【正文】 ...........20 ICMP 協(xié)議的安全配置 .....................................................................................24 其他特定的安全配置 ......................................................................................255 / 25第一章 網絡設備的安全機制本部分內容對網絡設備自身的安全機制進行簡單描述，對每種安全機制可以解決什么問題進行闡述。考慮到設備適用的網絡層次不同，各安全機制實施的網絡層面也不盡相同，在這對各安全機制的使用網絡層次進行分析。通過訪問控制能力，能夠實現(xiàn)對遠程訪問控制、snmp 的認證、路由協(xié)議認證、IP 地址限制、流量控制等等。同時，對設備的設計結構進行說明，并討論訪問控制的實施是否會對設備性能造成影響。在對設備屬性不是很熟悉的情況下，實施 ACL 最好獲取廠商的技術支持，已確保實施滿足最終效果。6 / 25 日志問題本部分對網絡設備的日志體系進行介紹，如日志的組成、日志的存儲等問題。 自身的防攻擊能力本部分對網絡設備自身所特有的防攻擊能力。如思科和華為的 CAR 功能等。7 / 25第二章 網絡設備安全配置建議網絡設備安全配置建議是本規(guī)范的主要部分，該部分將對安全配置的細節(jié)進行描述，并對安全配置適用的網絡層次、對設備性能的影響和配置實施的注意點進行詳細說明。 訪問控制列表及其管理訪問控制列表是路由器本身具有安全機制中最有特點的一個功能，許多安全配置都基于訪問控制列表功能進行的。同時考慮訪問控制列表對部分設備性能有一定影響，訪問控制列表的實施必須慎重，最好獲取廠家的建議后實施。建議用 ACL 去限制可以遠程登錄設備的源地址。同時只允許在設備間使用這些地址來互相遠程登錄；8 / 25? 除此之外所有以設備端口 IP 地址為目的地址數(shù)據(jù)包都被拒收。如 CISCO 稱之為 Access List。對于不同設備，建議在實施 ACL 時，要獲取相關設備提供商的建議。匯聚網絡或核心網絡中，每一條鏈路上都承載大量各種各樣的流量。而且也加大了匯聚設備或核心設備的處理壓力。這樣能起到更好的防范效果，也包證了網絡的整體轉發(fā)效能不受影響。我們建議創(chuàng)建 ACL 來屏蔽所有的 ICMP 數(shù)據(jù)流。? 對已知攻擊模式的病毒攻擊的防護? 根據(jù) IANA 組織制定的說明，屏蔽不應在 Inter 上出現(xiàn)的 IP 地址這些地址包括：回環(huán)地址()；RFC1918 私有地址；DHCP 自定義9 / 25地址()；科學文檔作者測試用地址()；不用的組播地址()；SUN 公司的古老的測試地址(。? 根據(jù) IANA 組織制定的說明, 屏蔽不應在 Inter 上出現(xiàn)的服務端口。在用或需要用的某些協(xié)議是通過組播方式運作（如 OSPF），必須創(chuàng)建高優(yōu)先級的 ACL 來允許指向具體組播地址的數(shù)據(jù)流通過。 路由協(xié)議的安全性路由協(xié)議是數(shù)據(jù)網絡最常用的技術,大部分的路由協(xié)議都會周期發(fā)送組播或廣播 PDU 來維持協(xié)議運作。一旦路由協(xié)議 PDU 被竊聽或冒充后，不對的或被惡意篡改的路由信息將直接導致網絡故障，甚至網絡癱瘓。路由協(xié)議的安全性主要考慮路由認證、源地址路由檢查和黑洞路由管理三個方面進行闡述。默認情況下該功能不會啟用該功能，根據(jù)路由協(xié)議的需要，要求啟用該項功能。如果這是一個完全可信的網絡是沒有問題的，但是對于一個暴露在 Inter 上或有大量終端用戶的網絡來說，就存在安全隱患。建議在與不可信網絡建立路由關系時，或鄰居關系承載在不可信鏈路上時，添加路由策略來限制只與可信設備間建立路由鄰接關系，并使得只10 / 25發(fā)送盡可能簡潔和必要的路由信息和只接受必要的外部路由更新，實現(xiàn)將路由協(xié)議的交互工作置于受控狀態(tài)的目的。