【正文】 ...........................................................19 更改標準端口 ..................................................................................................20 關閉不必要的服務 ..........................................................................................20 防 DOS 攻擊 ......................................................................................................20 ICMP 協(xié)議的安全配置 .....................................................................................24 其他特定的安全配置 ......................................................................................255 / 25第一章 網絡設備的安全機制本部分內容對網絡設備自身的安全機制進行簡單描述，對每種安全機制可以解決什么問題進行闡述?？紤]到設備適用的網絡層次不同，各安全機制實施的網絡層面也不盡相同，在這對各安全機制的使用網絡層次進行分析。網絡設備的安全機制要考慮以下幾個部分： 訪問控制大多數網絡設備具有訪問控制能力，或通過訪問控制列表，或流量過濾功能實現。通過訪問控制能力，能夠實現對遠程訪問控制、snmp 的認證、路由協(xié)議認證、IP 地址限制、流量控制等等。本部分對各類網絡設備具有的訪問控制能力進行綜合闡述，并描述如何將訪問控制功能應用在防范攻擊上。同時，對設備的設計結構進行說明，并討論訪問控制的實施是否會對設備性能造成影響。目前思科低端設備在實施訪問控制上有一定局限性，主要原因是設備設計特性所決定的。在對設備屬性不是很熟悉的情況下，實施 ACL 最好獲取廠商的技術支持，已確保實施滿足最終效果。 數據加密本部分對網絡設備是否支持加密的通信方式進行闡述，如是否支持 SSH、口令加密、是否支持 HTTPS 等等，并針對不同的軟件版本問題分別闡述。6 / 25 日志問題本部分對網絡設備的日志體系進行介紹，如日志的組成、日志的存儲等問題。對 SYSLOG 的支持等。 自身的防攻擊能力本部分對網絡設備自身所特有的防攻擊能力。目前，各廠家的網絡設備一般具有一定的自動攻擊檢測和防范機制，在功能上和稱呼上有一定的差別，有些能自動生成，有些需手工添加。如思科和華為的 CAR 功能等?？紤]到設備本身具備的防攻擊能力是設備特有的，在各分冊中對設備具有的特定防攻擊能力進行詳細描述。7 / 25第二章 網絡設備安全配置建議網絡設備安全配置建議是本規(guī)范的主要部分，該部分將對安全配置的細節(jié)進行描述，并對安全配置適用的網絡層次、對設備性能的影響和配置實施的注意點進行詳細說明?？紤]到不同設備在配置上存在巨大差異，對不同設備的配置在各分冊中給出配置建議。 訪問控制列表及其管理訪問控制列表是路由器本身具有安全機制中最有特點的一個功能，許多安全配置都基于訪問控制列表功能進行的。本部分針對設備的訪問控制列表功能進行總體的描述，并描述訪問控制列表具體實施和配置等問題。同時考慮訪問控制列表對部分設備性能有一定影響，訪問控制列表的實施必須慎重，最好獲取廠家的建議后實施。 實施原則目前，大多數路由器、交換機等網絡設備能提供強大的 ACL（訪問控制列表）的功能。建議用 ACL 去限制可以遠程登錄設備的源地址。實施 ACL 的原則是：? 只允許合法的網管網段或網管和維護主機地址作為源地址發(fā)起對設備的遠程連接，如 Tel、SSH、Http、SNMP、Syslog 等；? 只允許需要的協(xié)議端口能進入（如 OSPF、BGP、RSVP 等）；? 指定設備自身發(fā)包的源地址，如 loopback IP。同時只允許在設備間使用這些地址來互相遠程登錄；8 / 25? 除此之外所有以設備端口 IP 地址為目的地址數據包都被拒收。ACL 在不同設備上的有不同的定義，但目的都是實現對訪問的控制，有效屏蔽大部分的網絡攻擊。如 CISCO 稱之為 Access List。 存在問題注意 ACL 的設置會可能對路由器設備性能造成影響，如 CISCO 的 ACL 設置過多，設備性能會嚴重下降。對于不同設備，建議在實施 ACL 時，要獲取相關設備提供商的建議。需要強調的是，對網絡病毒和攻擊的防范，并不能單靠路由器或交換機來完成，應盡量保證受管理主機及時得到系統(tǒng)加固，從源頭上減少網絡病毒和攻擊發(fā)生的可能性。匯聚網絡或核心網絡中，每一條鏈路上都承載大量各種各樣的流量。在此對流量進行區(qū)分和過濾具有較大難度，也容易引發(fā)意外。而且也加大了匯聚設備或核心設備的處理壓力。建議 ACL 的設置應盡量往網絡邊緣靠，如在接入層設備和全網出口處。這樣能起到更好的防范效果，也包證了網絡的整體轉發(fā)效能不受影響。 要求配置部分根據已有經驗，要求添加的 ACL 包括以下幾部分：? 對 ICMP 數據包的過濾目前網絡上泛濫著大量的使用 ICMP 數據包的 DoS 攻擊，如 W32/Welchia Worm。我們建議創(chuàng)建 ACL 來屏蔽所有的 ICMP 數據流?；诰W管需要和特殊要求，我們可以再加添高優(yōu)先級的 ACL 來允許特殊類型或具體源/目地址的 ICMP 包通過。? 對已知攻擊模式的病毒攻擊的防護? 根據 IANA 組織制定的說明，屏蔽不應在 Inter 上出現的 IP 地址這些地址包括：回環(huán)地址()；RFC1918 私有地址；DHCP 自定義9 / 25地址()；科學文檔作者測試用地址()；不用的組播地址()；SUN 公司的古老的測試地址(。)；全網絡地址()。? 根據 IANA 組織制定的說明, 屏蔽不應在 Inter 上出現的服務端口。? 根據 IANA 組織制定的說明，屏蔽不需要的組播地址。在用或需要用的某些協(xié)議是通過組播方式運作（如 OSPF），必須創(chuàng)建高優(yōu)先級的 ACL 來允許指向具體組播地址的數據流通過。實現源地址檢查功能的ACL。 路由協(xié)議的安全性路由協(xié)議是數據網絡最常用的技術,大部分的路由協(xié)議都會周期發(fā)送組播或廣播 PDU 來維持協(xié)議運作。組播和廣播模式自身就存在嚴重安全隱患，而且路由協(xié)議的 PDU 攜帶有敏感的路由信息。一旦路由協(xié)議 PDU 被竊聽或冒充后，不對的或被惡意篡改的路由信息將直接導致網絡故障，甚至網絡癱瘓。路由協(xié)議運作過程中的安全防護是保證全網安全的重要一環(huán)。路由協(xié)議的安全性主要考慮路由認證、源地址路由檢查和黑洞路由管理三個方面進行闡述。 路由協(xié)議認證大多數網絡設備的路由協(xié)議如 OSPF、ISIS 和 BGP 都具有 MD5 認證功能。默認情況下該功能不會啟用該功能，根據路由協(xié)議的需要，要求啟用該項功能。一般情況下，路由設備加入某個 IGP 或 EGP 協(xié)議域以后，會與鄰接設備完整地交換路由信息。如果這是一個完全可信的網絡是沒有問題的，但是對于一個暴露在 Inter 上或有大量終端用戶的網絡來說，就存在安全隱患。過多的和過于細致的路由信息可能被部分不懷好意的組織或個人收集，作為攻擊網絡的原始資料。建議在與不可信網絡建立路由關系時，或鄰居關系承載在不可信鏈路上時，添加路由策略來限制只與可信設備間建立路由鄰接關系，并使得只10 / 25發(fā)送盡可能簡潔和必要的路由信息和只接受必要的外部路由更新，實現將路