华为核心路由器 多种安全特性.docx

1、华为核心路由器 多种安全特性华为核心路由 器的安全方案7.1 网络的安全保障特点网络安全大体上分为两个层次：网络自身安全和网络业务安全。网络自身的安全主要是指网络数据的安全传送、网络资源的合法使用；后者主要是指网络业务的合法授权、使用和监管。针对现有网络和业务的现状，一个完整的网络安全方案应该由网络层安全策略和应用层安全策略来构成，网络层安全策略主要完成对非法使用网络资源的控制，而应用层安全策略主要是针对通过合法的渠道来非法使用业务资源的控制，只有两者的完美结合，才能构成一个安全的系统！7.2 设备级的安全措施1、配置安全。 华为数据产品对登录用户支持本地或远程两种认证方式，并为不同级别的用户

2、提供不同的配置权限。支持用户使用SSH登录路由器并进行配置，避免了远程配置的报文被第三方监控的可能。 2、数据日志及热补丁技术。设备的文件系统是一个类DOS的系统，可以记录系统及用户日志。系统日志指系统运行过程中记录的相关信息，用以对运行情况、故障进行分析和定位，支持基于线程极的系统日志。日志文件可以通过XModem、FTP、TFTP协议，远程传送到网管中心。除此之外，考虑到有些IP特性对局域网来说是有用的，但对广域网或城域网节点的设备是不适用的。如果这些特性被恶意攻击者利用，会增加网络的危险。在网络设计时可考虑关闭以下这些IP功能的开关：(1)、重定向开关网络设备向同一个子网的主机发送ICM

3、P重定向报文，请求主机改变路由。一般情况下，设备仅向主机而不向其它设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文，以期改变主机的路由表，干扰主机正常的IP报文转发。(2)、定向广播报文转发开关在接口上进行配置，禁止目的地址为子网广播地址的报文从该接口转发，以防止smurf攻击。 因此，设备应能关闭定向广播报文的转发。缺省应为关闭状态。(3)、ICMP协议的功能开关 很多常见的网络攻击利用了ICMP协议功能。ICMP协议允许网络设备中间节点向其它设备节点和主机发送差错或控制报文；主机也可用ICMP协议与网络设备或另一台主机通信。对ICMP的防护比

4、较复杂，因为ICMP中一些消息已经作废，而有一些消息在基本传送中不使用，而另外一些则是常用的消息。因此ICMP协议处理中应根据这三种差别对不同的ICMP消息处理。以减少ICMP对网络安全的影响。3、核心路由器的多种安全特性核心路由器提供多种安全措施，包括一系列的安全特性，可以防止拒绝服务攻击、非法接入以及控制平面的过载。主要安全特性包括：三种用户鉴权模式：本地验证、RADIUS服务器验证和HWTACACS服务器验证，可对用户身份进行验证，并进行合理授权。基于硬件的包过滤和采样，从而实现高性能和高扩展性。对OSPF、IS-IS、RIP和BGP-4等上层路由协议，提供明文验证和MD5（Messag

5、e Digest 5）等多种验证方法。实现转发和控制平面的访问控制列表ACL（Access Control List）。支持本机防攻击安全特性。支持合法监听/URPF。支持DHCP Snooping/MAC限制。支持GTSM。ARP防攻击在现今的运营商网络中，Ethernet是最常用的接入手段，而ARP作为Ethernet网络上的开放协议，为恶意用户的攻击提供了可能。恶意用户的攻击主要从空间与时间两方面进行。空间方面的攻击主要利用路由器ARP缓存的有限性，通过发送大量伪造的ARP请求、应答报文，造成路由器设备的ARP缓存溢出，从而无法缓存正常的ARP表项，进而阻碍正常转发。时间方面的攻击主要利

6、用路由器计算能力的有限性，通过发送大量伪造的ARP请求、应答报文或其他能够触发路由器ARP处理的报文，造成路由器设备的计算资源长期忙于ARP处理，影响其他业务的处理，进而阻碍正常转发。使用基于接口的ARP表项限制和基于时间戳的防扫描两种特性来防止ARP攻击。4、防地址盗用通过IP地址、MAC地址和VlanID的相关性绑定进一步提高网络的安全性.当业务接入节点收到一个IP报文时，其以太网封装帧头中的VLAN ID必须是绑定记录中的VLAN ID，其以太网封装帧头中的源MAC地址也必须是绑定记录中的MAC，同时此报文的源IP地址也必须是绑定记录中的IP地址。如果不符合这个约束，该报文被视为无效并被

