版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
管理信息网路由器配置管理信息网路由器配置管理信息网路由器配置xxx公司管理信息网路由器配置文件编号:文件日期:修订次数:第1.0次更改批准审核制定方案设计,管理制度****-**-**实施2009-**-**发布XX省电力公司管理信息网路由器配置规范(讨论稿)****-**-**实施2009-**-**发布XX省电力公司管理信息网路由器配置规范(讨论稿)目次TOC\o"1-2"\h\z前言 II1范围 12规范性引用文件 13术语和定义 14管理平面的安全配置 25控制平面的安全配置 46数据平面的安全配置 4
前言为规范XX省电力公司管理信息网路由器的配置、使用和管理,明确管理信息网路由器配置管理工作内容,规范路由器在配置、使用和管理中所应遵守的管理平面安全原则、控制平面安全原则、数据平面安全原则,特编写本标准。本标准由XX省电力公司信息技术中心提出并归口。本标准主要起草单位:XX省电力公司信息技术中心、XX省电力设计院。本标准主要起草人:本标准由XX省电力公司信息技术中心负责解释。XX省电力公司管理信息网路由器配置规范范围本规范规定了XX省电力公司管理信息网路由器的管理平面安全配置、控制平面管安全配置、数据平面安全配置要求。本规范适用于XX省电力公司管理信息网路由器的配置、使用和管理,作为XX省电力公司管理信息网网络管理的依据之一,在路由器的配置、使用和管理中落实各项规程内容。规范性引用文件下列文件中的条款通过本规范的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。GB/T-2005标准化工作导则标准的结构和编写规则GB/T-2005标准化工作导则引用标准的规定GB/T13016-2004标准体系表编制原则和要求GB/T-2003标准编写规则术语和定义下列术语和定义适用于本规范。AAAAAA指的是Authentication(鉴别),Authorization(授权),Accounting(审计)。SNMPSimpleNetworkManagementProtocol简单网络管理协议。MPLSMulti-ProtocolLabelSwitching多协议标记交换。OSPFOpenShort-PathFirst开放式最短路径优先协议BGPBorderGatewayProtocol边界网关协议Loopback软件环回接口IPspoofingIPSpoofingIP欺骗DOSDenialofService拒绝服务URPFUnicastReversePathForwarding单播逆向路径转发RPFReversePathForwarding逆向路径转发管理平面的安全配置配置命名路由器的名称应具有较强可读性和一致性,需包含的信息有:网络区域、网络角色、设备角色、设备属性、场所性质、场所描述、设备编号等。在设备配置中,需对使用的设备端口进行说明,以提高设备的可维护性、增加配置文件的可读性,对于互联端口,必须进行规范描述,描述规则可为:To对端设备名所连端口。对于Loopback端口,要求描述该端口的设定功能。对于VPN的命名,要求能体现包含的VPN业务内容,控制列表的命名要求能体现感兴趣流的内容。Loopback地址使用Loopback地址是路由器的软件接口地址,具有稳定性高的特点,凡是以路由器为主体的IP包发起,均使用Loopback接口地址作为该路由器发起IP包的源地址,以提高路由器的可识别性和安全性。在认证服务器中,需通过过滤以确保认证服务器只允许从Loopback地址来访问认证服务器端口。在NTP中,需通过过滤以确保NTP系统只允许从Loopback地址来访问NTP端口,以提高它的安全性。在路由协议中,需用Loopback地址作为RouterID,以提高其稳定性。在MPLS-VPN网络中,MP-IBGP需使用Loopback地址建立会话。MPLS-VPN的组播环境中,需使用不同的Loopback地址建立相应的BGP会话邻居。登陆安全关闭Aux口登录路由器。对远程登录路由器的方法应加以限制。远程登录应尽可能采用SSH登录,并利用控制列表和登陆超时时间在登陆线程中加以限制,在复杂的网络环境中,还可考虑采用基于上下文控制列表或动态控制列表的方式实现安全登陆。登陆后需配置提示信息,以警示非法登录者。应具有登录失败处理功能,限制非法登录次数。网络登录连接应设定超时,以防止被非法用户利用。或由于被占用所有可使用端口,导致在紧急情况下无法登陆设备。认证及权限管理采用AAA集中认证,每个地区局部署一套AAA认证系统,为包含县局在内的所有网络设备提供服务。通过鉴别(Authentication)功能,在服务器端修改用户口令,完成所涉及网络设备访问密码的修改,做到周期性修改口令。对于临时访问用户,需创建临时账号,并对该账号属性设置多种有限策略,例如有限时间、访问权限等。利用授权(Authorization)功能提高网络的安全管理的水平。通过对采用集中认证的网络设备进行分层分权限管理,对处于不同的网络层次设备、网络设备的重要性等级进行设备分组,然后通过授权功能授予不同登陆账号的不同访问设备分组、不同的操作命令权限。利用审计(Accounting)功能所收集、记录用户对网络资源的使用情况,提高事后分析能力。从长远角度考虑,可部署用户口令动态认证系统或CA,结合现有AAA认证软件,实现双因素认证系统,提高口令的安全性。