1、.wd.wd.wd.中國電信安全策略體系文檔 文檔編號: SOC 02-02-003中國電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)路由器設(shè)備安全防護(hù)要求版本號：1.0.0 發(fā)布日期： 中國電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部修訂記錄修訂日期修訂內(nèi)容修訂人目次 TOC o 1-3 h z u HYPERLINK l _Toc302049444前言 PAGEREF _Toc302049444 h 1HYPERLINK l _Toc3020494451引言 PAGEREF _Toc302049445 h 2HYPERLINK l _Toc3020494461.1目的 PAGEREF _Toc302049446 h 2HYPER

2、LINK l _Toc3020494471.2范圍 PAGEREF _Toc302049447 h 2HYPERLINK l _Toc3020494482防護(hù)策略劃分 PAGEREF _Toc302049448 h 3HYPERLINK l _Toc3020494493管理平面防護(hù)策略 PAGEREF _Toc302049449 h 4HYPERLINK l _Toc3020494503.1管理口防護(hù) PAGEREF _Toc302049450 h 4HYPERLINK l _Toc3020494513.2賬號與口令 PAGEREF _Toc302049451 h 4HYPERLINK l _

3、Toc3020494523.3認(rèn)證 PAGEREF _Toc302049452 h 5HYPERLINK l _Toc3020494533.4授權(quán) PAGEREF _Toc302049453 h 5HYPERLINK l _Toc3020494543.5審計(jì) PAGEREF _Toc302049454 h 5HYPERLINK l _Toc3020494553.6遠(yuǎn)程管理 PAGEREF _Toc302049455 h 6HYPERLINK l _Toc3020494563.7SNMP安全 PAGEREF _Toc302049456 h 6HYPERLINK l _Toc3020494573.

4、8系統(tǒng)日志 PAGEREF _Toc302049457 h 6HYPERLINK l _Toc3020494583.9NTP PAGEREF _Toc302049458 h 7HYPERLINK l _Toc3020494593.10banner信息 PAGEREF _Toc302049459 h 7HYPERLINK l _Toc3020494603.11未使用的管理平面服務(wù) PAGEREF _Toc302049460 h 7HYPERLINK l _Toc3020494614數(shù)據(jù)轉(zhuǎn)發(fā)平面防護(hù)策略 PAGEREF _Toc302049461 h 8HYPERLINK l _Toc302049

5、4624.1流量控制 PAGEREF _Toc302049462 h 8HYPERLINK l _Toc3020494634.2典型垃圾流量過濾 PAGEREF _Toc302049463 h 8HYPERLINK l _Toc3020494644.3ToFab PAGEREF _Toc302049464 h 8HYPERLINK l _Toc3020494655控制平面防護(hù)策略 PAGEREF _Toc302049465 h 9HYPERLINK l _Toc3020494665.1ACL控制 PAGEREF _Toc302049466 h 9HYPERLINK l _Toc30204946

6、75.2路由安全防護(hù) PAGEREF _Toc302049467 h 9HYPERLINK l _Toc3020494685.3協(xié)議報文防護(hù) PAGEREF _Toc302049468 h 9HYPERLINK l _Toc3020494695.4引擎防護(hù)策略 PAGEREF _Toc302049469 h 10前 言為進(jìn)一步落實(shí)?中國電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)安全策略總綱?要求，促進(jìn)中國電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)在路由器設(shè)備選型、工程驗(yàn)收以及運(yùn)維階段等環(huán)節(jié)的標(biāo)準(zhǔn)化運(yùn)作，明確路由器設(shè)備必須滿足的 基本安全防護(hù)要求相關(guān)安全防護(hù)要求獨(dú)立于具體廠家，特制定本防護(hù)要求以下簡稱“要求。各省公司可以根據(jù)實(shí)際情況，在本