7、丢弃。业务接入节点通过绑定的方法，维护了IP地址、MAC地址和VLAN标识的相关性，除了可以有效的防止IP地址仿冒和MAC地址仿冒，还能有效的控制同一VLAN下接入用户的数目。5、接入认证提升接入安全性华为以太网交换机均支持802.1X认证，从标准的802.1x认证看，只能控制接入端口的打开和关闭，如某个端口下挂了一个HUB，则只要HUB上有一个用户认证通过，该端口就处于打开状态，此HUB下的其他用户也都可以上网。为了解决这个问题，扩展基于MAC地址的认证，某个用户认证通过后，接入设备就将此用户的MAC地址记录下来，接入设备只允许所记录MAC地址发送的报文通过，其它MAC地址的报文一律拒绝。认

8、证的终结点可以选择集中式和分布式两种方式。对于集中式认证，主要针对需要认证的用户数量不多，方便管理，这时只需要把核心交换机配置成为802.1X认证终结端，这时所有的用户认证信息到核心交换机上终结，这种方式的认证优点是：在用户量较少的情况下方便统一管理。缺点：在用户数量较多的情况下，对核心设备的性能有一定影响。对于分布式认证，主要针对需要认证的用户数量较多，把认证的终结点设置在用户接入的交换机或者用户接入的上一层交换机。这时用户的802.1X认证终结点分散到了接入层。这种认证方式的优点是：在用户量较大的情况下，分散了用户的认证终结点，对设备性能影响小。缺点：需要对每台认证设备进行一定的配置。6、

9、完备的流量监控、会话控制流量监控主要是指、防火墙通过对系统数据流量和连接状况进行监视，在发现异常情况时采取适当的处理措施，有效地防止网络受到外界的攻击。支持多种流量监控，主要包括：基本会话监控、承诺访问速率、实时流量统计等。基本会话监控根据不同类型流量在一定时间内所占的百分比进行监测和告警处理，通过监控IP地址或接口的总连接数，对超过阈值的连接进行限制。限制主要包括：基于特定目的/源IP地址的连接速率限制基于特定目的/源IP地址的连接数限制基于域出/入方向的连接速率限制基于域出/入方向对ACL中地址的连接速率限制基于域出/入方向对ACL中地址的连接数限制对IP报文按不同类型所占百分比进行管理承

10、诺访问速率承诺访问速率技术包括分类服务、速率限制，将进入网络的报文按多种形式进行分类，对不同类别的流量给予不同的处理，通过采用限制承诺信息速率、承诺突发尺寸、超出突发尺寸等措施有效进行流量监管。实时统计分析监测内部、外部网络的连接状况，对输入和输出的IP报文进行数十种实时统计，主要统计如下：全局总会话和总流量的相关信息应用层协议相关信息丢弃包的相关信息对TCP报文的RST、FIN报文详尽的分类统计7.3 网络层的网络安全设计随着Internet的迅速发展，越来越多的行业用户或大型企业开始借助网络服务来加速自身的发展，那么如何在一个开放的网络环境中“守护”自己的内部网络就成为人们关注的话题。本次

11、建设的教育专网作为教育厅与各地州教育局互连互通的专用网络，其安全性以及与CMNET、CERNET的安全隔离都是必须要考虑的因素。本次工程中通过在教育厅部署华为公司的Eudemon300千兆防火墙，一方面实现了不同网络之间的安全隔离，同时解决了教育专网的地址分配。Eudemon防火墙定位于行业用户或大中型企业，通过采用NP技术提供线速的高性能安全防范和报文处理能力，在提供高性能的同时，还可以支持数万条ACL（Access Control List）规则。在整机最大吞吐量方面，Eudemon300可以达到1Gbps，Eudemon500可以达到2Gbps，Eudemon1000可以达到3Gbps。

12、出口安全防护：地址转换(NAT):地址转换主要是因为Internet地址短缺问题而提出的，利用地址转换可以使内部网络的用户访问外部网络（Internet），利用地址转换可以给内部网络提供一种“隐私”保护，同时也可以按照用户的需要提供给外部网络一定的服务，如：WWW、FTP、TELNET、SMTP、POP3等。地址转换技术实现的功能是上述的两个方面，一般称为“正向的地址转换”和“反向的地址转换”。在正向的地址转换中，具有只转换地址（NAT）和同时转换地址和端口（PAT）两种形式。所谓IP地址就是给每一个连接在Internet上的主机分配一个唯一的32bit 地址， IP地址是由Internet

