1、中國電信chinanet網(wǎng)絡(luò)及省內(nèi)相關(guān)互聯(lián)網(wǎng)絡(luò)安全加固配置要求（修訂）中國電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部二零一零年三月目錄1概述12chinanet網(wǎng)絡(luò)設(shè)備安全加固策略12.1c/d路由器安全加固策略12.1.1數(shù)據(jù)平面安全加固策略12.1.2控制層面安全加固策略32.1.3管理層面安全加固策略62.2e路由器安全加固策略82.2.1數(shù)據(jù)平面安全加固策略82.2.2控制層面安全加固策略92.2.3管理層面安全加固策略112.3x/f路由器安全加固策略122.3.1數(shù)據(jù)平面安全加固策略122.3.2控制層面安全加固策略142.3.3管理層面安全加固策略152.4i路由器安全加固策略172.4.1

2、數(shù)據(jù)平面安全加固策略172.4.2控制層面安全加固策略172.4.3管理層面安全加固策略182.5其它省管設(shè)備安全加固策略192.5.1s路由器安全加固策略192.6rr路由器安全加固策略232.6.1數(shù)據(jù)平面安全加固策略232.6.2控制層面安全加固策略242.6.3管理層面安全加固策略243省內(nèi)互聯(lián)網(wǎng)絡(luò)安全加固策略263.1城域網(wǎng)安全加固策略263.1.1城域網(wǎng)出口路由器安全加固策略263.1.2其它設(shè)備安全加固策略293.2idc網(wǎng)絡(luò)安全加固策略323.2.1數(shù)據(jù)層面安全加固策略323.2.2控制層面安全加固策略323.2.3管理層面安全加固策略配置要求331 概述隨著中國電信寬帶互聯(lián)網(wǎng)

3、業(yè)務(wù)的不斷發(fā)展，chinanet網(wǎng)絡(luò)承載的用戶業(yè)務(wù)量越來越大，對于chinanet網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行不斷提出了新的需求。在網(wǎng)絡(luò)安全問題日漸突出的情況下，chinanet網(wǎng)絡(luò)必須提供一個(gè)有效的安全結(jié)構(gòu)，以適應(yīng)今后chinanet網(wǎng)絡(luò)的可持續(xù)，可監(jiān)控性發(fā)展的需要。根據(jù)目前chinanet網(wǎng)絡(luò)的結(jié)構(gòu)和業(yè)務(wù)運(yùn)行的實(shí)際情況，chinanet網(wǎng)絡(luò)的安全防護(hù)主要針對以下幾個(gè)層面進(jìn)行： 數(shù)據(jù)平面：數(shù)據(jù)層面承載了chinanet網(wǎng)絡(luò)的主要流量，主要對基礎(chǔ)設(shè)施訪問進(jìn)行控制、對典型的病毒、垃圾流量進(jìn)行控制； 控制平面：用于創(chuàng)建和維護(hù)網(wǎng)絡(luò)狀態(tài)和路由接口信息（路由、信令，鏈路狀態(tài)），由chinanet各類設(shè)備產(chǎn)生和處理

4、； 管理平面：用于訪問、管理和監(jiān)視所有網(wǎng)絡(luò)元素的流量。2 chinanet網(wǎng)絡(luò)設(shè)備安全加固策略2.1 c/d路由器安全加固策略 隨著網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整，c、d路由器主要與城域網(wǎng)和idc互聯(lián)（目前還存在少數(shù)as4134中尚未下放至城域網(wǎng)的a路由器，如果未能盡快下放要參照d路由器進(jìn)行加固）。2.1.1 數(shù)據(jù)平面安全加固策略1、關(guān)閉ip選項(xiàng)ip數(shù)據(jù)平面中的ip選項(xiàng)功能一般在特定情況中需要應(yīng)用，但對于多數(shù)常見的ip通信則不是必須的。由于ip選項(xiàng)導(dǎo)致ip數(shù)據(jù)包的可變長度和復(fù)雜處理的需要，具有ip選項(xiàng)的數(shù)據(jù)包會通過數(shù)據(jù)平面轉(zhuǎn)發(fā)的慢速路徑進(jìn)行處理，在chinanet骨干網(wǎng)中，不需要也沒有必要對ip選項(xiàng)進(jìn)行處理，因

