中国移动华为路由器交换机安全配置手册.doc

密 级：文档编号：项目代号：中国移动华为路由器交换机安全配置手册Version 1.1中国移动通信有限公司二零零四年十二月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人，负责对本文档进行标准化审核4读取5读取目 录目 录v第1章 概述1-11.1 交换机1-11.2 路由器1-5第2章 华为路由器交换机物理安全管理2-112.1 定期检查机房的温度和湿度2-112.2 定期检查机房电源输入是否完好2-122.3 定期检查设备的接地电阻是否正常2-122.4 定期检查设备的相关线缆是否完好2-132.5 定期检查设备的风扇是否运行正常2-13第3章 华为路由器交换机数据安全配置3-133.1 分级设置用户口令3-133.2 对任何方式的用户登录都进行认证3-143.3 对于网络上已知的病毒所使用的端口进行过滤3-173.4 关闭危险的服务3-193.5 在使用SNMP协议时候的安全建议3-203.6 关闭不使用的物理端口3-203.7 保持系统日志的打开3-203.8 注意检查设备的系统时间是否准确3-213.9 路由协议采用加密认证3-213.10 在设备上开启URPF功能3-253.11 防攻击的措施3-263.12 攻击防范配置3-283.12.1 使能IP欺骗攻击防范功能3-293.12.2 使能Land攻击防范功能3-303.12.3 使能Smurf攻击防范功能3-303.12.4 使能Fraggle攻击防范功能3-313.12.5 使能WinNuke攻击防范功能3-313.12.6 配置SYN Flood攻击防范功能3-323.12.7 配置ICMP Flood攻击防范功能3-343.12.8 配置UDP Flood攻击防范功能3-363.12.9 使能ICMP重定向报文攻击防范功能3-373.12.10 使能ICMP不可达报文攻击防范功能3-383.12.11 配置地址扫描攻击防范功能3-393.12.12 配置端口扫描攻击防范功能3-403.12.13 使能带源站路由选项IP报文攻击防范功能3-413.12.14 使能带路由记录选项IP报文攻击防范功能3-413.12.15 使能带时间戳记录选项IP报文攻击防范功能3-423.12.16 使能Tracert报文攻击防范功能3-433.12.17 使能TCP报文标志合法性检测功能3-433.12.18 使能Ping of Death攻击防范功能3-443.12.19 使能TearDrop攻击防范功能3-453.12.20 使能IP分片报文攻击防范功能3-453.12.21 配置超大ICMP报文攻击防范功能3-463.13 端口镜像功能3-47第4章 华为路由器交换机安全管理制度4-474.1 登录口令的强壮性4-474.2 登录口令的定期更换4-484.3 不同的人员掌握不同等级的登录口令4-484.4 对于设备的硬件、软件、数据配置操作进行登记备案4-494.5 对于每一次的网络异常进行登记备案4-494.6 在设备外保存设备当前运行的版本、数据配置、日志信息4-494.7 机房的安全管理建议：4-50第1章 概述1.1 交换机交换机是构建网络平台的“基石”。从传输介质和传输速度上可分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。从规模应用上又可分为企业级交换机、部门级交换机和工作组交换机等。一般来讲，企业级交换机都是机架式，部门级交换机可以是机架式（插槽数较少），也可以是固定配置式，而工作组级交换机为固定配置式（功能较为简单）。众所周知，传统的交换机工作在OSI参考模型的第二层数据链路层上，主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。物理编址（相对应的是网络编址）定义了设备在数据链路层的编址方式；网络拓扑结构包括数据链路层的说明，定义了设备的物理连接方式，如星型拓扑结构或总线拓扑结构等；错误校验向发生传输错误的上层协议告警；数据帧序列重新整理并传输除序列以外的帧；流控可以延缓数据的传输能力，以使接收设备不会因为在某一时刻接收到了超过其处理能力的信息流而崩溃。目前很多交换机还具备VLAN、链路汇聚、MPLS等功能。华为的交换机主要有以下几个系列：产品型号特性Quidway S8016多业务核心路由交换机 面向IP城域网的网络骨干、交换核心、汇聚中心建设，基于硬件的二到七层和MPLS线速转发技术。l 支持MPLS以及基于MPLS的二、三层VPN业务，支持丰富的组播协议，支持WEB SWITCH（硬件支持）、NAT（硬件支持），支持DHCP Relay并内置DHCP Server功能；支持VLAN聚合、VLAN Trunk、支持GVRP、支持VLAN嵌套、丰富的路由协议和完善的路由策略等丰富的二三层功能；l 支持完善的DiffServ/QoS保障，实现了简单流分类、复杂流分类、流量监管、真正的拥塞控制、完善的队列调度和输出流整形等功能，可同时承载数据、语音和视频业务的综合网络；所有QoS功能采用硬件实现，对性能没有影响；l 采用全分布式体系结构设计，实现数据逐包转发，区别于传统的流cache转发方式，能够有效防范各种“宏病毒”冲击；不论是路由处理系统本身，还是分布式的线路接口板、内容线路板和NAT板都提供包安全过滤/ACL的机制，防止非法侵入和恶意报文攻击。