后将端口配置为受信任端口或不受信任端口。
上图的示例显示了一个连接了三个端点的交换机。连接受信任的DHCP服务器的端口被配置为受信任,连接流氓DHCP服务器的端口被配置为不受信任。结果是,FortiSwitch只接受来自受信任的DHCP服务器的DHCP回复。流氓DHCP服务器发送的DHCP回复被FortiSwitch删除。此外,如果dhcp-snoop-client-req设置为drop-untrusted,FortiSwitch仅将DHCP客户端发送的请求转发到受信任的DHCP服务器。在上图显示的示例中,这将导致流氓DHCP服务器无法接收来自DHCP客户端的DHCP请求数据包。
除了窥探DHCP流量和在不受信任的端口上删除回复外,FortiSwitch还可以在VLAN上提出的DHCP请求中插入选项82。
选项82,也称为DHCP中继代理信息,可用于保护网络免受对DHCP请求的欺骗攻击。启用后,FortiSwitch将选项82添加到客户端提出的DHCP请求中。默认情况下,选项82包含以下特定于客户端的连接信息:
● 电路ID:包含客户端端口ID、客户端VLAN ID和DHCP模式。当启用DHCP侦听时,DHCP模式是dhcp-s,当启用DHCP中继时,DHCP模式是dhcp-r。
通常,你希望在堆叠中的所有交换机上启用DHCP侦听,但仅在接入交换机上启用选项82,这是连接DHCP客户端的地方。
启用DHCP侦听时,带有选项82的DHCP请求将被丢弃在不受信任的端口上。由于连接下游交换机的端口可能被配置为不受信任的——因为这些端口后面没有DHCP服务器——你必须确保上游交换机在ISL端口上接受由下游交换机插入的选项82的DHCP请求。
上图的拓扑结构说明了所描述的示例。有两个交换机相互连接。两个交换机都启用了DHCP侦听,但只有FortiSwitch 2启用了选项82。此外,FortiSwitch 1连接到受信任的DHCP服务器,FortiSwitch 2连接到DHCP客户端。由于FortiSwitch 1上连接到FortiSwitch 2的端口被配置为不可信,因此你必须确保端口信任由FortiSwitch 2转发的选项82的传入DHCP消息。否则,FortiSwitch 1在选项82验证期间会丢弃数据包,因为它无法识别其中的信息。
在上图显示的示例中,端口被配置为使用选项82信任传入的DHCP数据包。因此,FortiSwitch 1转发的DHCP请求被端口接受并转发到受信任的DHCP服务器。
默认情况下,DHCP侦听被禁用。上图展示了如何使用FortiGate GUl在VLAN上启用DHCP侦听,以及如何将端口配置为受信任端口。还显示了FortiGate CLI上的等效设置。请注意,与选项82和验证MAC相关的设置仅在FortiGate CLI上可用。
此外,只有当端口配置为不可信时,dhcp-snoop-option82-trust才能在端口上启用。目标是在不受信任的端口上只允许带有选项82的DHCP数据包,同时在没有选项82的情况下删除DHCP回复。如果你将端口配置为受信任端口,则无论数据包是否包含选项82,都会接受所有DHCP响应。你可能需要在连接受信任的DHCP服务器和其他不受信任设备的端口上启用dhcp-snoop-option82-trust。在这种情况下,最好在FortiSwitch上启用选项82,然后让交换机DHCP对包含选项82的响应。这使你能够接受来自受信任的DHCP服务器的合法回复,同时删除共享段中其他设备发出的潜在欺骗回复。
FortiGate FortiSwitch Ports页面上的DHCP Snooping列显示端口是否已配置为受信任或不受信任。该页面还指示在不受信任的端口后面检测到流氓DHCP服务器,这意味着来自DHCP服务器的回复被FortiSwitch阻止。
另请注意,FortiSwitch仅记录连接到不受信任端口的DHCP客户端。这可以防止相邻交换机的客户端数据库中的必要条目,这些交换机也执行DHCP侦听。
上图显示的FortiOS CLI命令显示管理交换机上DHCP侦听配置的摘要。输出指示设置为受信任和不受信任的接口,启用DHCP侦听的VLAN,以及数据库中的最大和当前条目数。最大条目数量因型号而异。高端FortiSwitch模型支持更多数据库条目。当DHCP侦听客户端数据库达到其时,FortiSwitch不会向数据库添加更多客户端,并从这些客户端删除DHCP请求。
输出还包括DHCP侦听的全局配置。在上图显示的示例中,DHCP Broacast Mode设置为ALL(forward-untrusted)。
ARP欺骗,也称为ARP中毒,是另一种可以在广播域内轻松执行的攻击。攻击者可以用伪造的ARP响应淹没网络,以毒害其他设备的ARP表。目标是通过欺骗受害者将其网络流量重定向到受损的设备来执行中间人(MITM)攻击。受害者认为它正在直接与预期目标进行通信,而事实上,它是在不知不觉中通过另一个设备间接进行通信。
你在VLAN上启用DAI,然后将端口配置为DAI的受信任或不受信任。DAI对已配置为DAl不受信任的端口执行ARP检查,并对在DHCP侦听或DAI中配置为受信任的端口进行检查。DAl隐式信任在DHCP侦听中配置为受信任的端口。