13、Assigned Numbers Authority （IANA）组织统一分配的，保证在Internet上没有重复的IP地址。IP地址是一个32Bit的地址，由网络号码和主机号码两部分组成。 为了便于对IP地址进行管理，同时还考虑到网络的差异很大，有的网络拥有很多的主机，而有的网络上的主机则很少。因此Internet 的IP地址就分成为五类，即A类到E类，其中能被使用的是A、B、C三类。IP地址示意图A类IP地址的网络号码数不多，目前几乎没有多余的可供分配，现在能够申请到的IP地址只有B类和C类两种。当某个单位申请到IP地址时，实际上只是拿到了一个网络号码net-id。具体的各个主机号码hos

14、t-id则由该单位自行分配，只要做到在该单位管辖的范围内无重复的主机号码即可。由于当初没有预计到微机会普及得如此之快，各种局域网和局域网上的主机数目急剧增长，另外由于申请IP地址的时候是申请的“网络号码”这样在使用时，有时候也有很大的浪费。例如：某个单位申请到了一个B类地址，但该单位只有1万台主机。于是，在一个B类地址中的其余5万5千多个主机号码就白白地浪费了，因为其他单位的主机无法使用这些号码。地址转换（Network Address Translation）技术，就是解决地址短缺问题的一个主要的技术手段。地址分为公有地址和私有地址两种。Internet是连接了许多的局域网的一个网络，可以连

15、接各种不同类型的局域网。局域网的类型可以很多，我们在本文讨论的局域网都是使用TCP/IP协议连接的局域网。如果局域网采用TCP/IP协议连接，局域网的每台机器都必须拥有一个IP地址，为了使得局域网的IP地址可以被局域网自己规划，IANA组织在A、B、C类IP地址中各选出一个网段做为“私有地址”，供各个局域网按照自己的需要自由分配。私有地址是指内部网络（局域网内部）的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址：10.0.0.0 - 10.255.255.255172.16.0.0 - 172.31.255.2

16、55 192.168.0.0 - 192.168.255.255 也就是说这三个网络的地址不会在因特网上被分配，但可以在一个企业（局域网）内部使用。各个企业根据在可预见的将来主机数量的多少，来选择一个合适的网络地址。不同的企业，他们的内部网络地址可以相同。如果一个公司选择其他的网段作为内部网络地址，则有可能会引起路由表的混乱。很明显，私有地址是不会在Internet上看见的，在Internet上可见的IP地址称为公有地址。使用私有地址转换的主机是不能直接访问Internet的，同样的道理，在Internet上也不可能访问到使用私有地址的主机。内部服务器是一种“反向”的地址转换。内部服务器功能可

17、以使得配置了私有地址的内部主机可以被外部网络访问。参考图2，Web Server是一台配置了私有地址的机器，通过地址转换提供的配置，可以为这台主机映射一个合法的IP地址（假设是202.110.10.10），当Internet上的用户访问202.110.10.10的时候，地址转换就将访问送到了SERVER上，这样就可以给内部网络提供一种“内部服务器”的应用。防火墙对内部服务器的支持可以到达端口级。允许用户按照自己的需要配置内部服务器的端口、协议、提供给外部的端口、协议。防火墙的地址转换功能，可以利用访问控制列表决定什么样的地址可以进行地址转换。如果某些主机具有访问Internet的权利，而某些主

18、机不能访问Internet。可以利用ACL（访问控制列表）定义什么样的主机不能访问Internet，什么样的主机可以访问Internet。然后将配置好的ACL规则应用在地址转换上，就可以达到利用ACL控制地址转换的功能。7.4 设备的可靠性措施节点安全措施：在XX网核心节点设备的主控板、交换网板、时钟板、电源等部件都具有冗余配置能力，线路板支持在线热插拔而不会丢失数据，能够保证设备的不间断运行。在汇聚层设备方面，为了保障网络安全，降低网络故障，所有关键部件应采用冗余备份设计，如：电源模块N1备份，控制和交换板采用11冗余备份。对网络设备采用多级安全密码体系，限制非法设备和用户登录，在出现软硬件

19、故障时，可以迅速切换到备用模块，保障业务的不间断运行。7.5 网络设备安全配置1.帐号安全配置：要求内容应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作aaalocal-user user1 password cipher PWD1local-user user1 service-type telnetlocal-user user2 password cipher PWD2local-user user2 service-type ftp#user-interface vty 0 4authentication-mode aaa 2

20、、补充操作说明无。检测方法1、判定条件用配置中没有的用户名去登录，结果是不能登录2、检测操作display current-configuration configuration aaa）3、补充说明无。要求内容限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。操作指南1、参考配置操作super password level 3 cipher superPWD aaalocal-user user1 password cipher PWD1local-user user1 service-type telnetloca

