【文章內(nèi)容簡介】 由協(xié)議的交互工作置于受控狀態(tài)的目的。通過路由協(xié)議的認證，并結(jié)合設備提供的強大路由策略配置和 ACL 的過濾功能，能實現(xiàn)對路由更新的發(fā)送和接受起到精確控制。這樣可以凈化鏈路流量，也有助于提高網(wǎng)絡安全性。注意隨意將該 IP 端口加入路由域的作法不值得提倡，建議在不需要接收和轉(zhuǎn)發(fā)路由信息的端口的情況下，應該將該端口設為 Passive 模式來滿足需要。在路由協(xié)議認證方面，規(guī)范對 OSPF、ISIS 和 BGP 協(xié)議路由認證分別作詳細介紹，考慮到 RIP 協(xié)議考慮其實際應用較少，只作補充介紹。 源地址路由檢查為了防止利用 IP Spoofing 手段假冒源地址進行的 DoS 攻擊對整個網(wǎng)絡造成的沖擊，建議在所有的邊緣路由設備（即直接與終端用戶網(wǎng)絡互連的路由設備）上，根據(jù)用戶網(wǎng)段規(guī)劃添加源地址路由檢查。考慮到設備對源地址路由檢查實現(xiàn)方法不同，如大多數(shù)設備可以通過強大的 ACL 功能來實現(xiàn)，思科部分高端設備還提供URPF（UnicastReversePathForwarding 單播反向路徑轉(zhuǎn)發(fā)）功能來實現(xiàn)。注意源路由檢查功能只適用于網(wǎng)絡接入層設備。匯聚層和核心層設備不建議使用，這主要原因是匯聚層和核心層設備承載的路由記錄多而且復雜，不容易區(qū)分某一個方向的合法源地址。匯聚層和核心層設備承載的流量也比較大，增加大規(guī)模的源地址檢查會增加系統(tǒng)負擔，而且如果這一檢查已經(jīng)在所有接入層設備上萬成，就更顯得毫無必要。還有一個主要原因是，匯聚層和核心層設備出現(xiàn)不均衡路由的機會較高（即輸出流量與返回流量分別承載在不同鏈路上，這是正常現(xiàn)象）。如果啟用源路由檢查后，容易造成正常返回流量的無端被棄。對源地址路由檢查可以在很大程度上提高網(wǎng)絡的安全性，是許多防范 DoS攻擊十分有效的手段，特別是對偽造 IP 地址的攻擊。11 / 25 黑洞路由黑洞路由是：當上級設備與下級設備互連時，若下級設備使用缺省路由引導流出流量，而上級設備使用靜態(tài)路由或只接收下級設備宣告的匯聚路由來引導返回流量，常常會在互連鏈路上形成路由環(huán)路。這是由于下級設備有部分明細路由實際上沒有使用而沒有路由記錄，而此情況不被上級設備所知道。當有流量指向這部分地址時，下級設備會根據(jù)最長匹配原則使用缺省路由記錄發(fā)往上級設備，而上級設備又根據(jù)靜態(tài)或匯聚路由記錄發(fā)還給下級設備，由此反復直至該流量的 TTL 遞減歸 0 為止，這樣形成了路由黑洞。尤其在網(wǎng)絡受到掃描攻擊或惡意破壞時，大量的流量在此鏈路上循環(huán)將嚴重擠占帶寬和設備資源，影響網(wǎng)絡服務質(zhì)量甚至導致網(wǎng)絡癱瘓。要求根據(jù) IP 規(guī)劃和實際配置情況，在有此類故障隱患的下級設備上加添靜態(tài)路由，把可能存在的黑洞路由信息丟棄，以此屏蔽暫時不用的網(wǎng)段，并根據(jù)業(yè)務開展情況對黑洞路由實時作出調(diào)整?？梢姡瑢Ω逗诙绰酚傻淖钣行Х椒ㄊ菍κ褂?IP 地址和路由進行精確管理。 網(wǎng)管及認證問題 訪問管理一般而言，維護人員習慣使用 CLI 進行設備配置和日常管理，使用 Tel工具來遠程登錄設備，并且大部分設備都提供標準的 Tel 接口。雖然Tel 在連接建立初期需要進行帳號和密碼的核查，但是在此過程以及后續(xù)會話中，都是明文方式傳送所有數(shù)據(jù)，容易造竊聽而泄密，可以說 Tel 并不是一個安全的協(xié)議。要求采用 SSH 協(xié)議來取代 Tel 進行設備的遠程登錄，SSH 與 Tel 一樣，提供遠程連接登錄的手段。因為 SSH 傳送的數(shù)據(jù)（包括帳號和密碼）是被加密12 / 25的，且密鑰會自動更新，可以極大提高了連接的安全性。SSH 可以非常有效地防止竊聽、防止使用地址欺騙手段實施的連接嘗試。規(guī)范提供遠程登陸 SSH 的開啟方式和 SSH 相關(guān)屬性的設置，如：超時間隔、嘗試登錄次數(shù)、控制連接的并發(fā)數(shù)目、如何采用訪問列表嚴格控制訪問的地址，對采用 AAA 的設置見帳號認證和授權(quán)部分。