华为核心路由器多种安全特性

1、华为核心路由 器的安全方案网络的安全保障特点网络安全大体上分为两个层次：网络自身安全和网络业务安全。网络自身的 安全主要是指网络数据的安全传送、 网络资源的合法使用；后者主要是指网络业 务的合法授权、使用和监管。针对现有网络和业务的现状，一个完整的网络安全 方案应该由网络层安全策略和应用层安全策略来构成，网络层安全策略主要完成对非法使用网络资源的控制，而应用层安全策略主要是针对通过合法的渠道来非 法使用业务资源的控制，只有两者的完美结合，才能构成一个安全的系统！设备级的安全措施1、配置安全。华为数据产品对登录用户支持本地或远程两种认证方式，并为不同级别的 用户提供不同的配置权限。支持用户使用S

2、SH录路由器并进行配置，避免了远 程配置的报文被第三方监控的可能。2、数据日志及热补丁技术。设备的文件系统是一个类 DOS勺系统，可以记录系统及用户日志。系统日志 指系统运行过程中记录的相关信息， 用以对运行情况、故障进行分析和定位，支 持基于线程极的系统日志。日志文件可以通过 XModem FTR TFTPft、议，远程传 送到网管中心。除此之外，考虑到有些IP特性对局域网来说是有用的，但对广域网或城域 网节点的设备是不适用的。如果这些特性被恶意攻击者利用，会增加网络的危险。 在网络设计时可考虑关闭以下这些IP功能的开关：(1)、重定向开关网络设备向同一个子网的主机发送ICMP重定向报文，请

3、求主机改变路由。 一般情况下，设备仅向主机而不向其它设备发送 ICMP重定向报文。但一些恶意 的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文，以期改变主机的路由表，干扰主机正常的IP报文转发。(2)、定向广播报文转发开关在接口上进行配置，禁止目的地址为子网广播地址的报文从该接口转发，以防止smurf攻击。因此，设备应能关闭定向广播报文的转发。缺省应为关闭状。(3)、ICMP议的功能开关很多常见的网络攻击利用了 ICMP协议功能。ICMP协议允许网络设备中间节点向其它设备节点和主机发送差错或控制报 文；主机也可用ICMP协议与网络设备或另一台主机通信。对ICMP的防护比较复杂，因为I

4、CMP中一些消息已经作废，而有一些消息在 基本传送中不使用，而另外一些则是常用的消息。因此 ICMP协议处理中应根据 这三种差别对不同的ICMP消息处理。以减少ICMP对网络安全的影响。3、核心路由器的多种安全特性核心路由器提供多种安全措施，包括一系列的安全特性，可以防止拒绝服务 攻击、非法接入以及控制平面的过载。主要安全特性包括：三种用户鉴权模式：本地验证、 RADIUS!务器当证和HWTACACS务器 验证，可对用户身份进行验证，并进行合理授权。基于硬件的包过滤和采样，从而实现高性能和高扩展性。对OSPF IS-IS、RIP和BGP-4等上层路由协议，提供明文验证和 MD5 (Messag

5、e Digest 5 )等多种验证方法。实现转发和控制平面的访问控制列表 ACL (Access Control List )。支持本机防攻击安全特性。支持合法监听/URPE支持 DHCP Snooping/MAC艮制。支持GTSMARFW攻击在现今的运营商网络中，Ethernet是最常用的接入手段，而ARP作为Ethernet网络上的开放协议，为恶意用户的攻击提供了可能。恶意用户的攻击 主要从空间与时间两方面进行。空间方面的攻击主要利用路由器 ARPS存的有限 性，通过发送大量伪造的ARP青求、应答报文，造成路由器设备的ARPS存溢出， 从而无法缓存正常的ARP表项，进而阻碍正常转发。时间方

6、面的攻击主要利用路 由器计算能力的有限性，通过发送大量伪造的ARP青求、应答报文或其他能够触 发路由器ARP处理的报文，造成路由器设备的计算资源长期忙于 ARpt理，影响 其他业务的处理，进而阻碍正常转发。使用基于接口的ARPft项限制和基于时间 戳的防扫描两种特性来防止ARP攻击。4、防地址盗用通过IP地址、MA04址和VlanlD的相关性绑定进一步提高网络的安全性.当业务接入节点收到一个IP报文时，其以太网封装帧头中的 VLAN ID必须 是绑定记录中的VLANID,其以太网封装帧头中的源 MAO址也必须是绑定记录 中的MAC同时此报文的源IP地址也必须是绑定记录中的IP地址。如果不符合