默认情况下禁用DAl。你必须使用FortiGate CLI在VLAN上启用DAl,并将端口配置为受信任端口,如上图所示。
只有当你之前在该VLAN上启用了DHCP侦听时,你才能在VLAN上启用DAl。此外,默认情况下,所有端口在DAl中都设置为不可信。然而,请注意,当端口在DHCP侦听中受信任时,该端口在DAl中隐式受信任,这就是为什么只有当dhcp-snooping设置为untrusted时,arp-inspection-trust才可用。
上图显示的FortiOS CLI命令显示管理交换机上的DAI统计信息。输出显示已收到(检查)多少ARP请求和回复数据包,以及转发或丢弃多少数据包。如果DHCP侦听客户端数据库或IPSG数据库中存在有效的IP-MAC绑定,则会转发数据包。否则,数据包会被丢弃。
请注意,输出中显示的接收计数器仅在不受信任的端口接收ARP数据包时才增加。FortiSwitch不对信任端口上收到的ARP报文进行检测,因此这些报文不包含在DAl统计中。
IPSG数据库由动态和静态条目组成。动态条目从DHCP侦听客户端数据库导入。静态条目由管理员手动配置。
IPSG不需要DHCP侦听,但建议使用。否则,你必须为每个连接的端点手动配置IPSG数据库中的条目。当你启用DHCP侦听时,DHCP客户端的条目(动态条目)会自动从DHCP侦听客户端数据库导入,这大大减少了管理开销。
默认情况下,IPSG在丢弃数据包时不会生成任何日志。如果你想记录IPSG违规行为,你必须在上图所示的FortiSwitch CLI上启用相应的设置。启用IPSG违规记录后,你还可以为这些事件设置计时器。默认情况下,计时器设置为0,这意味着违规事件不会过期。
上图显示的FortiOS CLI命令在管理交换机上显示IPSG数据库。输出指示条目是静态的还是动态的。静态条目由管理员手动配置,而动态条目则自动从DHCP侦听客户端数据库导入。
请注意,并非DHCP侦听客户端数据库中的所有条目都会被导入。仅导入连接到启用IPSG的端口的端点条目。
你可以在FortiGate的GUI界面上通过FortiSwitch事件子类别查看IPSG违规日志。
除了日志外,FortiSwitch还保留了IPSG违规列表。你只能通过运行上图显示的命令在FortiSwitch CLI上查看此列表。如果你将违规日志计时器设置为零以外的值,则在到达计时器后,此列表中的条目将被删除。每个事件显示的时间戳对应于第一次记录违规的时间。该列表显示每个设备的单个事件,即使FortiSwitch已阻止来自该设备的多个数据包。
请注意,该列表总共最多支持128个条目,每个端口最多支持5个条目。
接入VLAN使FortiSwitch能够防止同一VLAN中的设备之间的直接通信。设备只能与FortiGate通信。FortiSwitch会丢弃指向同一VLAN中其他设备的流量。虽然其他供应商在指交换机端口上的本机或未标记的VLAN时使用术语访问VLAN,但在FortiSwitch中,接入VLAN是指仅允许流量到交换机控制器的VLAN。
接入VLAN可用于在FortiGate进行身份验证或识别之前将设备放置在临时或板载VLAN中,之后FortiGate将设备移动到相应的生产VLAN。接入VLAN的另一个用例是当你想删除VLAN内部流量时,因为设备不需要客户端到客户端通信。这可以防止受损主机传播恶意软件,减少网络中的流量,或防止攻击者收集可用于攻击同一VLAN中易受攻击主机的网络信息。
在上图所示的网络图中,FortiSwitch的port1和port2被放置在VLAN 10中,这是FortiSwitch在FortiGate上启用了接入VLAN的一个VLAN。这样,当客户端a发送到FortiGate的VLAN 10接口以外的设备的流量时,该流量将被FortiSwitch丢弃。
你可以通过在相应的FortiSwitch VLAN上启用Block intra-VLAN traffic,在FortiGate GUI上启用接入VLAN。或者,你可以运行此上图显示的FortiOS CLI命令。
启用访问VLAN时,你仍然可以通过让FortiGate为VLAN中的其他主机执行代理ARP,以及允许VLAN内流量的防火墙策略来允许通过FortiGate进行VLAN内部流量。
配置防火墙策略时,你必须选择与传入接口和传出接口相同的VLAN接口。如果需要,你还可以启用安全配置文件来执行检查。
答案:A
答案:B
答案:A
非常好!你现在了解了过滤和反欺骗。接下来你将了解端口安全。
802.1X是一个标准,旨在为想要加入有线或无线网络的网络设备提供身份验证服务。802.1X标准定义了一个名为EAP的身份验证协议。它还定义了如何在LAN(EAPOL协议)和RADIUS上封装EAP。
802.1X涉及到以下三方:
● 客户端,也称为请求者,是想要加入网络的设备。它的网络堆栈必须支持802.1X。
● 身份验证器是一种网络设备,例如无线接入点或交换机,在身份验证过程中充当代理。身份验证器根据从身份验证服务器收到的响应允许或拒绝对请求者的网络访问。