7、要求的根基上制定相應(yīng)的實(shí)施細(xì)則并具體實(shí)施。本文檔起草單位：中國電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部本文檔解釋單位：中國電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部引言目的為促進(jìn)中國電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)在路由器設(shè)備選型、工程驗(yàn)收以及運(yùn)維階段等環(huán)節(jié)的標(biāo)準(zhǔn)化運(yùn)作，明確路由器設(shè)備必須滿足的 基本安全防護(hù)要求相關(guān)安全防護(hù)要求獨(dú)立于具體廠家，特制定本要求。范圍本要求適用于中國電信的互聯(lián)網(wǎng)與相關(guān)網(wǎng)絡(luò)及系統(tǒng)，主要包括IP承載網(wǎng)，以及承載在其上的各種業(yè)務(wù)網(wǎng)、業(yè)務(wù)平臺和支撐系統(tǒng)。IP承載網(wǎng)包括中國電信ChinaNet、CN2、城域網(wǎng)、DCN等網(wǎng)絡(luò)；業(yè)務(wù)網(wǎng)包括C網(wǎng)分組域、軟交換等；業(yè)務(wù)平臺包括C網(wǎng)業(yè)務(wù)平臺、全球眼、互聯(lián)星空等；支撐系統(tǒng)

8、包括DNS、網(wǎng)管系統(tǒng)、認(rèn)證系統(tǒng)等。防護(hù)策略劃分根據(jù)國內(nèi)外運(yùn)營商網(wǎng)絡(luò)及結(jié)合中國電信的實(shí)際情況，可將路由交換設(shè)備的安全域邏輯劃分為管理平面、控制平面、轉(zhuǎn)發(fā)平面等三大平面，每個平面的具體安全策略不同。具體如下：管理平面：管理平面防護(hù)的主要安全策略是保護(hù)設(shè)備遠(yuǎn)程管理及本地服務(wù)的安全性，降低設(shè)備受到網(wǎng)絡(luò)攻擊或被入侵的可能性。轉(zhuǎn)發(fā)平面：數(shù)據(jù)轉(zhuǎn)發(fā)平面的主要安全策略是對異常流量進(jìn)展控制，防止因網(wǎng)絡(luò)蠕蟲、拒絕服務(wù)攻擊等流量在網(wǎng)絡(luò)中的泛濫，造成網(wǎng)絡(luò)的擁塞或不可用?？刂破矫妫嚎刂破矫娴闹饕踩呗允潜ＷC設(shè)備系統(tǒng)資源的可用性，使得設(shè)備可以正常的實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)、協(xié)議更新。管理平面防護(hù)策略管理平面防護(hù)的主要目的是保護(hù)路由器

9、遠(yuǎn)程管理及本地服務(wù)的安全性，降低路由器受到網(wǎng)絡(luò)攻擊或被入侵的可能性。管理平面防護(hù)的措施主要包括以下幾方面：管理口防護(hù)編號內(nèi)容1設(shè)備應(yīng)關(guān)閉未使用的管理口AUX、或者沒開啟業(yè)務(wù)的端口。2設(shè)備應(yīng)配置console口密碼保護(hù)。賬號與口令本地認(rèn)證編號內(nèi)容1應(yīng)對不同的用戶分配不同的賬號，防止不同用戶間賬號共享。2應(yīng)制止配置與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號；應(yīng)制止使用設(shè)備默認(rèn)賬號與口令并嚴(yán)格控制本地認(rèn)證賬號數(shù)量。3對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備：應(yīng)支持口令長度及復(fù)雜度驗(yàn)證機(jī)制強(qiáng)制要求口令應(yīng)由數(shù)字、大寫字母、小寫字母和特殊符號4類字符構(gòu)成，自動拒絕用戶設(shè)置不符合復(fù)雜度要求的口令。；口令應(yīng)以密文形式存放，并采用

10、安全可靠的單向散列加密算法如md5、sha1等；口令定期更改，最長不得超過90天。認(rèn)證服務(wù)器認(rèn)證去掉編號內(nèi)容1建議使用動態(tài)口令認(rèn)證技術(shù)。2口令定期更改，最長不得超過90天。3應(yīng)為設(shè)備配置用戶 連續(xù)認(rèn)證失敗次數(shù)上限，當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過上限時，設(shè)備自動斷開該用戶賬號的連接，并在一定時間內(nèi)制止該用戶賬號重新認(rèn)證。4設(shè)備應(yīng)通過對用戶組的認(rèn)證實(shí)現(xiàn)對用戶組及組內(nèi)賬號、口令的相關(guān)控制。認(rèn)證編號內(nèi)容1除本地認(rèn)證外，設(shè)備原那么上還應(yīng)通過與認(rèn)證服務(wù)器RADIUS或TACACS服務(wù)器聯(lián)動的方式實(shí)現(xiàn)對用戶的認(rèn)證。授權(quán)編號內(nèi)容1設(shè)備原那么上應(yīng)采用預(yù)定義級別的授權(quán)方法，實(shí)現(xiàn)對不同用戶權(quán)限的控制。2除本地授權(quán)外，設(shè)