5、此，應(yīng)該禁用ip選項(xiàng)技術(shù)。注：如chinanet骨干網(wǎng)以后需要部署mpls/te、ip multicast等網(wǎng)絡(luò)特征，則需重新開啟ip選項(xiàng)功能。2、關(guān)閉ip直接廣播ip直接廣播是其目的地址是一個(gè)ip子網(wǎng)（或網(wǎng)絡(luò)）的一個(gè)有效廣播地址的數(shù)據(jù)包，該子網(wǎng)（或網(wǎng)絡(luò)）是來自源地址的一個(gè)或多個(gè)路由器。ip直接廣播運(yùn)行ip廣播進(jìn)行遠(yuǎn)程傳輸，這就為dos攻擊提供了一定的條件，在chinanet網(wǎng)絡(luò)中，應(yīng)該禁止ip直接廣播。3、部署遠(yuǎn)程觸發(fā)黑洞過濾通過結(jié)合bgp路由協(xié)議，使用黑洞路由技術(shù)可以對攻擊觸發(fā)整個(gè)網(wǎng)絡(luò)范圍內(nèi)的響應(yīng)。利用bgp的路由部署特性，可以對網(wǎng)絡(luò)的攻擊在整個(gè)chinanet網(wǎng)絡(luò)范圍得到防護(hù)。遠(yuǎn)程觸發(fā)黑

6、洞過濾技術(shù)（remote blackhole，rtbh）的缺點(diǎn)是丟失了所有到達(dá)目標(biāo)的流量-包括攻擊流量和合法流量。為保護(hù)受攻擊的對象（通常是idc中的部分主機(jī)服務(wù)器或者是政企客戶），集團(tuán)在在上海部署了的blackhole trigger路由器，用來發(fā)布blackhole的路由，并設(shè)定其發(fā)布community 為4134:666，在rr上修改該路由的next-hop為，另外設(shè)定靜態(tài)路由ip route static 55 null0。從而在chinanet范圍內(nèi)任何路由器上，凡是有流量到達(dá)這些被防護(hù)的主機(jī)地址，均被丟棄，從而實(shí)

7、現(xiàn)了對業(yè)務(wù)主機(jī)的保護(hù)。4、典型垃圾流量過濾在c/d路由器的外部接口上，如連接城域網(wǎng)、idc互聯(lián)網(wǎng)接口，對進(jìn)入chinanet區(qū)域的數(shù)據(jù)流量進(jìn)行過濾，通過使用接口acl技術(shù)，可以有效的阻止一些有害的流量進(jìn)入chinanet。需要在外部接口上阻止的流量主要有以下幾類： 常見及危害程度較大的病毒、木馬端口，主要如下：禁止如下端口udp流量：deny udp any any eq 1434 /sql worm病毒端口deny udp any any eq 1433 /sql worm病毒端口deny udp any any eq 1027-1028 /灰鴿子木馬端口deny udp any any e

8、q 135-139 /禁止netbios端口deny udp any any eq netbios-ss /禁止netbios端口deny udp any any eq 445 /禁止netbios端口禁止如下端口的tcp流量： deny tcp any any eq 4444 /沖擊波病毒端口 deny tcp any any eq 445 /傳送沖擊波病毒端口deny tcp any any eq 5554 /沖擊波病毒端口，在感染“震蕩波”病毒后會通過5554端口向其他感染的計(jì)算機(jī)傳送蠕蟲病毒 過濾rfc定義的私有地址、組播地址數(shù)據(jù)流在所有c/d路由器面向城域網(wǎng)、面向idc接入的端口上采

9、用分組過濾技術(shù)拒絕目的地址明顯非法的數(shù)據(jù)包，如127.*.*.*，10.*.*.*，172.16-31.*.*，192.*.*.*等不應(yīng)出現(xiàn)在公網(wǎng)上的數(shù)據(jù)包。deny ip 55 any /loopbackdeny ip 55 any /rfc 1918deny ip 55 any deny ip 55 any deny ip 55 any /link local reserveddeny

10、 ip 55 any /filter out any traffic with a source ip in the multicast or experimental rangedeny icmp any any fragments /drop all icmp fragments，以防范ddos攻擊；目標(biāo)為chinanet網(wǎng)絡(luò)自用地址的數(shù)據(jù)流permit tcp any 55 eq bgp /放開179端口，允許bgp；如要嚴(yán)格控制，則any使用地址段取代；permit ip x.x.x.x y.y.y.y