Quidway S8500 系列核心路由交换机 新一代高性能万兆核心路由交换机产品，可广泛应用于IP城域网核心汇聚。l 采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩充能力；l 可提供高达1.8T背板带宽、720Gbps交换容量、432Mpps转发能力；并可提供高密度接口板，支持线速转发；l 每块业务板均提供128K最长匹配路由转发表，支持策略路由和路由负载分担；l 支持线速的MPLS分布式转发，可以提供更好的VPN业务和透明的LAN服务，更可以通过MPLS TE来提供流量工程功能。Quidway S6500 系列高端交换机面向IP城域网、大型企业网及园区网用户的系列大容量、高密度、模块化的三层交换机，作为城域网汇聚层交换机。l S6503整机支持3个高速业务插槽且主控板可直接提供4个GE接口；S6506/S6506R整机支持6个高速业务板插槽，提供平滑的投资和业务扩展能力；l 最大支持64K路由表项，基于最长匹配的路由方式，保证了所有报文均获得相同的转发性能；l 支持专利的弹性资源调配系统技术，实现系统背板、交换引擎带宽、性能的最优分布；l 基于新一代ASIC技术的Salience 系列交换路由引擎将L2/3/4线速转发与丰富的QOS、ACL特性结合在一起，是组建高可靠、低时延的核心网络的重要保障。Quidway S5500 系列千兆智能三层交换机面向IP城域网的汇聚层和大型企业或园区网的汇聚层的盒式高密度可堆叠三层交换机。l 具有64Gbps背板带宽，32Gbps交换容量， 24Mpps转发能力，最大支持32K路由表项，基于最长匹配的路由方式，保证了所有报文均获得相同的转发性能；l 支持高性能SFP光接口，支持GE电口、单/多模光口模块的混合配置，支持模块热插拔；并可提供堆叠接口模块，可以和系列交换机堆叠，能够提供更灵活的组网模式；l 提供以64Kbit/s为步长的流控粒度，可以对不同业务进行更细致的管理，支持丰富的流分类，丰富的Qos策略是构建高质量“三网合一”网络的基础。Quidway S3500 系列安全智能三层交换机为充分满足安全IP交换和高QOS保证的需求而推出的智能型以太网交换机；l 32Gbps的总线带宽为交换机所有的端口提供三层线速交换能力，系统能够提供4个GE，有效解决了在单台设备上多个千兆链路上行，同时接入千兆服务器的需求，极大的节省了用户对设备投资；l 基于最长匹配的路由策略，系统采用逐包转发方式，保证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力，有效保证了设备安全；支持802.1x和Web Portal认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络；l 不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。l 支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2L7复杂流分类。Quidway S5000 系列千兆二层交换机为企业网高速互连和千兆到桌面应用而设计的智能型可网管交换机，可以提供多路千兆光口，解决高端设备的GE端口紧张的问题。l 不仅支持协议所规定的用户端口接入认证方式，还对其进行了优化，接入控制方式可以基于端口，也可以基于MAC地址，极大地提高了安全性和可管理性，并具有用户管理能力；l 支持基于802.1p tags优先级控制，支持8个优先级队列；支持L2L7层的流分类，在流分类的基础上可以进行ACL和QOS方面的多种操作，如带宽限制、优先级修改、过滤、端口镜像、重定向等多种操作；l 支持HGMP功能：简化配置管理任务：通过一个命令交换机实现对多个成员交换机的管理；提供拓扑发现和显示功能，有助于监视和调试网络。Quidway S3000 系列智能二层交换机采用高性能的ASIC，采用灵活的模块化结构，提供二到七层的智能的流分类和完善的服务质量（QoS），实现完备的业务控制和用户管理能力，可作为关注业务管理控制和网络安全保障能力的企业网和城域网的接入层交换机。l 12.8/18.5Gbps的总线带宽为交换机所有的端口提供二层线速交换能力，硬件能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制；l 支持802.1x认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。l 提供了三种各具特色的队列调度算法，严格优先级（Strict-Priority Queue，简称PQ）、加权轮循（Weighted Round Robin，简称WRR）调度算法和Delay bounded WRR调度算法；l 提供良好的堆叠功能，最大可支持16台设备的堆叠，同时支持不同设备的混合堆叠，从而保证了网络的平滑升级和降低了扩建成本。Quidway S2000 系列边缘接入交换机为要求具备高性能且易于安装的网络环境而度身定做的可网管的交换机。l 支持4K MAC地址；支持MAC地址表锁定及静态设置，实现对MAC的控制过滤；l 支持 HGMP，实现群组管理；l 独特的isolate-user-vlan技术，既可以隔离用户，又可以节省VLAN资源；l 多样的终端用户控制手段，支持MAC+PORT的捆绑，支持防止双网卡代理上网，有效地防止非法用户的产生；l 用户侧传输距离200米，方便布线。