【文章內(nèi)容簡介】 備的轉(zhuǎn)發(fā)效能和路由處理。對于不同設(shè)備，建議在實施 ACL 時，要 獲取相關(guān)設(shè)備提供商的建議。需要 強(qiáng)調(diào)的是， 對網(wǎng)絡(luò)病毒和攻擊 的防范，并不能 單靠路由器或交換機(jī)來完成， 應(yīng)盡量保證受管理主機(jī)及時得到系統(tǒng)加固，從源頭上減少網(wǎng)絡(luò)病毒和攻擊發(fā)生的可能性。匯聚網(wǎng)絡(luò)或核心網(wǎng)絡(luò)中，每一條鏈路上都承載大量各種各樣的流量。在此對流量進(jìn)行區(qū)分和過濾具有較大難度，也容易引發(fā)意外。而且也加大了匯聚設(shè)備或核心設(shè)備的處理壓力。建議 ACL 的設(shè)置應(yīng)盡量往網(wǎng)絡(luò)邊緣靠，如在接入層設(shè)備和全網(wǎng)出口處。這樣能起到更好的防范效果，也包 證 了網(wǎng)絡(luò)的整體轉(zhuǎn)發(fā)效能不受影響。11 / 32 要求配置部分根據(jù)已有經(jīng)驗，要求添加的 ACL 包括以下幾部分：? 對 ICMP 數(shù)據(jù)包的過濾目前網(wǎng)絡(luò)上泛濫著大量的使用 ICMP 數(shù)據(jù)包的 DoS 攻擊，如 W32/Welchia Worm。我們建議創(chuàng)建 ACL 來屏蔽所有的 ICMP 數(shù)據(jù)流。基于網(wǎng)管需要和特殊要求，我們 可以再加添高優(yōu)先 級的 ACL 來允許特殊類型或具體源/目地址的 ICMP包通過。? 對已知攻擊模式的病毒攻擊的防護(hù)? 根據(jù) IANA 組織制定的說明，屏蔽不 應(yīng)在 Inter 上出現(xiàn)的 IP 地址這些地址包括：回環(huán)地址()；RFC1918 私有地址；DHCP 自定義地址()；科學(xué)文檔作者 測試用地址()；不用的組播地址()；SUN 公司的古老的測試地址(。)；全網(wǎng)絡(luò)地址() 。? 根據(jù) IANA 組織制定的說明, 屏蔽不應(yīng)在 Inter 上出現(xiàn)的服務(wù)端口。? 根據(jù) IANA 組織制定的說明，屏蔽不需要的 組播地址。在用或需要用的某些協(xié)議是通過組播方式運(yùn)作（如 OSPF），必 須創(chuàng)建高優(yōu)先級的 ACL 來允許指向具體組播地址的數(shù)據(jù)流通過。實現(xiàn)源地址檢查功能的ACL。2 路由協(xié)議的安全性路由協(xié)議是數(shù)據(jù)網(wǎng)絡(luò)最常用的技術(shù),大部分的路由協(xié)議都會周期發(fā)送組播或廣播 PDU 來 維持協(xié)議運(yùn)作。 組播和廣播模式自身就存在嚴(yán)重安全隱患，而且路12 / 32由協(xié)議的 PDU 攜帶有敏感的路由信息。一旦路由 協(xié)議 PDU 被竊聽或冒充后，不對的或被惡意篡改的路由信息將直接導(dǎo)致網(wǎng)絡(luò)故障，甚至網(wǎng)絡(luò)癱瘓。路由協(xié)議運(yùn)作過程中的安全防護(hù)是保證全網(wǎng)安全的重要一環(huán)。路由協(xié)議的安全性主要考慮路由認(rèn)證、源地址路由檢查和黑洞路由管理三個方面進(jìn)行闡述。 路由協(xié)議認(rèn)證大多數(shù)網(wǎng)絡(luò)設(shè)備的路由協(xié)議如 OSPF、ISIS 和 BGP 都具有 MD5 認(rèn)證功能。默認(rèn)情況下該功能不會啟用該功能，根據(jù)路由協(xié)議的需要，要求啟用該項功能。一般情況下，路由設(shè)備加入某個 IGP 或 EGP 協(xié)議域以后，會與鄰接設(shè)備完整地交換路由信息。如果這是一個完全可信的網(wǎng)絡(luò)是沒有問題的，但是對于一個暴露在 Inter 上或有大量終端用戶的網(wǎng)絡(luò)來說，就存在安全隱患。過多的和過于細(xì)致的路由信息可能被部分不懷好意的組織或個人收集，作為攻擊網(wǎng)絡(luò)的原始資料。建 議在與不可信網(wǎng)絡(luò) 建立路由關(guān)系時，或 鄰居關(guān)系承載在不可信鏈路上時，添加路由策略來限制只與可信設(shè)備間建立路由鄰接關(guān)系，并使得只發(fā)送盡可能簡潔和必要的路由信息和只接受必要的外部路由更新，實現(xiàn)將路由協(xié)議的交互工作置于受控狀態(tài)的目的。