11、 55 /在面向集團(tuán)網(wǎng)管接入的接口，x.x.x.x y.y.y.y為集團(tuán)管網(wǎng)段；在面向省網(wǎng)管接入的接口，x.x.x.x y.y.y.y為省網(wǎng)管網(wǎng)段；permit udp a.a.a.a b.b.b.b 55 /在面向城域網(wǎng)的接口，允許城域網(wǎng)設(shè)備loopback地址段對chinanet骨干設(shè)備的訪問，其中a.a.a.a b.b.b.b為城域網(wǎng)設(shè)備的loopback地址網(wǎng)段，需要各省上報(bào)集團(tuán)；deny ip any 55 /面向城域網(wǎng)的接口，過濾直接訪問163骨干設(shè)備的地址。de

12、ny ip any 55 /面向城域網(wǎng)的接口，阻止城域網(wǎng)通過163訪問cn2設(shè)備網(wǎng)段permit ip any any /允許其它訪問2.1.2 控制層面安全加固策略1、isis安全防護(hù)為了防止非法用戶通過和chinanet路由器建立isis鄰居，向cn2網(wǎng)絡(luò)產(chǎn)生虛假路由，可同時(shí)導(dǎo)致igp路由表劇增和全網(wǎng)流量的尋路混亂，保護(hù)isis協(xié)議免受非法用戶的攻擊。在chinanet路由器與城域網(wǎng)、idc網(wǎng)絡(luò)互聯(lián)接口禁止isis協(xié)議（含其它igp路由協(xié)議）運(yùn)行。此外，為了保障isis路由協(xié)議的穩(wěn)定和更好的管理，需要對chinanet網(wǎng)絡(luò)isis協(xié)議確定一個(gè)較大的缺省

13、metric值，目前該值暫定100000。2、bgp安全防護(hù)bgp作為chinanet網(wǎng)絡(luò)的主要外部協(xié)議，是外部攻擊的常見目標(biāo)，也非常容易受外部攻擊的影響，而igp和其它內(nèi)部控制協(xié)議不易受外部攻擊影響。由于bgp協(xié)議配置的靈活性和復(fù)雜性，bgp的一個(gè)主要安全隱患是由于誤配置而無意觸發(fā)的dos事件或安全性事件，這樣會直接嚴(yán)重影響chinanet網(wǎng)絡(luò)的穩(wěn)定性，因此需要考慮部署特定于bgp的保護(hù)機(jī)制。bgp的保護(hù)機(jī)制主要包含以下幾個(gè)方面：1）bgp前綴過濾機(jī)制 對chinanet骨干網(wǎng)絡(luò)而言，在c/d路由器上，需要對城域網(wǎng)及idc廣播的 bgp路由進(jìn)行匹配過濾，具體策略如下： 對于使用私有as的城域

14、網(wǎng)和idc，僅在面向rr的ibgp peer的播出策略上針對城域網(wǎng)及idc發(fā)送過來的路由使用本省的匯總路由進(jìn)行模糊匹配過濾，原則上只向rr發(fā)送掩碼為/24或以內(nèi)（指/23、/22、/21.等路由）的路由，如：ip prefix-list filter 10 permit /16 le 21。對于不符合以上條件的路由使用嚴(yán)格匹配進(jìn)行過濾。如：存在/25的路由，則需要進(jìn)行嚴(yán)格匹配，ip prefix-list filter 20 permit 28/25。 對使用公有as的城域網(wǎng)和idc（北京、上海城域網(wǎng)除外），在ebgp peer上使用as-path

15、嚴(yán)格匹配城域網(wǎng)及idc廣播的路由，并使用ip prefix-list過濾缺省和私有路由。同時(shí)，在面向rr的ibgp peer的播出策略上針對城域網(wǎng)及idc發(fā)送過來的路由使用本省及跨省互聯(lián)城域網(wǎng)（如重慶）的匯總路由進(jìn)行模糊匹配過濾，原則上只向rr發(fā)送掩碼為/24或以內(nèi)（指/23、/22、/21.等路由）的路由，對于不符合以上條件的路由使用嚴(yán)格匹配進(jìn)行過濾。 對于北京城域網(wǎng)及北京idc，在ebgp peer上使用as-path嚴(yán)格匹配城域網(wǎng)及idc廣播的路由，并使用ip prefix-list過濾缺省和私有路由。 對于上海城域網(wǎng)，在ebgp peer上使用as-path嚴(yán)格匹配城域網(wǎng)及idc廣播的