Quidway S2000B 系列边缘接入交换机为要求具备高性能且易于安装的网络环境而设计的可网管的楼道级/桌面级二层线速以太网交换产品，具备在户外环境下正常工作的能力。l 支持基于端口的VLAN，支持isolate-user-vlan；l 支持HGMP，实现群组管理；支持HGMP Client，实现受控组播；l 支持HGMP的级连方式，如一台S2026B不直接与管理设备相连，而是通过级连的其他交换机与管理设备相连，同样能够实现远程管理维护功能；l 为楼道工作环境量身定做：机身小巧，便于楼道安装；端口密度低，节省运营商投资；散热采用低噪音风扇，静音设计；指示灯设计在机箱顶板上，便于壁挂维护；用户侧10M端口传输距离200米，方便布线。1.2 路由器路由器是一种典型的网络层设备。它是两个局域网之间接帧传输数据，在OSIRM之中被称之为中介系统，完成网络层中继或第三层中继的任务。路由器负责在两个局域网的网络层间接帧传输数据，转发帧时需要改变帧中的地址。一、 原理与作用二、 路由器（Router）是用于连接多个逻辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时，可通过路由器来完成。因此，路由器具有判断网络地址和选择路径的功能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网，路由器只接受源 站或其他路由器的信息，属网络层的一种互联设备。它不关心各子网使用的硬件设备，但要求运行与网络层协议相一致的软件。路由器分本地路由器和远程路由器，本地路由器是用来连接网络传输介质的，如光纤、同轴电缆、双绞线；远程路由器是用来连接远程传输介质，并要求相应的设备，如电话线要配调制解调器，无线要通过无线接收机、发射机。一般说来，异种网络互联与多个子网互联都应采用路由器来完成。路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送到目的站点。由此可见，选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作，在路由器中保存着各种传输路径的相关数据路径表（Routing Table），供路由选择；时使用。路径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路径表可以是由系统管理员固定设置好的，也可以由系统动态修改，可以由路由器自动调整，也可以由主机控制。1静态路径表 由系统管理员事先设置好固定的路径表称之为静态（static）路径表，一般是在系统安装时就根据网络的配置情况预先设定的，它不会随未来网络结构的改变而改变。2动态路径表 动态（Dynamic）路径表是路由器根据网络系统的运行情况而自动调整的路径表。路由器根据路由选择协议（Routing Protocol）提供的功能，自动学习和记忆网络运行情况，在需要时自动计算数据传输的最佳路径。二、路由器的功能（1）在网络间截获发送到远地网段的报文，起转发的作用。（2）选择最合理的路由，引导通信。为了实现这一功能，路由器要按照某种路由通信协议，查找路由表，路由表中列出整个互联网络中包含的各个节点，以及节点间的路径情况和与它们相联系的传输费用。如果到特定的节点有一条以上路径，则基于预先确定的准则选择最优（最经济）的路径。由于各种网络段和其相互连接情况可能发生变化，因此路由情况的信息需要及时更新，这是由所使用的路由信息协议规定的定时更新或者按变化情况更新来完成。网络中的每个路由器按照这一规则动态地更新它所保持的路由表，以便保持有效的路由信息。 （3）路由器在转发报文的过程中，为了便于在网络间传送报文，按照预定的规则把大的数据包分解成适当大小的数据包，到达目的地后再把分解的数据包包装成原有形式。（4）多协议的路由器可以连接使用不同通信协议的网络段，作为不同通信协议网络段通信连接的平台。（5）路由器的主要任务是把通信引导到目的地网络，然后到达特定的节点站地址。后一个功能是通过网络地址分解完成的。例如，把网络地址部分的分配指定成网络、子网和区域的一组节点，其余的用来指明子网中的特别站。分层寻址允许路由器对有很多个节点站的网络存储寻址信息。在广域网范围内的路由器按其转发报文的性能可以分为两种类型，即中间节点路由器和边界路由器。尽管在不断改进的各种路由协议中，对这两类路由器所使用的名称可能有很大的差别，但所发挥的作用却是一样的。中间节点路由器在网络中传输时，提供报文的存储和转发。同时根据当前的路由表所保持的路由信息情况，选择最好的路径传送报文。由多个互连的LAN组成的公司或企业网络一侧和外界广域网相连接的路由器，就是这个企业网络的边界路由器。它从外部广域网收集向本企业网络寻址的信息，转发到企业网络中有关的网络段；另一方面集中企业网络中各个LAN段向外部广域网发送的报文，对相关的报文确定最好的传输路径。华为的路由器主要有以下几个系列：高端路由器产品型号特性Quidway NetEngine 5000 系列核心路由器 面向IP网国家骨干网络节点、各省的网络出口节点以及各网络之间互联中心节点的核心路由器产品。u 全面支持MPLS，可以支持L3 MPLS VPN、L2 MPLS VPN、CCC各种业务，胜任高性能P应用；支持大容量组播线速转发，能够与MPLS VPN、QoS等各种特性配合应用。u 采用高性能的组件，可以在所有接口上为IP/MPLS业务提供线速转发性能；整机交换容量400Gbps/1.28T，无阻塞交换；整机转发性能500Mpps/1600Mpps。