11、備原那么上應(yīng)通過與認(rèn)證服務(wù)器RADIUS服務(wù)器或TACACS服務(wù)器聯(lián)動的方式實(shí)現(xiàn)對用戶的授權(quán)。對用戶授權(quán)時，建議采用逐條授權(quán)的方式，盡量防止或減少使用一次性授權(quán)的方式。在AAA上實(shí)現(xiàn)的。看最后廠家填寫結(jié)果，決定是否去掉。3原那么上應(yīng)采用對命令組或命令進(jìn)展授權(quán)的方法，實(shí)現(xiàn)對用戶權(quán)限細(xì)粒度的控制的能力。有兩種方式：本地方式AAA方式重點(diǎn)說明本地方式。記賬編號內(nèi)容1原那么上應(yīng)采用與認(rèn)證服務(wù)器 (RADIUS或TACACS服務(wù)器)聯(lián)動的方式，實(shí)現(xiàn)對用戶本地、AAA兩種登錄日志的記錄和審計(jì)。記錄和審計(jì)范圍應(yīng)包括但不限于：用戶登錄的方式、使用的賬號名、登錄是否成功、登錄時間、以及遠(yuǎn)程登錄時用戶使用的IP地

12、址。2原那么上應(yīng)采用與認(rèn)證服務(wù)器 (RADIUS或TACACS服務(wù)器)聯(lián)動的方式，實(shí)現(xiàn)對用戶操作行為的記錄和審計(jì)，記錄和審計(jì)范圍應(yīng)包括但不限于：賬號創(chuàng)立、刪除和權(quán)限修改，口令修改，設(shè)備配置修改，執(zhí)行操作的行為和操作結(jié)果等。 遠(yuǎn)程管理編號內(nèi)容1應(yīng)配置超時退出。2應(yīng)限制VTY口的數(shù)量，通常情況下VTY口數(shù)量不超過16個。應(yīng)設(shè)定VTY口的防護(hù)策略，防止由于惡意攻擊或者錯誤操作等導(dǎo)致VTY口不可用情況的發(fā)生。如：網(wǎng)管系統(tǒng)盡量采用snmp方式對設(shè)備進(jìn)展操作，防止使用對設(shè)備CPU負(fù)載較大的telnet方式。3對于VTY口訪問的認(rèn)證，應(yīng)采用認(rèn)證服務(wù)器認(rèn)證或者本地認(rèn)證的方式，防止使用VTY口下設(shè)置密碼的方式認(rèn)

13、證。4應(yīng)通過ACL限制可遠(yuǎn)程管理設(shè)備的IP地址段。5建議使用SSH或帶SSH的telnet等加密的遠(yuǎn)程管理方式。SNMP安全編號內(nèi)容1設(shè)備應(yīng)支持并使用V2或V2以上版本的SNMP協(xié)議，對于支持V3版本的設(shè)備局部設(shè)備支持V2，必須使用V3版本SNMP協(xié)議。2應(yīng)對發(fā)起SNMP訪問的源IP地址進(jìn)展限制，并對設(shè)備接收端口進(jìn)展限制。3應(yīng)關(guān)閉未使用的SNMP協(xié)議，盡量不開啟SNMP的RW權(quán)限。4應(yīng)修改SNMP協(xié)議RO和RW的默認(rèn)Community字符串，并設(shè)置復(fù)雜的字符串作為SNMP的Community。5建議支持對SNMP協(xié)議RO、RW的Community字符串的加密存放。系統(tǒng)日志編號內(nèi)容1應(yīng)調(diào)整sys

14、tem log的緩沖區(qū)大小應(yīng)不是默認(rèn)設(shè)置。2應(yīng)設(shè)置發(fā)送system log的源地址為loopback地址。3設(shè)備的System log messages不記錄到控制臺。4應(yīng)具備將指定級別的日志發(fā)送到日志服務(wù)器或其它位置的能力。NTP編號內(nèi)容1應(yīng)開啟NTP，保證設(shè)備日志記錄時間的準(zhǔn)確性。通過ACL對NTP服務(wù)器與設(shè)備間的通信進(jìn)展控制。修訂過banner信息編號內(nèi)容1應(yīng)隱藏設(shè)備缺省的banner信息建議都為空。未使用的管理平面服務(wù)編號內(nèi)容1應(yīng)關(guān)閉設(shè)備上不必要的服務(wù)(如CDP、DNS lookup、DHCP、finger、udp-small-server、tcp-small-server、 、boo

