欢迎来到天天文库
浏览记录
ID:9311089
大小:344.50 KB
页数:36页
时间:2018-04-27
《互联网网络安全加固配置要求》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、中国电信CHINANET网络及省内相关互联网络安全加固配置要求(修订)中国电信集团公司网络运行维护事业部二零一零年三月目录1概述12CHINANET网络设备安全加固策略12.1C/D路由器安全加固策略12.1.1数据平面安全加固策略12.1.2控制层面安全加固策略32.1.3管理层面安全加固策略62.2E路由器安全加固策略82.2.1数据平面安全加固策略82.2.2控制层面安全加固策略92.2.3管理层面安全加固策略112.3X/F路由器安全加固策略122.3.1数据平面安全加固策略122.3.2控制层面安全加固策略
2、142.3.3管理层面安全加固策略152.4I路由器安全加固策略172.4.1数据平面安全加固策略172.4.2控制层面安全加固策略172.4.3管理层面安全加固策略182.5其它省管设备安全加固策略192.5.1S路由器安全加固策略192.6RR路由器安全加固策略232.6.1数据平面安全加固策略232.6.2控制层面安全加固策略242.6.3管理层面安全加固策略243省内互联网络安全加固策略263.1城域网安全加固策略263.1.1城域网出口路由器安全加固策略263.1.2其它设备安全加固策略293.2IDC网络
3、安全加固策略323.2.1数据层面安全加固策略323.2.2控制层面安全加固策略323.2.3管理层面安全加固策略配置要求33第i页中国电信ChinaNET骨干及省内互联设备安全加固配置要求1概述随着中国电信宽带互联网业务的不断发展,CHINANET网络承载的用户业务量越来越大,对于CHINANET网络安全、稳定运行不断提出了新的需求。在网络安全问题日渐突出的情况下,CHINANET网络必须提供一个有效的安全结构,以适应今后CHINANET网络的可持续,可监控性发展的需要。根据目前CHINANET网络的结构和业务运行
4、的实际情况,CHINANET网络的安全防护主要针对以下几个层面进行:Ø数据平面:数据层面承载了CHINANET网络的主要流量,主要对基础设施访问进行控制、对典型的病毒、垃圾流量进行控制;Ø控制平面:用于创建和维护网络状态和路由接口信息(路由、信令,链路状态),由CHINANET各类设备产生和处理;Ø管理平面:用于访问、管理和监视所有网络元素的流量。2CHINANET网络设备安全加固策略2.1C/D路由器安全加固策略随着网络结构调整,C、D路由器主要与城域网和IDC互联(目前还存在少数AS4134中尚未下放至城域网的A
5、路由器,如果未能尽快下放要参照D路由器进行加固)。2.1.1数据平面安全加固策略1、关闭IP选项IP数据平面中的IP选项功能一般在特定情况中需要应用,但对于多数常见的IP通信则不是必须的。由于IP选项导致IP数据包的可变长度和复杂处理的需要,具有IP选项的数据包会通过数据平面转发的慢速路径进行处理,在ChinaNET骨干网中,不需要也没有必要对IP选项进行处理,因此,应该禁用IP选项技术。注:如ChinaNET骨干网以后需要部署MPLS/TE、IPMulticast等网络特征,则需重新开启IP选项功能。2、关闭IP直
6、接广播IP直接广播是其目的地址是一个IP子网(或网络)的一个有效广播地址的数据包,该子网(或网络)是来自源地址的一个或多个路由器。IP直接广播运行IP广播进行远程传输,这就为DoS攻击提供了一定的条件,在CHINANET网络中,应该禁止IP直接广播。第34页中国电信ChinaNET骨干及省内互联设备安全加固配置要求3、部署远程触发黑洞过滤通过结合BGP路由协议,使用黑洞路由技术可以对攻击触发整个网络范围内的响应。利用BGP的路由部署特性,可以对网络的攻击在整个CHINANET网络范围得到防护。远程触发黑洞过滤技术(R
7、emoteBlackhole,RTBH)的缺点是丢失了所有到达目标的流量-包括攻击流量和合法流量。为保护受攻击的对象(通常是IDC中的部分主机服务器或者是政企客户),集团在在上海部署了的Blackholetrigger路由器,用来发布blackhole的路由,并设定其发布community为4134:666,在RR上修改该路由的next-hop为172.20.20.1,另外设定静态路由iproutestatic172.20.20.1255.255.255.255null0。从而在CHINANET范围内任何路由器上,凡
8、是有流量到达这些被防护的主机地址,均被丢弃,从而实现了对业务主机的保护。4、典型垃圾流量过滤在C/D路由器的外部接口上,如连接城域网、IDC互联网接口,对进入CHINANET区域的数据流量进行过滤,通过使用接口ACL技术,可以有效的阻止一些有害的流量进入CHINANET。需要在外部接口上阻止的流量主要有以下几类:Ø常见及危害程度较大的病毒、木马
此文档下载收益归作者所有