u 关键硬件组件都提供全面冗余，所有组件具备热插拔功能。提高运营商级的不间断路由转发功能，保证业务不会中断。当主用主控板发生故障时，可以切换到备用的主控板，不会发生包丢失，也不会影响对端路由器。Quidway NetEngine 80核心路由器主要应用在IP骨干网、IP城域网骨干层以及各种大型IP网络的核心位置。u 作为分布式第五代路由器采用了业界高性能网络处理器技术，充分继承了第四代全分布式硬件处理的架构，有机地结合了软件的灵活性和硬件的高性能，又具备快速良好的业务升级和扩展能力。u 高品质QoS能力，是网络业务的重要技术基础。NE80实现智能业务感知，提供先进的队列调度算法、SARED拥塞控制算法，精确保证不同业务的带宽、时延和抖动，满足不同用户、不同业务等级的“区分服务”要求。u 基于分布式硬件处理，具备高性能的网络业务能力，胜任高性能P/PE应用，提供高品质、安全和多层次的MPLS VPN解决方案；提供高性能组播能力；提供千兆线速NAT等各种业务。u 支持IPv4/IPv6、MPLS分布式转发。路由能力强大，支持高达170万条的大路由表，支持丰富的路由协议包括RIP、OSPF、IS-IS、BGP4和多播路由协议。 Quidway NetEngine 40 系列通用交换路由器 充分继承了NE80核心路由器的设计理念和关键技术，面向大型企业网、行业网、IP城域网和IP骨干网的高端网络产品，包括NE408、NE404和NE402三款型号。u 作为分布式第五代路由器采用了业界高性能网络处理器技术，基于分布式硬件处理，具备高性能的业务能力，胜任高性能P/PE应用，提供高品质、安全和多层次的MPLS VPN解决方案；提供高性能组播能力；提供千兆线速NAT等各种业务。u 拥有从64k到10G速率接口，支持RPR环网技术，提供丰富的协议功能，能够应对各种复杂组网，满足IP城域网、骨干网、运营支撑网的组网需求。u 各关键部件包括路由处理系统、交换网系统、时钟系统、电源、管理总线全部为冗余热备份，实现基于状态的热切换u 支持丰富的L2/L3以太网交换特性Quidway NetEngine 20 系列高端多业务路由器面向运营商、行业网及企业网的高性能的第五代多业务路由器；采用NP硬件技术实现，具有卓越的转发性能；包括NE20-8、NE20-4、NE20-2三款产品。u 采用了业界高性能网络处理器技术实现高速接口包文的集中转发，有机地结合了软件的灵活性和硬件的高性能，提供线速转发性能。u 提供高品质、安全和多层次的MPLS VPN解决方案，支持MPLS TE，可以作为高性价比MPLS PE设备使用。u 支持多种方式VPN（L2TP、GRE、MPLS VPN等），具备丰富的NAT功能，提供以太网/VLAN、PPP/MP、PPPoE、Frame Relay、HDLC、ATM、X.25、HDLC和LAPB等丰富的互联功能，支持备份中心，并提供对语音、组播等业务的支持。Quidway NetEngine 16E/08E/05 系列高端路由器 面向电信级运营网络和企业级核心网络，有强大的专线接入及VPN业务能力，提供丰富的业务功能，具备完善QOS和安全特性，适用于运营商、政府、教育、金融、电力、企业的内部网和业务网，包括NE16E、NE08E、NE05三款产品。u 采用分布式体系结构，主控板冗余设计，主备倒换实现零丢包率；2+1或11电源热备份；接口备份、端口捆绑实现了链路的高可靠性。u 支持分布式NAT，具备策略和安全管理功能，能够防止恶意用户对NAT连接的攻击，提供完善的安全日志。u 支持包过滤防火墙及动态防火墙ASPF，支持用户的认证和路由协议的验证， 支持标准协议的IPSEC和IKE，支持ISPKeeper DOS防御系统。u 支持L2TP、GRE、IPSEC、EOIP、MPLS VPN等VPN业务，提供隧道融合与VPN互通，提供安全和多层次的MPLS VPN解决方案。中低端路由器：产品型号特性Quidway NetEngine 5000 系列核心路由器 面向IP网国家骨干网络节点、各省的网络出口节点以及各网络之间互联中心节点的核心路由器产品。u 全面支持MPLS，可以支持L3 MPLS VPN、L2 MPLS VPN、CCC各种业务，胜任高性能P应用；支持大容量组播线速转发，能够与MPLS VPN、QoS等各种特性配合应用。u 采用高性能的组件，可以在所有接口上为IP/MPLS业务提供线速转发性能；整机交换容量400Gbps/1.28T，无阻塞交换；整机转发性能500Mpps/1600Mpps。u 关键硬件组件都提供全面冗余，所有组件具备热插拔功能。提高运营商级的不间断路由转发功能，保证业务不会中断。当主用主控板发生故障时，可以切换到备用的主控板，不会发生包丢失，也不会影响对端路由器。Quidway NetEngine 80核心路由器主要应用在IP骨干网、IP城域网骨干层以及各种大型IP网络的核心位置。u 作为分布式第五代路由器采用了业界高性能网络处理器技术，充分继承了第四代全分布式硬件处理的架构，有机地结合了软件的灵活性和硬件的高性能，又具备快速良好的业务升级和扩展能力。u 高品质QoS能力，是网络业务的重要技术基础。NE80实现智能业务感知，提供先进的队列调度算法、SARED拥塞控制算法，精确保证不同业务的带宽、时延和抖动，满足不同用户、不同业务等级的“区分服务”要求。u 基于分布式硬件处理，具备高性能的网络业务能力，胜任高性能P/PE应用，提供高品质、安全和多层次的MPLS VPN解决方案；提供高性能组播能力；提供千兆线速NAT等各种业务。