15、tp、IP源路由、PAD等廠家提供缺省應(yīng)關(guān)上的。)數(shù)據(jù)轉(zhuǎn)發(fā)平面防護(hù)策略在數(shù)據(jù)轉(zhuǎn)發(fā)平面的主要安全策略是對異常流量進(jìn)展控制，防止網(wǎng)絡(luò)蠕蟲、拒絕服務(wù)攻擊流量在網(wǎng)絡(luò)中的泛濫，造成網(wǎng)絡(luò)的擁塞或不可用。轉(zhuǎn)發(fā)平面防護(hù)的措施主要包括以下幾個方面：流量控制cisco、huawei、juniper有默認(rèn)配置。其他廠家需要進(jìn)展配置。刪除。編號內(nèi)容1應(yīng)支持NetFlow 采集功能，采集設(shè)備入方向的流量的NetFlow。2設(shè)備應(yīng)通過CAR等技術(shù)對報文進(jìn)展分類，對協(xié)議端口進(jìn)展流量控制。命令復(fù)雜典型垃圾流量過濾編號內(nèi)容1應(yīng)采用uRPF技術(shù)預(yù)防偽造源地址的攻擊。2應(yīng)在相關(guān)接口例如：在ChinaNet網(wǎng)絡(luò)中的C/D 路由器面向

16、城域網(wǎng)、面向IDC 接入的端口、ChinaNet網(wǎng)絡(luò)中X/F/S 路由器面向其他運(yùn)營商接入的端口上采用分組過濾技術(shù)拒絕目的地址是私有地址、組播地址或者其他保存地址的非法數(shù)據(jù)流。3應(yīng)在相關(guān)路由器上使用白名單方式，對網(wǎng)絡(luò)間的訪問進(jìn)展合理控制。例如：CN2網(wǎng)絡(luò)中，在X/F路由器上使用白名單方式限制國外運(yùn)營商地址對CN2網(wǎng)絡(luò)及設(shè)備地址的訪問等4應(yīng)合理的拒絕ICMP分片報文。5屏蔽不使用的端口。ToFab編號內(nèi)容1應(yīng)通過相關(guān)配置，防止ToFab方向的矩陣緩沖區(qū)耗盡導(dǎo)致的協(xié)議數(shù)據(jù)和轉(zhuǎn)發(fā)流量異?？刂破矫娣雷o(hù)策略控制平面防護(hù)的主要目的是對進(jìn)出路由器自身流量進(jìn)展控制，防止惡意流量或錯誤配置、軟件bug和其它原因

17、產(chǎn)生的泛洪流量，引起設(shè)備引擎過載，而導(dǎo)致設(shè)備數(shù)據(jù)轉(zhuǎn)發(fā)性能下降或不可用事件發(fā)生?？刂破矫娣雷o(hù)的措施主要包括以下幾個方面：ACL控制編號內(nèi)容1應(yīng)使用合理的ACL或其它分組過濾技術(shù)，對設(shè)備控制流量、管理流量及其它由路由器引擎直接處理的流量如traceroute、ICMP流量進(jìn)展控制，實(shí)現(xiàn)對路由器引擎的保護(hù)。路由安全防護(hù)編號內(nèi)容1應(yīng)部署適當(dāng)?shù)穆酚砂踩呗裕乐乖O(shè)備發(fā)布或接收不安全的路由信息。如：開啟動態(tài)路由協(xié)議認(rèn)證功能且認(rèn)證口令采用MD5加密、使用ip prefix-list 過濾缺省和私有路由、設(shè)置最大路由條目限制、嚴(yán)格限制BGP PEER的源地址等2應(yīng)部署適當(dāng)?shù)穆酚砂踩呗? 保障整個網(wǎng)絡(luò)路由層面的穩(wěn)定性和可控性。(如：對接收的eBGP 路由AS-PATH 長度進(jìn)展一定限制、啟用BGP TTL security check功能防御路由震蕩攻擊、采用BGP協(xié)議作為EGP協(xié)議時，應(yīng)使用Route flap damping功能防止路由風(fēng)暴等)3啟用LDP標(biāo)簽分發(fā)協(xié)議時，應(yīng)合理使用LDP協(xié)議認(rèn)證及加密功能，確保與可信方進(jìn)展LDP協(xié)議交互。協(xié)議報文