16、路由，并使用ip prefix-list過濾缺省和私有路由。對于上海城域網(wǎng)跨省接入的c路由器，在上海城域網(wǎng)跨省接入的c路由器上部署面向rr的ibgp peer策略時(shí)，需通過匹配community的方式向rr首先宣告上海城域網(wǎng)的路由，然后再采取其他策略。 向城域網(wǎng)和idc的ebgp發(fā)送策略：chinanet骨干發(fā)送路由給城域網(wǎng)時(shí)，除需要接收全球互聯(lián)網(wǎng)internet路由的城域網(wǎng)外，對于其它城域網(wǎng)原則上通過community方式發(fā)送國內(nèi)互聯(lián)網(wǎng)路由（包含中國電信及中國其它運(yùn)營商的ip 路由）和缺省路由。 在接收城域網(wǎng)和idc的路由時(shí)原則上不做路由條目的限制。2）bgp前綴匯總要求 為便于向國際運(yùn)營商

17、發(fā)布中國電信的ip路由，在c/d路由器對按省對省內(nèi)城域網(wǎng)的路由進(jìn)行匯總。 對于有公有as的城域網(wǎng)，由城域網(wǎng)進(jìn)行路由匯總，要求同上。 匯總路由的掩碼原則上應(yīng)大于/21。3）as-path長度的要求為了保障整個(gè)chinanet網(wǎng)絡(luò)路由層面的穩(wěn)定性和可控性，需要對接收的ebgp路由as-path長度進(jìn)行一定限制。c/d路由器與城域網(wǎng)、idc互聯(lián)接收的ebgp路由as-path長度不超過8。4）ebgp鄰居安全保障為了保障整個(gè)chinanet網(wǎng)絡(luò)路由層面的穩(wěn)定性和可控性，對于非直接電路連接的ebgp互聯(lián)，應(yīng)通過md5認(rèn)證的方式進(jìn)行ebgp鄰居關(guān)系的建立。主要在與以下網(wǎng)絡(luò)互聯(lián)時(shí)實(shí)施： 城域網(wǎng)、idc互聯(lián)

18、； 與isp或大型政企用戶網(wǎng)絡(luò)互聯(lián)。5）ttl安全檢查對于多跳ebgp互聯(lián)鄰居，為避免路由震蕩和攻擊，在可確定跳數(shù)的情況下，應(yīng)啟用bgp ttl security check功能，如chinanet與城域網(wǎng)兩路由器之間多鏈路互聯(lián)時(shí)，使用loopback地址實(shí)現(xiàn)ebgp multihop互聯(lián)。 3、關(guān)閉控制平面未使用的服務(wù)按照網(wǎng)絡(luò)安全的基本要求，在網(wǎng)絡(luò)中的每個(gè)設(shè)備上需要禁用未使用的設(shè)備和協(xié)議，因此在chinanet網(wǎng)絡(luò)設(shè)備上，需要禁止以下不使用的協(xié)議： 代理arp（no ip proxy-arp） ip源路由（no ip source-route）4、控制引擎防護(hù)為實(shí)現(xiàn)對路由器控制引擎的防護(hù)，在

19、c/d路由器上應(yīng)使用racl和copp等類似技術(shù)部署引擎防護(hù)策略，增強(qiáng)設(shè)備本身的安全性，具體配置見安全加固配置模板。2.1.3 管理層面安全加固策略1、禁用未使用的管理平面服務(wù)對于chinanet網(wǎng)絡(luò)設(shè)備不經(jīng)?；虿皇褂玫墓芾砥矫娣?wù)，需要在設(shè)備上強(qiáng)制進(jìn)行關(guān)閉，目前需要關(guān)閉的服務(wù)有：bootp，cdp，dhcp，dns lookup，小tcp/udp服務(wù)，http服務(wù)。以cisco為例如下：no service tcp-small-serversno service udp-small-serversno ip fingerno service fingerno ip http serverno

20、 cdp enableno bootp server 2、密碼安全用于控制或限制設(shè)備的終端訪問的秘密保護(hù)的使用時(shí)設(shè)備安全的基本元素，同時(shí)，需要保證在設(shè)備配置文件中，不能存在密碼的明文，因此，需要在設(shè)備上啟用密碼加密機(jī)制，該機(jī)制配置示例如下（cisco ios）：service password-encryption3、snmp安全snmp協(xié)議方便了網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理。snmp在snmp管理器和snmp代理之間進(jìn)行操作。chinanet網(wǎng)絡(luò)設(shè)備目前已經(jīng)全面配置snmp，因此為了保障snmp安全可靠的工作，需要進(jìn)行以下安全保護(hù)： snmp community snmp acl：嚴(yán)格限制對設(shè)備snm