u 支持IPv4/IPv6、MPLS分布式转发。路由能力强大，支持高达170万条的大路由表，支持丰富的路由协议包括RIP、OSPF、IS-IS、BGP4和多播路由协议。 Quidway NetEngine 40 系列通用交换路由器 充分继承了NE80核心路由器的设计理念和关键技术，面向大型企业网、行业网、IP城域网和IP骨干网的高端网络产品，包括NE408、NE404和NE402三款型号。u 作为分布式第五代路由器采用了业界高性能网络处理器技术，基于分布式硬件处理，具备高性能的业务能力，胜任高性能P/PE应用，提供高品质、安全和多层次的MPLS VPN解决方案；提供高性能组播能力；提供千兆线速NAT等各种业务。u 拥有从64k到10G速率接口，支持RPR环网技术，提供丰富的协议功能，能够应对各种复杂组网，满足IP城域网、骨干网、运营支撑网的组网需求。u 各关键部件包括路由处理系统、交换网系统、时钟系统、电源、管理总线全部为冗余热备份，实现基于状态的热切换u 支持丰富的L2/L3以太网交换特性Quidway NetEngine 20 系列高端多业务路由器面向运营商、行业网及企业网的高性能的第五代多业务路由器；采用NP硬件技术实现，具有卓越的转发性能；包括NE20-8、NE20-4、NE20-2三款产品。u 采用了业界高性能网络处理器技术实现高速接口包文的集中转发，有机地结合了软件的灵活性和硬件的高性能，提供线速转发性能。u 提供高品质、安全和多层次的MPLS VPN解决方案，支持MPLS TE，可以作为高性价比MPLS PE设备使用。u 支持多种方式VPN（L2TP、GRE、MPLS VPN等），具备丰富的NAT功能，提供以太网/VLAN、PPP/MP、PPPoE、Frame Relay、HDLC、ATM、X.25、HDLC和LAPB等丰富的互联功能，支持备份中心，并提供对语音、组播等业务的支持。Quidway NetEngine 16E/08E/05 系列高端路由器 面向电信级运营网络和企业级核心网络，有强大的专线接入及VPN业务能力，提供丰富的业务功能，具备完善QOS和安全特性，适用于运营商、政府、教育、金融、电力、企业的内部网和业务网，包括NE16E、NE08E、NE05三款产品。u 采用分布式体系结构，主控板冗余设计，主备倒换实现零丢包率；2+1或11电源热备份；接口备份、端口捆绑实现了链路的高可靠性。u 支持分布式NAT，具备策略和安全管理功能，能够防止恶意用户对NAT连接的攻击，提供完善的安全日志。u 支持包过滤防火墙及动态防火墙ASPF，支持用户的认证和路由协议的验证， 支持标准协议的IPSEC和IKE，支持ISPKeeper DOS防御系统。u 支持L2TP、GRE、IPSEC、EOIP、MPLS VPN等VPN业务，提供隧道融合与VPN互通，提供安全和多层次的MPLS VPN解决方案。第2章 华为路由器交换机物理安全管理2.1 定期检查机房的温度和湿度数据通信设备的长期稳定运行是需要一个良好的环境，为保证路由器正常工作和延长使用寿命，机房内需维持一定的温度和湿度。若机房内长期湿度过高，易造成绝缘材料绝缘不良甚至漏电，有时也易发生材料机械性能变化、金属部件锈蚀等现象；若相对湿度过低，绝缘垫片会干缩而引起紧固螺丝松动，同时在干燥的气候环境下，易产生静电，危害路由器上的CMOS电路；温度过高则危害更大，它会使路由器的可靠性大大降低，长期高温还会影响其寿命，过高的温度将加速绝缘材料的老化过程。影响设备的稳定运行。所以建议每天检查机房内的温度和湿度，如果发现机房空调损坏，要及时的修理，减少设备在不良环境下的工作时间。我们要求机房的温湿度情况达到以下标准：温度相对湿度长期工作条件短期工作条件长期工作条件短期工作条件153004540%65%10%90%注意：l路由器机房内工作环境温度、湿度的测量点，指在路由器机架前后没有保护板时测量，距地板以上1.5m和距路由器架前方0.4m处测量的数值；l短期工作条件指连续不超过48小时和每年累计不超过15天；2.2 定期检查机房电源输入是否完好电源的稳定对于设备稳定运行至关重要，电压的波动过大，使设备的部分器件经常工作在高电压或低电压，导致设备的寿命下降，器件工作不稳定，对于设备的运行造成较大的影响，建议定期（建议半年或一年一次）检查机房的电源输入是否正常，电压的波动是否在正常范围内，电压的波动范围见各个产品的输入电压，如果发现不在正常范围内，及时对电源进行整改。建议定期检查UPS等备用电源是否能够正常工作，功率能否满足设备需要，由于这些备用电源长期不用，所以发生故障后不易被维护人员及时察觉，同时机房设备逐渐的增加，可能导致UPS等备用电源输出的功率不能满足机房设备的需求，这些备用电源的完好与否，功率是否满足需要需要进行定期的检查，保证在主用的输入电源中断后，设备仍然能够正常工作。2.3 定期检查设备的接地电阻是否正常良好的接地系统是路由器稳定可靠运行的基础，是路由器防雷击、抗干扰和防静电的重要保障。用户必须为路由器提供良好的接地系统，接地电阻如果不正常，会对设备的防雷、抗干扰，防静电造成很大影响，对于各个器件都会产生不良影响，甚至损坏重要器件。建议定期（每半年或一年一次）检查接地线是否完好，接地电阻是否正常，接地的标准见各个产品的接地要求，在检查时，对于设备的接地，机柜的接地，地线的腐蚀情况，地排的腐蚀情况都要进行全面的检查。