對訪問管理除了 tel 外，還包括對 SSH 協(xié)議、ftp、snmp 等協(xié)議的訪問管理，相關(guān)具體配置見規(guī)范中的相關(guān)內(nèi)容。對具體訪問管理的屬性見下文。 限制登錄空閑時間由于意外掉線或維護不良習慣，部分登錄連接長時間懸掛在設備上，造成安全隱患。如果懸空的登錄連接過多，會導致后續(xù)的登陸無法實施，影響對系統(tǒng)管理。要求設定登錄連接空閑時間限制，讓系統(tǒng)自動檢查當前連接是否長時間處于空閑狀態(tài)，若是則自動將其拆除。Timeout 具體取值應視實際需要而定，建議設置為 3 分鐘左右。如果出于排障目的，需要長時間登錄設備檢查系統(tǒng)狀態(tài)，則需臨時延長或取消這項設置。 限制嘗試次數(shù)為了防止窮舉式密碼試探，要求設置登錄嘗試次數(shù)限制。當系統(tǒng)收到一個連接請求，若提供的帳號或密碼連續(xù)不能通過驗證的的次數(shù)超過設定值，就自動中斷該連接。 限制并發(fā)數(shù)為了防止窮舉式密碼試探，要求設置并發(fā)登錄個數(shù)限制。該限制必須與上述的空閑時間限制一并使用，否則當收到此類攻擊時，將導致無法遠程登錄設備。13 / 25 訪問地址限制采用了 SSH 協(xié)議后，并不一定就能保證其安全性，要求通過訪問地址限制提高訪問的安全性。訪問地址限制是通過 ACL 訪問控制列表實現(xiàn)的。注意，由于國外出口限制或設備本身的問題，不是所有的設備都支持 SSH的遠程訪問方式，并且軟件版本的不同，對 SSH 的支持也不同。如思科部分軟件版本不支持 SSH 協(xié)議。對不支持 SSH 協(xié)議的設備遠程訪問管理，只能通過 tel 進行維護管理工作，必須通過必要手段提高 tel 安全性，具體如下：? 更改 tel 服務的端口，不采用標準端口，而采用非標準端口；? 加強登錄用戶密碼的管理，如采用 AAA 認證等；? 對登錄設備的 IP 地址進行嚴格限制；? 設置登錄并發(fā)數(shù)、空閑事件、嘗試次數(shù)等相關(guān)限制措施。 帳號和密碼管理要求應在日常維護過程中周期性地（至少按季度）更改登錄密碼，甚至登錄帳號。當外方人員需要登錄設備時，應創(chuàng)建臨時帳號，并指定合適的權(quán)限，臨時帳號使用完后應及時刪除。登錄帳號及密碼的保管和更新應由專人負責，并注意保密。帳號名字應該與使用者存在對應關(guān)系，如能反應使用者的級別、從屬關(guān)系。為了提高安全性，在方便記憶的前提下，帳號名字應盡量混用字符的大小寫、數(shù)字和符號，提高猜度的難度。同樣的，密碼必須至少使用四種可用字符類型中的三種：小寫字母、大寫字母、數(shù)字和符號，而且密碼不得包含用戶名或用戶全名的一部分。一般情況下密碼至少包含 8 個字符。我們建議用密碼生成器軟件（如 ）來制造隨機密碼。要考慮有些設備密碼以明文形式存放問題，建議必須啟用相關(guān)特性，保證密碼以加密方式存放在配置文件中。對無法以密文存放的，要加強配置文件的管理。14 / 25各設備規(guī)范數(shù)提供設備帳號和密碼設備的相關(guān)命令。 帳號認證和授權(quán)帳號的認證和授權(quán)分為設備本身的認證和授權(quán)和 AAA 服務器的認證和授權(quán)兩個部分。 本機認證和授權(quán)初始模式下，設備內(nèi)一般建有沒有密碼的管理員帳號，該帳號只能用于Console 連接，不能用于遠程登錄。建議用戶應在初始化配置時為它們加添密碼。一般而言，設備允許用戶自行創(chuàng)建本機登錄帳號，并為其設定密碼和權(quán)限。但不是所有設備都支持分級權(quán)限管理，這在配置過程中要予以重視，提供分級管理的建議對帳號嚴格實施分級分權(quán)。同時，為了 AAA 服務器出現(xiàn)問題時，對設備的維護工作仍可正常進行，建議保留必要的維護用戶，但必須設置健壯的密碼。 AAA 認證大多數(shù)設備都支持 RADIUS 或 TACACS＋的 AAA（認證、授權(quán)、計費）客戶端功能，通過 AAA 認證可以方便實現(xiàn)對大量設備的登錄帳號和密碼的管理。建議采用集中認證和授權(quán)模式，通過 AAA 服務器還可以彌補設備本省對執(zhí)行權(quán)限管理的不足。在 AAA 認證設置上，最好選用支持對用戶操作內(nèi)容日志功能的 AAA 服務器軟件，這樣可以加強對用戶行為的控制。 snmp 協(xié)議Snmp 協(xié)議