21、p進(jìn)程訪問的源ip地址，目前應(yīng)該只允許集團(tuán)和省級chinanet網(wǎng)絡(luò)管理地址段對設(shè)備的snmp進(jìn)程進(jìn)行訪問。4、遠(yuǎn)程終端訪問安全作為目前chinanet網(wǎng)絡(luò)設(shè)備管理和控制的首要機(jī)制，遠(yuǎn)程終端訪問的安全性必須要得到較大的保障。目前可以通過以下機(jī)制實(shí)現(xiàn)： 通過aaa控制對chinanet網(wǎng)絡(luò)設(shè)備的訪問，并根據(jù)不同的操作級別授予相應(yīng)的操作權(quán)限，并做到對設(shè)備訪問的實(shí)名制，以便于安全隱患的排查和跟蹤。 由于telnet協(xié)議在終端與設(shè)備之間采用非加密通信，應(yīng)該嚴(yán)格限制使用telnet協(xié)議對chinanet網(wǎng)絡(luò)設(shè)備的訪問，除chinanet網(wǎng)絡(luò)網(wǎng)管地址所必須的telnet訪問外，禁止任何其他方式的telne

22、t訪問。 對于需要通過遠(yuǎn)程終端對chinanet網(wǎng)絡(luò)設(shè)備進(jìn)行管理和控制的人員，應(yīng)該首先采用ssh協(xié)議或者vpn方式（如ipsec）登錄到網(wǎng)管中心，然后通過網(wǎng)管中心作為跳板進(jìn)行telnet訪問chinanet設(shè)備。5、syslog安全為了對chinanet網(wǎng)絡(luò)安全事件進(jìn)行跟蹤和問題排查，需要在chinanet網(wǎng)絡(luò)設(shè)備上配置syslog服務(wù)，將設(shè)備產(chǎn)生的log信息發(fā)送至syslog server，同時(shí)為了保障syslog信息的安全性，必須嚴(yán)格限制syslog發(fā)送的目的設(shè)備。如果省內(nèi)需要從c/d路由器采集syslog數(shù)據(jù)，只能配置一個(gè)省內(nèi)采集系統(tǒng)地址，省內(nèi)其他系統(tǒng)再有需求，不直接從c/d路由器取。6

23、、ntp部署為了更好的跟蹤和分析chinanet網(wǎng)絡(luò)安全事件，需要在chinanet網(wǎng)絡(luò)設(shè)備上配置ntp，以提供一致的時(shí)間便于事件的分析。chinanet網(wǎng)內(nèi)的設(shè)備統(tǒng)一使用cn2的上海、廣州和武漢的ntp server做為主備ntp server，chinanet從京滬穗與cn2的互聯(lián)點(diǎn)接收ntp server的路由，為保證安全性，cn2的ntp server路由僅在chinanet網(wǎng)內(nèi)有效。同時(shí)，對于沒有接入ntp server的城域網(wǎng)，可以選取所在省的c/d設(shè)備做為城域網(wǎng)設(shè)備的ntp server,為保證安全性，在ntp server上需通過acl方式對ntp client進(jìn)行接入限制。7

24、、開啟netflow數(shù)據(jù)采集為了便于對全網(wǎng)的流量進(jìn)行分析，以確定安全問題的類型，建立相應(yīng)的處理機(jī)制，需要對全網(wǎng)的數(shù)據(jù)流量通過netflow進(jìn)行采集和分析。在c/d路由器開啟netflow功能采集功能，采集入方向的流量的netflow數(shù)據(jù)，數(shù)據(jù)采集的比例為5000：1，netflow數(shù)據(jù)向集團(tuán)網(wǎng)管數(shù)據(jù)采集設(shè)備發(fā)送；如果省內(nèi)需要從c/d路由器采集netflow數(shù)據(jù)，只能配置一個(gè)省內(nèi)采集系統(tǒng)地址，省內(nèi)其他系統(tǒng)再有需求，不直接從c/d路由器取。2.2 e路由器安全加固策略2.2.1 數(shù)據(jù)平面安全加固策略1、關(guān)閉ip選項(xiàng)ip數(shù)據(jù)平面中的ip選項(xiàng)功能一般在特定情況中需要應(yīng)用，但對于多數(shù)常見的ip通信則不是