21、l-user user1 level 2#user-interface vty 0 4authentication-mode aaa2、补充操作说明无。检测方法1、判定条件用户用相应的操作权限登录设备后，不具有最高权限级别3，这时有些操作不能做，例如修改aaa的配置。这时如果想使用管理员权限必须提高用户级别。2、检测操作display current-configuration configuration aaa 3、补充说明无。2.帐号密码长度配置：要求内容对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作aaa

22、local-user user1 password cipher NumABC%$2、补充操作说明无。检测方法判定条件查看用户的口令长度是否至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。对于加密的口令，通过登陆检测。检测操作display current-configuration configuration aaa 补充说明无。3.帐号口令加密：要求内容静态口令必须使用不可逆加密算法加密后保存于配置文件中。操作指南1、参考配置操作super password level 3 cipher NC55QK=/Q=QMAF41! local-user 8011 password

23、 cipher NC55QK=/Q=QMAF41!2、补充操作说明无。检测方法1.判定条件用户的加密口令在buildrun中显示的密文。2.检测操作display current-configuration configuration aaa 3.补充说明无。4.帐号登陆权限配置：要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作aaalocal-user 8011 password cipher 8011local-user 8011 service-type telnetlocal-user 8011 level 0#user-interfac

24、e vty 0 4authentication-mode aaa2、补充操作说明无。检测方法1.判定条件查看所有用户的级别都配置为其所需的最小权限。1.检测操作display current-configuration configuration aaa 2.补充说明无。5.设备日志配置：要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1、参考配置操作info-center console channel 02、补充操作说明无。检测方法1.判定条件在日志缓存上正确记录了日志信息。2.检测操作di

25、splay logbuffer3.补充说明无。要求内容设备应配置日志功能，记录用户对设备的操作。例如：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的计费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。操作指南1、参考配置操作info-center logbuffer channel 42、补充操作说明在系统模式下进行操作。检测方法1.判定条件对设备的操作会记录在日志中。2.检测操作display logbuffer3.补充说明无。要求内容设备应配置日志功能，记录对与设备相关的安全事件。操作指南1、参考配置操作info-cen

26、ter enable2、补充操作说明在系统模式下进行操作。检测方法1.判定条件在日志缓存上正确记录了日志信息。2.检测操作display logbuffer3.补充说明无。6.安全访问控制列表配置：要求内容对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。操作指南1、参考配置操作acl number 20000 rule tcp source 1.1.1.1 0.0.0.0 destination 2.2.2.2 0.0.0.0 source-port eq ftp-dat

27、a destination-port eq 30 traffic classifier dd if-match acl 20000 traffic behavior dd car cir 2000 cbs 12288 green pass yellow remark red discard traffic policy dd classifier dd behavior dd precedence 0 interface GigabitEthernet4/0/0 undo shutdown ip address 4.4.4.4 255.255.255.0 traffic-policy dd i

28、nbound2、补充操作说明在系统模式下进行操作。检测方法1.判定条件通过测试打流，相关流被成功过滤。2.检测操作display traffic policy3.补充说明无。7.远程维护登陆安全配置：要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。操作指南1、参考配置操作#rsa peer-public-key quidway002public-key-code begin308186028180739A291ABDA704F5D93DC8FDF84C4274631991C164B0DF178C55FA833591C7D47D5381D09CE82913D7EDF9

29、C08511D83CA4ED2B30B809808EB0D1F52D045DE40861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367FE187BDD944018B3B69F3CBB0A573202C16BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125public-key-code endpeer-public-key end#aaalocal-user client001 password simple huaweilocal-user client002 password simple qu

30、idwayauthentication-scheme default#authorization-scheme default#accounting-scheme default#domain default#ssh user client002 assign rsa-key quidway002ssh user client001 authentication-type passwordssh user client002 authentication-type RSA#user-interface con 0user-interface vty 0 4authentication-mode

31、 aaaprotocol inbound ssh#2、补充操作说明无。检测方法1.判定条件通过抓包确定ssh登录的信息为加密信息。2.检测操作disp current-configuration | begin ssh3.补充说明无。8.常见防病毒攻击安全列表配置：要求内容通过ACL配置对常见的漏洞攻击及病毒报文进行过滤。操作指南1、参考配置操作acl number 20000 rule tcp source 1.1.1.1 0.0.0.0 destination 2.2.2.2 0.0.0.0 source-port eq ftp-data destination-port eq 30 traffic classifier dd if-match acl