7、这个约束，该报文被视为无效并被丢弃。业务接入节点通过绑定的方法，维护了 IP地址、MA04址和VLANB识的相 关性，除了可以有效的防止IP地址仿冒和MA04址仿冒，还能有效的控制同一 VLANT接入用户的数目。5、接入认证提升接入安全性华为以太网交换机均支持802.1X认证，从标准的802.1x认证看，只能控制 接入端口的打开和关闭，如某个端口下挂了一个 HUB则只要HUB上有一个用户 认证通过，该端口就处于打开状态，此 HUBF的其他用户也都可以上网。为了解决这个问题，扩展基于MAO址的认证，某个用户认证通过后，接入 设备就将此用户的MA04址记录下来，接入设备只允许所记录 MACM址发送

8、的报 文通过，其它MAO址的报文一律拒绝。认证的终结点可以选择集中式和分布式两种方式。对于集中式认证，主要针对需要认证的用户数量不多，方便管理，这时只需 要把核心交换机配置成为802.1X认证终结端，这时所有的用户认证信息到核心 交换机上终结，这种方式的认证优点是：在用户量较少的情况下方便统一管理。缺点：在用户数量较多的情况下，对核心设备的性能有一定影响。对于分布式认证，主要针对需要认证的用户数量较多，把认证的终结点设置 在用户接入的交换机或者用户接入的上一层交换机。这时用户的 802.1X认证终 结点分散到了接入层。这种认证方式的优点是：在用户量较大的情况下，分散了 用户的认证终结点，对设备

9、性能影响小。缺点：需要对每台认证设备进行一定的配置6、完备的流量监控、会话控制流量监控主要是指、防火墙通过对系统数据流量和连接状况进行监视，在发 现异常情况时采取适当的处理措施， 有效地防止网络受到外界的攻击。支持多种 流量监控，主要包括：基本会话监控、承诺访问速率、实时流量统计等。基本会话监控根据不同类型流量在一定时间内所占的百分比进行监测和告警处理，通过监控IP地址或接口的总连接数，对超过阈值的连接进行限制。限制主要包括：基于特定目的/源IP地址的连接速率限制基于特定目的/源IP地址的连接数限制基于域出/入方向的连接速率限制基于域出/入方向对ACL中地址的连接速率限制基于域出/入方向对AC

10、L中地址的连接数限制对IP报文按不同类型所占百分比进行管理承诺访问速率承诺访问速率技术包括分类服务、速率限制，将进入网络的报文按多种形式 进行分类，对不同类别的流量给予不同的处理， 通过采用限制承诺信息速率、 承 诺突发尺寸、超出突发尺寸等措施有效进行流量监管。实时统计分析监测内部、外部网络的连接状况，对输入和输出的IP报文进行数十种实时统计，主要统计如下：全局总会话和总流量的相关信息应用层协议相关信息丢弃包的相关信息对TCP报文的RST FIN报文详尽的分类统计网络层的网络安全设计随着Internet的迅速发展，越来越多的行业用户或大型企业开始借助网络 服务来加速自身的发展，那么如何在一个开

11、放的网络环境中 “守护”自己的内部 网络就成为人们关注的话题。本次建设的教育专网作为教育厅与各地州教育局互 连互通的专用网络，具安全性以及与CMNETCERNE的安全隔离都是必须要考虑 的因素。本次工程中通过在教育厅部署华为公司的Eudemon30阡兆防火墙，一方面实现了不同网络之间的安全隔离，同时解决了教育专网的地址分配。EudemorKf火墙定位于行业用户或大中型企业，通过采用NP技术提供线速的高性能安全防范和报文处理能力，在提供高性能的同时，还可以支持数万条 ACL(Access Control List )规则。在整机最大吞吐量方面，Eudemon300可以达至U IGbps, Eud