25、必須的，因此，在e路由器禁用ip選項(xiàng)技術(shù)。注：如chinanet骨干網(wǎng)以后需要部署mpls/te、ip multicast等網(wǎng)絡(luò)特征，則需重新開啟ip選項(xiàng)功能。2、關(guān)閉ip直接廣播ip直接廣播運(yùn)行ip廣播進(jìn)行遠(yuǎn)程傳輸，這就為dos攻擊提供了一定的條件，因此在e路由器禁止ip直接廣播。3、部署遠(yuǎn)程觸發(fā)黑洞過濾為保護(hù)受攻擊的對象（通常是idc中的部分主機(jī)服務(wù)器或者是政企客戶），集團(tuán)在在上海部署了的blackhole trigger路由器，用來發(fā)布blackhole的路由，并設(shè)定其發(fā)布community 為4134:666，在rr上修改該路由的next-hop為，另外設(shè)定靜態(tài)路

26、由ip route static 55 null0。因此在e路由器凡是有流量到達(dá)這些被防護(hù)的主機(jī)地址，均被丟棄，從而實(shí)現(xiàn)了對業(yè)務(wù)主機(jī)的保護(hù)。4、典型垃圾流量過濾在e路由器的外部接口上，如國內(nèi)isp用戶接口，對進(jìn)入chinanet區(qū)域的數(shù)據(jù)流量進(jìn)行過濾，通過使用接口acl技術(shù)，可以有效的阻止一些有害的流量進(jìn)入chinanet。需要在外部接口上阻止的流量主要有以下幾類： 常見及危害程度較大的病毒、木馬端口，主要如下：禁止如下端口udp流量：deny udp any any eq 1434 /sql worm病毒端口deny udp any any e

27、q 1433 /sql worm病毒端口deny udp any any eq 1027-1028 /灰鴿子木馬端口deny udp any any eq 135-139 /禁止netbios端口deny udp any any eq netbios-ss /禁止netbios端口deny udp any any eq 445 /禁止netbios端口禁止如下端口的tcp流量： deny tcp any any eq 4444 /沖擊波病毒端口 deny tcp any any eq 445 /傳送沖擊波病毒端口deny tcp any any eq 5554 /沖擊波病毒端口，在感染“震蕩波

28、”病毒后會通過5554端口向其他感染的計(jì)算機(jī)傳送蠕蟲病毒 過濾rfc定義的私有地址、組播地址數(shù)據(jù)流在所有e路由器面向isp接入的端口上采用分組過濾技術(shù)拒絕目的地址明顯非法的數(shù)據(jù)包，如127.*.*.*，10.*.*.*，172.16-31.*.*，192.*.*.*等不應(yīng)出現(xiàn)在公網(wǎng)上的數(shù)據(jù)包。deny ip 55 any /loopbackdeny ip 55 any /rfc 1918deny ip 55 any deny ip 0.0.255.

29、255 any deny ip 55 any /link local reserveddeny ip 55 any /filter out any traffic with a source ip in the multicast or experimental rangedeny icmp any any fragments /drop all icmp fragments，以防范ddos攻擊；目標(biāo)為chinanet網(wǎng)絡(luò)自用地址的數(shù)據(jù)流permit tcp any 5

30、5 eq bgp /放開179端口，允許bgp；如要嚴(yán)格控制，則any使用地址段取代；deny ip any 55 /面向isp互聯(lián)的接口，過濾直接訪問163骨干設(shè)備的地址。deny ip any 55 /阻止isp通過163訪問cn2設(shè)備網(wǎng)段permit ip any any /允許其它訪問2.2.2 控制層面安全加固策略1、isis安全防護(hù)在chinanet e路由器與其它運(yùn)營商互聯(lián)接口禁止isis協(xié)議（含其它igp路由協(xié)議）運(yùn)行。此外，為了保障isis路由協(xié)議的穩(wěn)定和更好的管理，需要對chinanet網(wǎng)絡(luò)isi