這樣可以凈化鏈路流量，也有助于提高網絡安全性。在路由協(xié)議認證方面，規(guī)范對 OSPF、ISIS 和 BGP 協(xié)議路由認證分別作詳細介紹，考慮到 RIP 協(xié)議考慮其實際應用較少，只作補充介紹?？紤]到設備對源地址路由檢查實現(xiàn)方法不同，如大多數(shù)設備可以通過強大的 ACL 功能來實現(xiàn)，思科部分高端設備還提供URPF（UnicastReversePathForwarding 單播反向路徑轉發(fā)）功能來實現(xiàn)。匯聚層和核心層設備不建議使用，這主要原因是匯聚層和核心層設備承載的路由記錄多而且復雜，不容易區(qū)分某一個方向的合法源地址。還有一個主要原因是，匯聚層和核心層設備出現(xiàn)不均衡路由的機會較高（即輸出流量與返回流量分別承載在不同鏈路上，這是正?，F(xiàn)象）。對源地址路由檢查可以在很大程度上提高網絡的安全性，是許多防范 DoS攻擊十分有效的手段，特別是對偽造 IP 地址的攻擊。這是由于下級設備有部分明細路由實際上沒有使用而沒有路由記錄，而此情況不被上級設備所知道。尤其在網絡受到掃描攻擊或惡意破壞時，大量的流量在此鏈路上循環(huán)將嚴重擠占帶寬和設備資源，影響網絡服務質量甚至導致網絡癱瘓?？梢?，對付黑洞路由的最有效方法是對使用 IP 地址和路由進行精確管理。雖然Tel 在連接建立初期需要進行帳號和密碼的核查，但是在此過程以及后續(xù)會話中，都是明文方式傳送所有數(shù)據(jù)，容易造竊聽而泄密，可以說 Tel 并不是一個安全的協(xié)議。因為 SSH 傳送的數(shù)據(jù)（包括帳號和密碼）是被加密12 / 25的，且密鑰會自動更新，可以極大提高了連接的安全性。規(guī)范提供遠程登陸 SSH 的開啟方式和 SSH 相關屬性的設置，如：超時間隔、嘗試登錄次數(shù)、控制連接的并發(fā)數(shù)目、如何采用訪問列表嚴格控制訪問的地址，對采用 AAA 的設置見帳號認證和授權部分。對具體訪問管理的屬性見下文。如果懸空的登錄連接過多，會導致后續(xù)的登陸無法實施，影響對系統(tǒng)管理。Timeout 具體取值應視實際需要而定，建議設置為 3 分鐘左右。 限制嘗試次數(shù)為了防止窮舉式密碼試探，要求設置登錄嘗試次數(shù)限制。 限制并發(fā)數(shù)為了防止窮舉式密碼試探，要求設置并發(fā)登錄個數(shù)限制。13 / 25 訪問地址限制采用了 SSH 協(xié)議后，并不一定就能保證其安全性，要求通過訪問地址限制提高訪問的安全性。注意，由于國外出口限制或設備本身的問題，不是所有的設備都支持 SSH的遠程訪問方式，并且軟件版本的不同，對 SSH 的支持也不同。對不支持 SSH 協(xié)議的設備遠程訪問管理，只能通過 tel 進行維護管理工作，必須通過必要手段提高 tel 安全性，具體如下：? 更改 tel 服務的端口，不采用標準端口，而采用非標準端口；? 加強登錄用戶密碼的管理，如采用 AAA 認證等；? 對登錄設備的 IP 地址進行嚴格限制；? 設置登錄并發(fā)數(shù)、空閑事件、嘗試次數(shù)等相關限制措施。當外方人員需要登錄設備時，應創(chuàng)建臨時帳號，并指定合適的權限，臨時帳號使用完后應及時刪除。帳號名字應該與使用者存在對應關系，如能反應使用者的級別、從屬關系。同樣的，密碼必須至少使用四種可用字符類型中的三種：小寫字母、大寫字母、數(shù)字和符號，而且密碼不得包含用戶名或用戶全名的一部分。我們建議用密碼生成器軟件（如 ）來制造隨機密碼。對無法以密文存放的，要加強配置文件的管理。 帳號認證和授權帳號的認證和授權分為設備本身的認證和授權和 AAA 服務器的認證和授權兩個部分。建議用戶應在初始化配置時為它們加添密碼。但不是所有設備都支持分級權限管理，這在配置過程中要予以重視，提供分級管理的建議對帳號嚴格實施分級分權。 AAA 認證大多數(shù)設備都支持 RADIUS 或 TACACS＋的 AAA（認證、授權、計費）客戶端功能，通過 AAA 認證可以方便實現(xiàn)對大量設備的登錄帳號和密碼的管理。在 AAA 認證設置上，最好選用支持對用戶操作內容日志功能的