通過路由協(xié)議的認(rèn)證，并結(jié)合設(shè)備提供的強(qiáng)大路由策略配置和 ACL 的過濾功能，能實現(xiàn)對路由更新的 發(fā)送和接受起到精確控制。這樣可以凈化鏈路流量，也有助于提高網(wǎng)絡(luò)安全性。注意隨意將該 IP 端口加入路由域的作法不值得提倡，建議在不需要接收和轉(zhuǎn)發(fā)路由信息的端口的情況下，應(yīng)該將該端口設(shè)為 Passive 模式來滿足需要。13 / 32在路由協(xié)議認(rèn)證方面，規(guī)范對 OSPF、ISIS 和 BGP 協(xié)議路由認(rèn)證分別作詳細(xì)介紹，考 慮到 RIP 協(xié)議考 慮其實際應(yīng)用較少，只作補(bǔ)充介紹。 源地址路由檢查為了防止利用 IP Spoofing 手段假冒源地址進(jìn)行的 DoS 攻擊對整個網(wǎng)絡(luò)造成的沖擊，建議在所有的邊緣 路由設(shè)備（即直接與終端用戶網(wǎng)絡(luò)互連的路由設(shè)備）上，根據(jù)用戶網(wǎng)段規(guī)劃添加源地址路由檢查。考慮到設(shè)備對源地址路由檢查實現(xiàn)方法不同，如大多數(shù)設(shè)備可以通過強(qiáng)大的 ACL 功能來實現(xiàn)，思科部分高端設(shè)備和 Juniper 等設(shè)備還提供URPF（UnicastReversePathForwarding 單播反向路徑 轉(zhuǎn)發(fā)）功能來實現(xiàn)， Extremme提供了 IPARP Checking 功能實現(xiàn)對源地址路由的檢查。注意源路由檢查功能只適用于網(wǎng)絡(luò)接入層設(shè)備。匯聚層和核心層設(shè)備不建議使用，這 主要原因是匯聚層 和核心層設(shè)備承載的路由記錄多而且復(fù)雜，不容易區(qū)分某一個方向的合法源地址。匯聚層和核心層設(shè)備承載的流量也比較大，增加大規(guī)模的源地址檢查會增加系統(tǒng)負(fù)擔(dān)，而且如果這一檢查已經(jīng)在所有接入層設(shè)備上萬成，就更顯得毫無必要。還有一個主要原因是，匯聚層和核心層設(shè)備出現(xiàn)不均衡路由的機(jī)會較高（即輸出流量與返回流量分別承載在不同鏈路上，這是正?，F(xiàn)象）。如果啟用源路由檢查 后，容易造成正常返回流量的無端被棄。對源地址路由檢查可以在很大程度上提高網(wǎng)絡(luò)的安全性，是許多防范 DoS攻擊十分有效的手段，特別 是對偽造 IP 地址的攻擊。14 / 32 黑洞路由黑洞路由是：當(dāng)上級設(shè)備與下級設(shè)備互連時，若下級設(shè)備使用缺省路由引導(dǎo)流出流量，而上級設(shè)備使用靜態(tài)路由或只接收下級設(shè)備宣告的匯聚路由來引導(dǎo)返回流量，常常會在互連鏈 路上形成路由環(huán)路。 這是由于下級設(shè)備有部分明細(xì)路由實際上沒有使用而沒有路由記錄，而此情況不被上級設(shè)備所知道。當(dāng)有流量指向這部分地址時，下級設(shè)備 會根據(jù)最長匹配原則使用缺省路由記錄發(fā)往上級設(shè)備，而上 級設(shè)備又根據(jù)靜態(tài) 或匯聚路由記錄發(fā)還給下級設(shè)備，由此反復(fù)直至該流量的 TTL 遞減 歸 0 為止，這樣形成了路由黑洞。尤其在網(wǎng) 絡(luò)受到掃描攻擊或惡意破壞時，大量的流量在此 鏈路上循環(huán)將嚴(yán)重擠占帶寬和設(shè)備資源，影響網(wǎng)絡(luò)服務(wù)質(zhì)量甚至導(dǎo)致網(wǎng)絡(luò)癱瘓。要求根據(jù) IP 規(guī)劃和實際配置情況，在有此類故障隱患的下級設(shè)備上加添靜態(tài)路由，把可能存在的黑洞路由信息丟棄，以此屏蔽暫時不用的網(wǎng)段，并根據(jù) 業(yè)務(wù)開展情況對黑洞路由實時作出調(diào)整?？梢?， 對付黑洞路由的最有效方法是對使用 IP 地址和路由進(jìn)行精確管理。