2.4 定期检查设备的相关线缆是否完好建议定期（每12月检查一次）检查设备的电源线、尾纤、接地线缆是否完好，有没有被腐蚀，有没有被鼠咬，以保证业务不会因为线缆的损坏而受到影响。2.5 定期检查设备的风扇是否运行正常设备的风扇如果运行不正常，会导致设备内的温度快速上升，它会使路由器的可靠性大大降低，长期高温还会影响其寿命，过高的温度将加速绝缘材料的老化过程，导致设备器件损坏，建议每天注意观察设备风扇是否产生告警，同时可以使用相关命令来查询风扇是否在位。如果风扇框上的防尘网上积累了过多的灰尘，或者风扇运转不顺畅，都会影响风扇的通风排热效果，建议每月检查一次设备风扇运转是否良好，是否有隐患，风扇框上的防尘网是否积累了过多灰尘。第3章 华为路由器交换机数据安全配置3.1 分级设置用户口令华为公司的数据设备的登录口令分为4级：参观级、监控级、配置级、管理级，不同的级别所能做的操作都不相同。参观级：网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH客户端、RLOGIN）等，该级别命令不允许进行配置文件保存的操作。监控级：用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。配置级：业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。管理级：关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用，包括文件系统、FTP、TFTP、XModem下载、配置文件切换命令、电源控制命令、备板控制命令、用户管理命令、级别设置命令、系统内部参数设置命令（非协议规定、非RFC规定）等。建议分级设置登录口令，以便于对于不同的维护人员提供不同的口令。【配置实例】CON口对应的优先级缺省为3，其它用户界面的优先级缺省为0。# 例如，设置CON口的优先级为3，从VTY 0的优先级为2。Quidway-ui-console0 user privilege level 3Quidway-ui-vty0 user privilege level 23.2 对任何方式的用户登录都进行认证建议对于各种登录设备的方式（通过TELNET、CONSOLE口、AUX口）都进行认证。在默认的情况下，对于华为的设备，CONSOLE口是不进行认证，在使用时建议对于CONSOLE口登录配置上认证。对于安全级别一般的设备，建议认证方式采用本地认证，认证的时候要求对用户名和密码都进行认证，配置密码的时候要采用密文方式。用户名和密码要求足够的强壮。对于安全级别比较高的设备，建议采用AAA方式到RADIUS去认证。本部实施的是加强设备访问和提供服务的安全性管理。设置设备标题文本Header的设置要求对远程登录的Header的设置要求必须包含非授权用户禁止登录的字样。【配置实例】# 配置会话建立标题。Quidway header login %Enter TEXT message. End with the character %.LOGIN : Hello! Welcome use Quidway LAN Switch！If you are not authorited user, please exit!%对CON和AUX端口的安全要求针对Console口和Aux口的安全控制要求，可以为Console口配置增强的登录口令认证特性，还可以禁用不需要的Aux口使得不能通过Aux端口对设备进行访问。远程登录安全要求华为全线以太网交换机设备提供远程管理能力，用户可以通过远程登录的方式对设备进行管理。华为以太网交换机提供强大的远程登录安全管理能力，包括：禁止远程用户登录、启用安全的远程登录，设置连接超时时间、设置登录尝试次数限制、设置并发用户数目，设置根据源地址的登录用户过滤机制。密码管理密码是网络设备用来防止非授权访问的主要手段，是设备安全的重要部分。最好的密码处理方法是将其保存在TACACS+或RADIUS认证服务器上。对于特权模式，应该采用enable secret命令设置强壮的密码，而不要采用enable password设置密码，enable secret 命令用于设定具有管理员权限的口令，而enable password采用的加密算法比较弱。而要采用enable secret命令设置。并且要启用Service password-encryption，这条命令用于对存储在配置文件中的所有口令和类似数据（如CHAP）进行加密。避免配置文件被不怀好意者看见，从而获得这些数据的明文。同时，不要以为加密了就可以放心了，最好的方法就是选择一个长的口令字（大于8个字符），避免配置文件被外界得到。RADIUS认证的设置RADIUS（Remote access Dial-In user service）可以提供远程用户的认证机制，为远程登录用户提供统一的认证手段。【配置实例】# 配置Radius服务器模板。Quidway radius-server template shiva# 配置Radius 主认证、计费服务器和端口。Quidway-radius-shiva radius-server authentication 129.7.66.66 1812 Quidway-radius-shiva radius-server accounting 129.7.66.66 1813# 配置Radius 备认证、计费服务器和端口。