12、emon50句以达至U 2Gbps, Eudemon100的以达至U 3Gbps出口安全防护：地址转换(NAT):地址转换主要是因为Internet地址短缺问题而提出的，利用地址转换可以 使内部网络的用户访问外部网络(Internet ),利用地址转换可以给内部网络提 供一种“隐私”保护，同时也可以按照用户的需要提供给外部网络一定的服务， 如：WWWFTR TELNET SMTP POP封。地址转换技术实现的功能是上述的两个方面，一般称为“正向的地址转换” 和“反向的地址转换”。在正向的地址转换中，具有只转换地址(NAT和同时转 换地址和端口( PAT两种形式。所谓IP地址就是给每一个连接在I

13、nternet上的主机分配一个唯一的32bit 地址，IP 地址是由 Internet Assigned Numbers Authority (IANA)组织统一 分配的，保证在Internet上没有重复的IP地址。IP地址是一个32Bit的地址，由网络号码和主机号码两部分组成。为了便于对IP地址进行管理，同时还考虑到网络的差异很大，有的网络拥有很多的主 机，而有的网络上的主机则很少。 因此Internet 的IP地址就分成为五类，即A 类到E类，其中能被使用的是A、B C三类。B类地址10net-idhost-idA类地址 0 net-idhost-idC类1 110组播地址地：11110保

14、留地址E类地162431：110net-idhost-id地IP地址示意图A类IP地址的网络号码数不多，目前几乎没有多余的可供分配，现在能够 中请到的IP地址只有B类和C类两种。当某个单位申请到IP地址时，实际上只 是拿到了一个网络号码 net-id 。具体的各个主机号码 host-id 则由该单位自行 分配，只要做到在该单位管辖的范围内无重复的主机号码即可。由于当初没有预计到微机会普及得如此之快，各种局域网和局域网上的主机 数目急剧增长，另外由于申请IP地址的时候是申请的“网络号码”这样在使用 时，有时候也有很大的浪费。例如：某个单位中请到了一个B类地址，但该单位只有1万台主机。于是，在一个

15、B类地址中的其余5万5千多个主机号码就白白 地浪费了，因为其他单位的主机无法使用这些号码。地址转换（Network Address Translation ）技术，就是解决地址短缺问题 的一个主要的技术手段。地址分为公有地址和私有地址两种。Internet 是连接了许多的局域网的一个网络，可以连接各种不同类型的局域网。局域网的类型可以很多，我们在本文讨论的局域网都是使用TCP/IP协议连接的局域网。如果局域网采用 TCP/IP协议连接，局域网的每台机器都必须拥 有一个IP地址，为了使得局域网的IP地址可以被局域网自己规划，IANA组织 在A、R C类IP地址中各选出一个网段做为“私有地址”，供

16、各个局域网按照自 己的需要自由分配。私有地址是指内部网络（局域网内部）的主机地址，而公有地址是局域网的 外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址：- 55- 55- 55也就是说这三个网络的地址不会在因特网上被分配， 但可以在一个企业（局 域网）内部使用。各个企业根据在可预见的将来主机数量的多少， 来选择一个合 适的网络地址。不同的企业，他们的内部网络地址可以相同。 如果一个公司选择 其他的网段作为内部网络地址，则有可能会引起路由表的混乱。很明显，私有地址是不会在Internet 上看见的，在Internet 上可见的IP 地址称为公

17、有地址。使用私有地址转换的主机是不能直接访问Internet的，同样的道理，在Internet上也不可能访问到使用私有地址的主机。内部服务器是一种“反向”的地址转换。内部服务器功能可以使得配置了私 有地址的内部主机可以被外部网络访问。参考图2, Webserver是一台配置了私有地址的机器，通过地址转换提供的配置，可以为这台主机映射一个合法的IP地址（假设是0 ）,当Internet 上的用户访问0 的时 候，地址转换就将访问送到了 SERVE比，这样就可以给内部网络提供一种“内 部服务器”的应用。防火墙对内部服务器的支持可以到达端口级。允许用户按照自己的需要配置内部服务器的端口、协议、提供给