syslog和NTP配置应配备日志服务器,将所有网络设备的告警信息输入到该服务器,以保证告警信息不会丢失,并可根据自定义字段查询相关日志信息通过配置实现主机和网络设备根据不同等级的告警信息传送到指定软件终端上,还可通过发送邮件的形式将日志信息发送到指定维护人员得信箱里。在网络设备上配置日志,需要注意日志的时间戳表示,设备发送日志的地址为该设备的Loopback地址以增加可读性。路由器的时间配置使用NTP协议,可选择核心设备当作时钟源,作为NTP主服务器,其他路由器为NTP客户端,NTP服务器与客户端做认证,有条件可以专门选择时钟源设备作为NTP服务器。日志信息的时间戳以本地时间的毫秒方式显示。有条件可以专门选择时钟源设备作为NTP服务器。SNMP配置SNMP尽可能采用Version3及以上版本,需利用访问列表允许特定工作站的SNMP访问。SNMP只允许开启只读功能,必须关闭读写功能,严禁通过SNMP对网络设备进行配置。按最小特权原则,关闭不必要的服务关闭重定向,防止利用ICMP路由重定向消息进行攻击禁止TCP、UDPSmall服务禁止Finger服务禁止从网络启动和自动从网络下载初始配置文件。禁用HTTP服务,该服务的安全漏洞较多。禁用IP源路由,防止路由欺骗。禁止DHCP服务针对接口,禁止针对广播地址的单播流量转换为广播流量针对接口,禁用“Internet消息控制协议”(ICMP)主机未达消息,防止攻击者使用这些消息来获取网络映射信息。针对在接口,禁用代理“地址解析协议”(ARP),作为计算机网关的路由器上需要实施计算机IP和MAC的绑定。控制平面的安全配置路由协议安全启用OSPF路由协议时,必须定义Router-id;修改系统参考带宽;修改以太网互联端口类型;将所有端口默认设置为Passive被动端口,仅将需要和其他路由器交换路由的端口设置为no-passive;配置OSPFMD5加密认证;OSPF路由重分布配置TYPE-1路由,同时接收无类路由;配置OSPF邻居变化日志。启用ISIS路由协议时,必须修改ISIS端口COST;修改以太网互联端口类型;把仅仅需要通过ISIS宣告,而不需要和其他路由器建立邻居,交换路由信息的端口配置为Passive;指定ISIS端口类型;配置ISISMD5加密认证;配置ISIS邻居变化日志。启用BGP路由器协议时,必须定义Router-id;配置BGP邻居变化日志;配置BGPMD5加密认证;BGP团体属性配置为2各16Bit数字;配置BGP邻居最大路由子网数量告警;配置BGP路由过滤;关闭同步和路由自动汇总。在任何需要进行路由重分布时候,必须进行路由过滤,并且尽量进行精确路由过滤(即匹配路由的网段,也检查路由的掩码),或者通过事先做好的标记(TAG)进行控制,同时对于注入的路由手动设置相应的metric值。静态路由下一跳的地址必须属于本机的直连网段,同时明确指明下一跳端口,并且通常情况下静态路由仅仅应用于动态路由网络的最末端。若有可能,在配置静态路由时候加上相应的注释和标记,注释便于理解,标记用于在路由重分布时候进行路由的控制和过滤。需对进入CPU的流量进行分类,并进行相应的流量限制,只允许合理的流量(如路由协议、路由更新、ARP、ICMP、Netflow、Syslog、SNMP等)进入CPU,并限制在一定的速率以下,避免因受到Denialofservice攻击而造成路由器的CPU升高直至宕机。路由过滤通过对内部路由器IP地址的合理分配,在路由器上特别是在边界路由器上进行有效的路由过滤,确保网内路由器上的路由表简洁、有效。路由震荡抑制进行路由区域划分。在IGP路由需要进入BGP路由表时采用手工注入、半自动注入,慎用动态注入。通过边界路由汇总减少路由震荡带来的影响。在BGP协议中,启用路由惩罚。数据平面的安全配置防范碎片攻击针对带宽消耗的碎片攻击、采用不让其大包进行包分割的办法,从而达到该包丢弃。防范IPspoofing攻击通过uRPF逆向路径检测解决IPspoofing攻击。阻止这类攻击的简单办法就是放弃以地址为基础的验证。不允许r*类远程调用命令的使用。阻止IP欺骗的另一种方法是在通信时要求加密传输和验证。当有多种手段并存时,加密方法最为适用。防范TCPSYN-flooding攻击采用TCP拦截监控模式,监控TCP半开连接数,当受到TCPSYN-flooding攻击时,采用TCP拦截,将超过门限的半开连接进行主动阻断。防范组播的攻击当受到组播攻击(DOS攻击)时,限制其IGMP报文的数量。在三层以太网组播中,采用将最上层的三层汇聚交换机的出端口的端口属性设置成拒绝发生RP
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024至2030年中国快餐用碗行业投资前景及策略咨询研究报告
- 2024至2030年中国北大西洋鲽鱼行业投资前景及策略咨询研究报告
- 2024年中国超纯硫酸钴市场调查研究报告
- 2024年中国便携式迷你DVD机市场调查研究报告
- r语言课程设计成绩排序系统
- 幼儿园爬树课程设计
- 小鸟小鸟音乐的课程设计
- 仓储实务课程设计答案
- 山东力明科技职业学院《食品贮藏与保鲜》2023-2024学年第一学期期末试卷
- 搏击格斗课程设计
- 野外生存2-1课件
- (贵州地区)锚杆框架植草护坡施工方案
- 喜茶营销策略分析
- 别墅小区防盗报警系统设计方案
- 2021年人教版五年级语文上册期末试卷及答案
- 各科临床路径表单- -全集
- 幼儿园教学课件《如果地球被我们吃掉了》课件
- DB37∕T 5016-2021 民用建筑外窗工程技术标准
- 操作系统填空题
- 《阿利的红斗篷》阅读题及答案
- DB21∕T 1605-2008 双条杉天牛检疫技术规程
评论
0/150
提交评论