Quidway-radius-shiva radius-server authentication 129.7.66.67 1812 secondaryQuidway-radius-shiva radius-server accounting 129.7.66.67 1813 secondary# 配置Radius服务器密钥、重传次数。Quidway-radius-shiva radius-server shared-key this-is-my-secretQuidway-radius-shiva radius-server retransmit 2# 进入AAA视图。Quidwayaaa# 配置认证方案，认证方法为radius。Quidwayaaaauthentication-scheme radiusQuidway-aaa-authen-radius authentication-mode radius# 配置计费方案，计费方法为radius。Quidwayaaaaccounting-scheme radiusQuidwayaaa-accountingaccounting-mode radius # 配置huawei域，在域下采用radius认证方案、radius计费方案、shiva的radius模板。Quidway-aaadomain huaweiQuidway-aaa-domain-huawei authentication-scheme radius Quidway-aaa-domain-huawei accounting-scheme radiusQuidway-aaa-domain-huawei radius-server shiva3.3 对于网络上已知的病毒所使用的端口进行过滤现在网络上的很多病毒（冲击波、振荡波）发作时，对网络上的主机进行扫描搜索，该攻击虽然不是针对设备本身，但是在攻击过程中会涉及到发ARP探询主机位置等操作，某些时候对于网络设备的资源消耗十分大，同时会占用大量的带宽。对于这些常见的病毒，我们都知道它们的工作方式，知道他们所使用的端口号。为了避免这些病毒对于设备运行的影响，建议在设备上配置ACL，对已知的病毒所使用的TCP、UDP端口号进行过滤。一方面保证了设备资源不被病毒消耗，另一方面阻止了病毒的传播，保护了网络中的主机设备。【配置实例】振荡波”病毒配置NE 16：定义防病毒访问控制列表：NE16-Bacl number 110 match-order autoNE16-B-acl-adv-110rule 10 deny tcp destination-port eq 445NE16-B-acl-adv-110rule 20 deny tcp destination-port eq 5554NE16-B-acl-adv-110rule 30 deny tcp destination-port eq 9995NE16-B-acl-adv-110rule 40 deny tcp destination-port eq 9996NE16-B-acl-adv-110quit将以上规则以应用到相应接口上NE16-Binterface Ethernet 2/2/0NE16-B-Ethernet2/2/0firewall packet-filter 110 inbound Acl applied successfully!NE16-B-Ethernet2/2/0qu使能对应槽位单板的软件防火墙功能NE16-Bfirewall enable slot 2NE16-BNE 80/40定义“病毒”报文规则： rule-map intervlan vir-1 tcp any any eq 445 rule-map intervlan vir-2 tcp any any eq 5554 rule-map intervlan vir-3 tcp any any eq 9995 rule-map intervlan vir-3 tcp any any eq 9996 rule-map intervlan vir-normal ip any any 定义丢弃“病毒”报文的规则： eacl anti-vir vir-1 deny eacl anti-vir vir-2 deny eacl anti-vir vir-3 deny eacl anti-vir vir-normal permit在相关端口上应用策略。S 6506定义防病毒访问控制列表：acl name anti_worm advanced rule 10 deny tcp destination-port eq 445 rule 20 deny tcp destination-port eq 5554 rule 30 deny tcp destination-port eq 9995 /振荡波病毒D变种 rule 40 deny tcp destination-port eq 9996 /振荡波病毒将以上规则以not-carefor-interface方式在单板上全局下发3.4 关闭危险的服务如果在不使用以下服务的时候，建议将这些服务关闭，防止那些通过这些服务的攻击对设备的影响。1、禁止HDP(Huawei Discovery Protocol)。2、禁止其他的TCP、UDP Small服务。路由器提供一些基于TCP和UDP协议的小服务如：echo、chargen和discard。这些小服务很少被使用，而且容易被攻击者利用来越过包过滤机制。3、禁止Finger、NTP服务。Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的，但是如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他任务出错。4、建议禁止HTTP服务。路由器操作系统支持Http协议进行远端配置和监视，而针对Http的认证就相当于在网络上发送明文且对于Http没有有效的基于挑战或一次性的口令保护，这使得用Http进行管理相当危险。5、禁止BOOTp服务。6、禁止IP Source Routing。7、明确的禁止IP Directed Broadcast。8、禁止IP Classless。9、禁止ICMP协议的IP Unreachables,Redirects,MaskReplies。10、如果没必要则禁止WINS和DNS服务。11、禁止从网络启动和自动从网络下载初始配置文件。12、禁止FTP服务，网络上存在大量的FTP服务，使用不同的用户名和密码进行尝试登录设备，一旦成功登录，就可以对设备的文件系统操作，十分危险。3.5 在使用SNMP协议时候的安全建议在不使用网管的时候，建议关闭SNMP协议。出于SNMPv1/v2协议自身不安全性的考虑，建议尽量使用SNMPv3，除非网管不支持SNMPv3，只能用SNMPv1/v2。在配置SNMPv3时，最好既鉴别又加密，以更有效地加强安全。鉴别协议可通过MD5或SHA，加密协议可通过DES。在SNMP服务中，提供了ACL过滤机制，该机制适用于SNMPv1/v2/v3三个版本，建议通过访问控制列表来限制SNMP的客户端。SNMP服务还提供了视图控制，可用于SNMPv1/v2/v3。建议使用视图来限制用户的访问权限。在配置SNMPv1/v2的community名字时，建议避免使用public、private这样公用的名字。并且在配置community时，将RO和RW的community分开，不要配置成相同的名字。如果不需要RW的权限，则建议不要配置RW的community。3.6 关闭不使用的物理端口为了防止误接设备而引起网络的异常，建议对于不使用的物理端口在配置上将其关闭，防止误接。3.7 保持系统日志的打开华为设备的系统日志会记录设备的运行信息，维护人员做了哪些操作，执行了哪些命令。系统日志建议一直打开，以便于网络异常的时候，查找相关的记录。系统日志缺省向console口、日志缓冲区输出。系统日志可以向Telnet终端和哑终端（monitor）、日志主机（loghost）输出，但需要配置。3.8 注意检查设备的系统时间是否准确为了保证日志时间的准确性，建议定期（每月一次）检查设备的系统时间是否准确，和实际时间误差不超过1分钟。3.9 路由协议采用加密认证现网上已经发现有对BGP的攻击，导致BGP链路异常断链。建议对于现在网络上使用的ISIS、OSPF和BGP路由协议，对报文进行加密认证。由于采用明文验证的时候，会在网络上传播验证密码，并不安全，所以建议使用MD5算法，对于密钥的设置要求足够的强壮。在增加了对于路由协议报文的加密认证会略微增加设备的CPU利用率，由于对于路由协议报文的处理在主控板，而对于数据的转发是由接口板直接处理，所以路由协议增加了对报文的加密验证，不会影响设备的转发。【配置实例】1.1 RIP的认证rip authentication-mode命令rip authentication-mode simple passwordrip authentication-mode md5 key-string stringrip authentication-mode md5 key-id idrip authentication-mode md5 type nonstandard | usual undo rip authentication-mode【视图】接口视图【参数】simple：明文验证方式。password：明文验证关键字。md5：MD5密文验证方式。string：MD5密文验证字。id：MD5密文验证标识符，取值范围为1255。nonstandard：指定MD5密文验证报文使用RFC2082的报文格式（即非标准兼容格式）。若设置了MD5密文验证的关键字，而没有指定MD5密文验证的报文类型，则使用非标准兼容格式，key-id值为1。usual：指定MD5密文验证报文使用通用报文格式。【描述】rip authentication-mode simple命令用来配置RIP-2明文认证字。rip authentication-mode md5 key-string命令用来配置RIP-2 MD5认证的认证字。rip authentication-mode md5 key-id命令用来配置RIP-2 MD5验证标识符。rip authentication-mode md5 type命令用来设定RIP-2 MD5认证的报文格式类型。undo rip authentication-mode命令用来取消对RIP-2的认证。RIP-1不支持验证报文。RIP的验证报文主要有两种类型，明文验证和MD5密文验证。其中，采用MD5密文验证方式时有两种报文格式，一种是在RFC 1723中所描述的，提出的时间较早；另一种在RFC 2082中专门阐述。路由器对这两种报文格式均提供支持，用户可以根据不同的需要自行选择。【举例】！指定接口Interface pos1/0/0使用明文验证，关键字为aaa。Quidway interface pos1/0/0Quid