18、外部的端口、协议。防火墙的地址转换功能， 可以利用访问控制列表决定什么样的地址可以进行地址转换。如果某些主机具有访问Internet的权利，而某些主机不能访问Internet 。可以利用ACL （访问控 制列表）定义什么样的主机不能访问Internet ，什么样的主机可以访问Internet 。然后将配置好的 ACL规则应用在地址转换上，就可以达到利用ACL控制地址转换的功能。设备的可靠性措施节点安全措施：在xW核心节点设备的主控板、交换网板、时钟板、电源 等部件都具有冗余配置能力，线路板支持在线热插拔而不会丢失数据，能够保 证设备的不间断运行。在汇聚层设备方面，为了保障网络安全，降低网络故障

19、，所有关键部件应采用冗余备份设计，如：电源模块N+ 1备份，控制和交换板采用1 + 1冗余备份。 对网络设备采用多级安全密码体系，限制非法设备和用户登录， 在出现软硬件 故障时，可以迅速切换到备用模块，保障业务的不间断运行。网络设备安全配置.帐号安全配置:要求内容应按照用户分配账号。 避免不同用尸间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作aaalocal-user user1 password cipher PWD1local-user user1 service-type telnetlocal-user user2 password cipher PWD2

20、local-user user2 service-type ftp#user-interface vty 0 4authentication-mode aaa2、补充操作说明无。检测方法1、判定条件用配置中没有的用户名去登录，结果是不能登录2、检测操作display current-configuration configuration aaa)3、补充说明无。要求内容限制具备管理员权限的用户远程登录。 远程执行管理员权限操 作，应先以普通权限用户远程登录后， 再切换到管理员权限账号后 执行相应操作。操作指南1、参考配置操作super password level 3 cipher super

21、PWD aaalocal-user user1 password cipher PWD1local-user user1 service-type telnetlocal-user useri level 2#user-interface vty 0 4authentication-mode aaa2、补充操作说明无。检测方法1、判定条件用户用相应的操作权限登录设备后，不具有最高权限级别3,这时有些操作不能做，例如修改aaa的配置。这时如果想使用管理员权限必须提高用户级别。2、检测操作display current-configuration configuration aaa3、补充说明无。

22、.帐号密码长度配置:要求内容对于米用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作aaalocal-user useri password cipher NumABC%$2、补充操作说明无。检测方法判定条件查看用户的口令长度是否至少6位，并包括数字、小写字母、大写字母和特殊符号 4类中至少2类。对于加密的口令，通过登陆检测。检测操作display current-configuration configuration aaa补充说明无。.帐号口令加密:要求内容静态口令必须使用不PJ逆加密算法加密后保存于配置文件中。操作

23、指南1、参考配置操作super password level 3 cipher NC55QK=/Q=AQMAF41!local-user8011passwordcipherNC55QK=/Q=AQMAF41!2、补充操作说明无。检测方法.判定条件用户的加密口令在 buildrun中显木的密义。.检测操作display current-configuration configuration aaa.补充说明无。.帐号登陆权限配置:要求内容在设备权限配置能力内， 根据用户的业务需要， 配置其所需的 最小权限。操作指南1、参考配置操作aaalocal-user 8011 password ciphe

24、r 8011local-user 8011 service-type telnetlocal-user 8011 level 0#user-interface vty 0 4authentication-mode aaa2、补充操作说明无。检测方法.判定条件查看所有用户的级别都配置为其所需的最小权限。.检测操作display current-configuration configuration aaa.补充说明无。.设备日志配置:要求内容设备应配置日志功能， 对用户登录进行记录， 记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时， 用户使用的IP地址。操作指南1、参考配

25、置操作info-center console channel 02、补充操作说明无。检测方法.判定条件在日志缓存上正确记录了日志信息。.检测操作display logbuffer.补充说明无。要求内容设备应配置日志功能，记录用户对设备的操作。例如：账号创 建、删除和权限修改，口令修改，读取和修改设备配置，读取和修 改业务用户的计费数据、身份数据、涉及通信隐私数据。记录需要 包含用户账号，操作时间，操作内容以及操作结果。操作指南1、参考配置操作info-center logbuffer channel 42、补充操作说明在系统模式下进行操作。检测方法. 判定条件对设备的操作会记录在日志中。.检测