3 網(wǎng)管及認(rèn)證問題 訪問管理一般而言，維護(hù)人員習(xí)慣使用 CLI 進(jìn)行設(shè)備配置和日常管理，使用 Tel 工具來遠(yuǎn)程登錄設(shè)備，并且大部分設(shè)備都提供標(biāo)準(zhǔn)的 Tel 接口。 雖然 Tel 在連接建立初期需要進(jìn)行帳號和密碼的核查，但是在此過程以及后續(xù)會話中，都是明文方式傳送所有數(shù)據(jù)，容易造竊聽而泄密，可以說 Tel 并不是一個安全的協(xié)議。15 / 32要求采用 SSH 協(xié)議來取代 Tel 進(jìn)行設(shè)備的遠(yuǎn)程登錄，SSH 與 Tel 一樣，提供遠(yuǎn)程連接登錄的手段。因為 SSH 傳送的數(shù)據(jù)（包括帳號和密碼）是被加密的，且密鑰會自動更新，可以極大提高了連接的安全性。SSH 可以非常有效地防止竊聽、防止使用地址欺騙手段 實施的連接嘗試。規(guī)范提供遠(yuǎn)程登陸 SSH 的開啟方式和 SSH 相關(guān)屬性的設(shè)置，如：超時間隔、嘗試登錄次數(shù)、控制連接的并發(fā)數(shù)目、如何采用 訪問 列表嚴(yán)格控制訪問的地址，對采用 AAA 的設(shè)置見帳號認(rèn)證和授權(quán)部分。對訪問管理除了 tel 外，還包括對 SSH 協(xié)議、 ftp、snmp 等協(xié)議的訪問管理，相關(guān)具體配置見規(guī)范中的相關(guān)內(nèi)容。對具體訪問管理的屬性見下文。 限制登錄空閑時間由于意外掉線或維護(hù)不良習(xí)慣，部分登錄連接長時間懸掛在設(shè)備上，造成安全隱患。如果懸空的登錄連 接過多，會 導(dǎo)致后續(xù)的登 陸無法實施，影響 對系統(tǒng)管理。要求設(shè)定登錄連接空閑時間限制，讓系統(tǒng)自動檢查當(dāng)前連接是否長時間處于空閑狀態(tài)，若是則自動將其拆除。Timeout 具體取值應(yīng)視實際需要而定，建議設(shè)置為 3 分鐘左右。如果出于排障目的，需要長時間登 錄設(shè)備檢查系統(tǒng)狀態(tài)， 則需臨時延長或取消這項設(shè)置。 限制嘗試次數(shù)為了防止窮舉式密碼試探，要求設(shè)置登錄嘗試次數(shù)限制。當(dāng)系統(tǒng)收到一個連16 / 32接請求，若提供的帳號或密碼連續(xù)不能通過驗證的的次數(shù)超過設(shè)定值，就自動中斷該連接。 限制并發(fā)數(shù)為了防止窮舉式密碼試探，要求設(shè)置并發(fā)登錄個數(shù)限制。該限制必須與上述的空閑時間限制一并使用，否則當(dāng)收到此類攻擊時，將導(dǎo)致無法遠(yuǎn)程登錄設(shè)備。 訪問地址限制采用了 SSH 協(xié)議后，并不一定就能保證其安全性，要求通過訪問地址限制提高訪問的安全性。訪問地址限制是通過 ACL 訪問控制列表實現(xiàn)的。注意，由于國外出口限制或設(shè)備本身的問題，不是所有的設(shè)備都支持 SSH 的遠(yuǎn)程訪問方式，并且軟件版本的不同，對 SSH 的支持也不同。如思科和 juniper部分軟件版本不支持 SSH 協(xié)議。對不支持 SSH 協(xié)議的設(shè)備遠(yuǎn)程訪問管理，只能通過 tel 進(jìn)行維護(hù)管理工作，必須通過必要手段提高 tel 安全性，具體如下：? 更改 tel 服務(wù)的端口，不采用標(biāo)準(zhǔn)端口，而采用非標(biāo)準(zhǔn)端口；? 加強(qiáng)登錄用戶密碼的管理，如采用 AAA 認(rèn)證等；? 對登錄設(shè)備的 IP 地址進(jìn)行嚴(yán)格限制；? 設(shè)置登錄并發(fā)數(shù)、空閑事件、 嘗試次數(shù)等相關(guān)限制措施。 帳號和密碼管理要求應(yīng)在日常維護(hù)過程中周期性地（至少按季度）更改登錄密碼，甚至登錄帳17 / 32號。當(dāng)外方人員需要登錄設(shè)備時， 應(yīng)創(chuàng)建臨時帳號，并指定合適的權(quán)限，臨時帳號使用完后應(yīng)及時刪除。登錄帳號及密碼的保管和更新應(yīng)由專人負(fù)責(zé)，并注意保密。帳號名字應(yīng)該與使用者存在對應(yīng)關(guān)系，如能反 應(yīng)使用者的級別、從屬關(guān)系。為了提高安全性，在方便記憶的前提下，