31、s協(xié)議確定一個(gè)較大的缺省metric值，目前該值暫定100000。2、bgp安全防護(hù)bgp的保護(hù)機(jī)制主要包含以下幾個(gè)方面：1）bgp前綴過濾機(jī)制 e路由器接收customer（國內(nèi)客戶）路由的策略：使用ip prefix模糊匹配，原則上只接收掩碼為/24或以內(nèi)（指/24、/23、/22.等路由）的路由； e路由器接收peer（國內(nèi)運(yùn)營商）路由的策略：對于接收的路由采取as-path嚴(yán)格匹配策略，并使用ip prefix-list過濾缺省和私有路由。同時(shí)，設(shè)置最大路由條目限制。路由條目限制策略如下： 接收路由0-100，設(shè)置接收的最大路由限制為1000； 接收路由101-500，設(shè)置接收的最大路

32、由限制為2000； 接收路由501-1000，設(shè)置接收的最大路由限制為3000； 接收路由1001-5000，設(shè)置接收的最大路由限制為接收路由的3倍； 接收路由5001-10000，設(shè)置接收的最大路由限制為接收路由的2倍； 接收路由10000以上，設(shè)置接收的最大路由限制為接收路由的1.5倍。2）as-path控制 e路由器接收的國內(nèi)isp運(yùn)營商ebgp路由as-path長度不超過8；3）ebgp鄰居安全保障為了保障整個(gè)chinanet網(wǎng)絡(luò)路由層面的穩(wěn)定性和可控性，需要： 與isp互聯(lián)，原則上使用直連接口地址建立ebgp鄰居關(guān)系； 如的確需要與isp采用多跳互聯(lián)，優(yōu)先選擇通過md5認(rèn)證的方式建立

33、ebgp鄰居關(guān)系。 3、關(guān)閉控制平面未使用的服務(wù)在e路由器設(shè)備上，需要禁止以下不使用的協(xié)議： 代理arp（no ip proxy-arp） ip源路由（no ip source-route）4、控制引擎防護(hù)為實(shí)現(xiàn)對路由器控制引擎的防護(hù)，在c/d路由器上應(yīng)使用racl和copp等類似技術(shù)部署引擎防護(hù)策略，增強(qiáng)設(shè)備本身的安全性，具體配置見安全加固配置模板。2.2.3 管理層面安全加固策略1、禁用未使用的管理平面服務(wù)目前需要關(guān)閉的服務(wù)有：bootp，cdp，dhcp，dns lookup，小tcp/udp服務(wù)，http服務(wù)。以cisco為例如下：no service tcp-small-server

34、sno service udp-small-serversno ip fingerno service fingerno ip http serverno cdp enableno bootp server 2、密碼安全在e路由器設(shè)備上啟用密碼加密機(jī)制，該機(jī)制配置示例如下（cisco ios）：service password-encryption3、snmp安全在e路由器實(shí)施如下snmp安全保護(hù)： snmp community snmp acl：嚴(yán)格限制對設(shè)備snmp進(jìn)程訪問的源ip地址，目前應(yīng)該只允許集團(tuán)chinanet網(wǎng)絡(luò)管理地址段對設(shè)備的snmp進(jìn)程進(jìn)行訪問。4、遠(yuǎn)程終端訪問安全遠(yuǎn)程終

35、端訪問的安全性目前可以通過以下機(jī)制實(shí)現(xiàn)： 通過aaa控制對chinanet網(wǎng)絡(luò)設(shè)備的訪問，并根據(jù)不同的操作級別授予相應(yīng)的操作權(quán)限，并做到對設(shè)備訪問的實(shí)名制，以便于安全隱患的排查和跟蹤。 由于telnet協(xié)議在終端與設(shè)備之間采用非加密通信，應(yīng)該嚴(yán)格限制使用telnet協(xié)議對chinanet網(wǎng)絡(luò)設(shè)備的訪問，除chinanet網(wǎng)絡(luò)網(wǎng)管地址所必須的telnet訪問外，禁止任何其他方式的telnet訪問。 對于需要通過遠(yuǎn)程終端對chinanet網(wǎng)絡(luò)設(shè)備進(jìn)行管理和控制的人員，應(yīng)該首先采用ssh協(xié)議或者vpn方式（如ipsec）登錄到網(wǎng)管中心，然后通過網(wǎng)管中心作為跳板進(jìn)行telnet訪問chinanet設(shè)備