26、操作display logbuffer.补充说明无。要求内容设备应配置日志功能，记录对与设备相关的安全事件。操作指南1、参考配置操作info-center enable2、补充操作说明在系统模式下进行操作。检测方法1.判定条件在日志缓存上正确记录了日志信息。.检测操作display logbuffer.补充说明无。.安全访问控制列表配置:要求内容对于具备TCP/UDFW议功能的设备，设备应根据业务需要，配置基十源IP地址、通信协议 TCP或UDR目的IP地址、源端口、 目的端口的流量过滤，过滤所有和业务不相关的流量。操作指南1、参考配置操作acl number 20000rule tcp so

27、urce destination source-port eq ftp-data destination-port eq 30traffic classifier ddif-match acl 20000traffic behavior ddcar cir 2000 cbs 12288 green pass yellow remark reddiscardtraffic policy ddclassifier dd behavior dd precedence 0interface GigabitEthernet4/0/0undo shutdownip address traffic-poli

28、cy dd inbound2、补充操作说明在系统模式下进行操作。检测方法.判定条件通过测试打流，相关流被成功过滤。.检测操作display traffic policy.补充说明无。.远程维护登陆安全配置:要求内容对于使用IP协议进行远程维护的设备，设备应配置使用 等加密协议。SSH操作指南1、参考配置操作#rsa peer-public-key quidway002public-key-code begin308186028180739A291ABDA704F5D93DC8FDF84C4274631991C164B0DF178C55FA833591C7D47D5381D09CE82913D7

29、EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE40861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367FE187BDD944018B3B69F3CBB0A573202C16BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125public-key-code endpeer-public-key end #aaalocal-user client001 password simple huaweilocal-user client002 password simp

30、le quidway authentication-scheme default#authorization-scheme default#accounting-scheme default#domain default#ssh user client002 assign rsa-key quidway002ssh user client001 authentication-type passwordssh user client002 authentication-type RSA #user-interface con 0user-interface vty 0 4authenticati

31、on-mode aaaprotocol inbound ssh2、补充操作说明 无。检测方法. 判定条件通过抓包确定ssh登录的信息为加密信息。.检测操作disp current-configuration | begin ssh.补充说明无。.常见防病毒攻击安全列表配置:要求内容通过ACL配置对常见的漏洞攻击及病毒报文进行过滤。操作指南1、参考配置操作acl number 20000rule tcp source destination source-port eq ftp-data destination-port eq 30traffic classifier ddif-match ac

32、l 20000traffic behavior dddenytraffic policy ddclassifier dd behavior dd precedence 0interface GigabitEthernet4/0/0undo shutdownip address traffic-policy dd inbound2、补充操作说明无。检测方法.判定条件存在攻击流时，非法报文被过滤。.检测操作display traffic polic.补充说明无。.防源地址仿冒攻击安全配置:要求内容条件允许情况下，端口配置URPF ( Unicast Reverse PathForwarding )

33、,即单播反向路径查找，其主要功能是防止基于源地 址欺骗的网络攻击行为。操作指南1、参考配置操作interface GigabitEthernet4/0/1undo shutdownip address ip urpf strict2、补充操作说明接口模式下操作。检测方法.判定条件非法攻击报文被成功过滤。.检测操作display current-configuration interface.补充说明无。.网管协议SNM安全配置:要求内容系统应关闭未使用的 SNMP1、议及未使用RW权限。操作指南1、参考配置操作Undo snmp enableundo snmp-agent community

34、RWuser2、补充操作说明无。检测方法. 判定条件关闭snmp的设备不能被网管检测到，关闭写权限的设备不能 进彳f set操作。.检测操作display current-configuration.补充说明无。要求内容系统应修改SNMP勺Community默认通行字，通行字应符合口 令强度要求。操作指南1、参考配置操作snmp-agent community read XXXX012、补充操作说明无。检测方法. 判定条件系统成功修改SNMPW Community为用户定义口令，非常规private 或者public ,并且符合口令强度要求。.检测操作display current-configuration.补充说明无。要求内容系统应配置为 SNMPV或以上版本。操作指南1、参考配置操作snmp-agent sys-info version v32、补充操作说明无。检测方法. 判定条件成功使能snmpv2c、和v3版本。.检测操作display current-con