● 身份验证服务器是支持RADIUS和EAP的主机,例如FortiAuthenticator,并验证客户端凭据。客户端凭据可以是用户名和密码,也可以是数字证书。身份验证服务器还根据配置的身份验证策略向请求者授予网络访问级别。
在验证和授权客户端凭据之前,客户端不允许访问网络。使用802.1X身份验证,客户端向身份验证器提供其凭据,然后身份验证器将信息传递给身份验证服务器进行验证。如果身份验证服务器确定凭据有效,则客户端设备将被授予对网络的访问权限。
请注意,身份验证器不需要存储客户端凭据或了解身份验证方法(例如,PEAP或EAP-TLS)。身份验证消息通过RADIUS协议从客户端隧道传输到身份验证服务器。
启用EAP直通时,EAP消息将转发到身份验证服务器。但是,如果身份验证服务器(RADIUS服务器)不支持EAP,或者你希望FortiSwitch针对其本地用户数据库对用户进行身份验证,则应禁用EAP直通。作为802.1X身份验证服务器,FortiSwitch支持EAP-PEAP、EAP-TTLS、EAP-TLS和EAP-MD5。最后,如果你启用覆盖RADIUS超时,交换机将使用从RADIUS服务器收到的会话超时属性值覆盖本地重新身份验证计时器。
创建安全策略后,你可以使用FortiGate GUl或CLl进行分配,如上图所示。使用FortiGate GUI时,请确保安全策略列可见。802.1X身份验证仅在具有安全策略的端口上强制执行。
使用802.1X的一个好处是,在身份验证成功后,FortiSwitch还可以从身份验证服务器获取端点的本机VLAN。这使管理员能够通过仅对身份验证服务器进行更改来动态地将VLAN分配给端点,而无需在FortiSwitch上进行任何进一步更改。
如果你将身份验证服务器配置为针对包含网络中所有现有域用户的后端服务器(如Windows AD)对802.1X用户进行身份验证,则部署将变得更加可扩展。然后,您可以在身份验证服务器中配置规则,将域用户组映射到VLAN。结果是,FortiSwitch可以根据802.1X用户所属的域用户组自动为端点分配VLAN。这意味着你只需更改后端服务器上的用户组成员资格,即可控制端点上的VLAN分配。
为了使FortiSwitch在802.1X身份验证期间学习VLAN信息,它必须从身份验证服务器接收上图显示的RFC 35中定义的三个RADIUS属性。请注意,你可以将VLAN ID或FortiSwitch VLAN名称指示为 Tunnel-Private-Group-ID。如果你想指示VLAN名称,请确保其写入与FortiGate上配置的完全一致。
上图的示例显示,FortiSwitch将客户端分配给VLAN 10,因为FortiAuthenticator配置为在身份验证时将RADIUS属性Tunnel-Private-Group-ID-10返回给FortiSwitch。FortiAuthenticator返回该属性,因为它通过使用LDAP从Windows AD后端服务器查询用户组成员信息,确定802.1X用户(学生)是IT域用户组的成员。
你可以使用管理交换机的FortiOS 802.1X状态命令,通过RADIUS查看分配给802.1X端口的VLAN。
上图的示例显示了FortiOS上802.1X状态命令的输出,以及所涉及的交换机端口和FortiSwitch VLAN配置。从输出中删除了一些不相关的线条,以便它可以放在这上图中。输出显示,Dynamic Authorized Vlan上的VLAN ID(10)与分配给端口的FortiSwitch VLAN(onboarding)上配置的VLAN ID(40)不同。这意味着FortiSwitch覆盖端口上的本机VLAN配置,在802.1X成功身份验证后通过RADIUS从身份验证服务器学习VLAN ID。
你还可以使用其他功能配置动态VLAN,例如FortiOS集成NAC、FortiSwitch ACL或FortiSwitch MAC-VLAN绑定。然而,当涉及到动态VLAN分配时,这些选项都没有使用802.1X身份验证那样可扩展。你将在另一节课中了解有关这些附加功能的更多信息。
默认情况下,当端口或VLAN上看到的动态条目数量超过配置时,FortiSwitch不会记录事件。你可以通过运行上图上显示的命令来启用MAC违规的日志记录。
你可以通过浏览FortiSwitch Events子类别在FortiGate GUl上查看MAC违规日志。
请注意,该列表总共支持多达128个条目。一旦达到最大条目数量,将不会记录其他事件。但是,你可以重置事件。
你可以通过运行上图显示的FortiGate CLI命令来重置记录的MAC违规行为。当你重置MAC违规行为时,FortiSwitch会生成一个日志来记录重置操作。
默认的60秒数据同步间隔适用于大多数部署。你仍然可以通过运行上图显示的命令来调整计时器。
答案:B
答案:A
答案:B
恭喜你!你已经完成了这节课。接下来你将回顾一下本课所涉及的目标。
通过掌握本课所涵盖的目标,你了解了可以使用的不同安全功能可以用来在第二层保护你的网络。