36、。5、syslog安全將e路由器設(shè)備產(chǎn)生的log信息發(fā)送至syslog server，同時(shí)為了保障syslog信息的安全性，必須嚴(yán)格限制syslog發(fā)送的目的設(shè)備。6、ntp部署與ntp server互聯(lián)，實(shí)現(xiàn)時(shí)間同步。7、netflow數(shù)據(jù)采集 根據(jù)需要開啟netflow功能。2.3 x/f路由器安全加固策略2.3.1 數(shù)據(jù)平面安全加固策略1、關(guān)閉ip選項(xiàng)ip數(shù)據(jù)平面中的ip選項(xiàng)功能一般在特定情況中需要應(yīng)用，但對于多數(shù)常見的ip通信則不是必須的，因此，在x/f路由器禁用ip選項(xiàng)技術(shù)。注：如chinanet骨干網(wǎng)以后需要部署mpls/te、ip multicast等網(wǎng)絡(luò)特征，則需重新開啟ip選

37、項(xiàng)功能。2、關(guān)閉ip直接廣播ip直接廣播運(yùn)行ip廣播進(jìn)行遠(yuǎn)程傳輸，這就為dos攻擊提供了一定的條件，因此在x/f路由器禁止ip直接廣播。3、部署遠(yuǎn)程觸發(fā)黑洞過濾為保護(hù)受攻擊的對象（通常是idc中的部分主機(jī)服務(wù)器或者是政企客戶），集團(tuán)在在上海部署了的blackhole trigger路由器，用來發(fā)布blackhole的路由，并設(shè)定其發(fā)布community 為4134:666，在rr上修改該路由的next-hop為，另外設(shè)定靜態(tài)路由ip route static 55 null0。因此在x/f路由器凡是有流量到達(dá)這些被防護(hù)的主機(jī)

38、地址，均被丟棄，從而實(shí)現(xiàn)了對業(yè)務(wù)主機(jī)的保護(hù)。4、典型垃圾流量過濾在x/f路由器的外部接口上，如國外isp互聯(lián)接口，對進(jìn)入chinanet區(qū)域的數(shù)據(jù)流量進(jìn)行過濾，通過使用接口acl技術(shù)，可以有效的阻止一些有害的流量進(jìn)入chinanet。需要在外部接口上阻止的流量主要有以下幾類： 常見及危害程度較大的病毒、木馬端口，主要如下：禁止如下端口udp流量：deny udp any any eq 1434 /sql worm病毒端口deny udp any any eq 1433 /sql worm病毒端口deny udp any any eq 1027-1028 /灰鴿子木馬端口deny udp any

39、 any eq 135-139 /禁止netbios端口deny udp any any eq netbios-ss /禁止netbios端口deny udp any any eq 445 /禁止netbios端口禁止如下端口的tcp流量： deny tcp any any eq 4444 /沖擊波病毒端口 deny tcp any any eq 445 /傳送沖擊波病毒端口deny tcp any any eq 5554 /沖擊波病毒端口，在感染“震蕩波”病毒后會通過5554端口向其他感染的計(jì)算機(jī)傳送蠕蟲病毒 過濾rfc定義的私有地址、組播地址數(shù)據(jù)流在所有x/f路由器面向國際isp互聯(lián)的端口

40、上采用分組過濾技術(shù)拒絕目的地址明顯非法的數(shù)據(jù)包，如127.*.*.*，10.*.*.*，172.16-31.*.*，192.*.*.*等不應(yīng)出現(xiàn)在公網(wǎng)上的數(shù)據(jù)包。deny ip 55 any /loopbackdeny ip 55 any /rfc 1918deny ip 55 any deny ip 55 any deny ip 55 any /link local reservedde

41、ny ip 55 any /filter out any traffic with a source ip in the multicast or experimental rangedeny icmp any any fragments /drop all icmp fragments，以防范ddos攻擊；目標(biāo)為chinanet網(wǎng)絡(luò)自用地址的數(shù)據(jù)流permit tcp any 55 eq bgp /放開179端口，允許bgp；如要嚴(yán)格控制，則any使用地址段取代；deny ip any

42、55 /面向isp互聯(lián)的接口，過濾直接訪問163骨干設(shè)備的地址。deny ip any 55 /阻止isp通過163訪問cn2設(shè)備網(wǎng)段permit ip any any /允許其它訪問2.3.2 控制層面安全加固策略1、isis安全防護(hù)在x/f路由器與其它國際運(yùn)營商互聯(lián)接口禁止isis協(xié)議（含其它igp路由協(xié)議）運(yùn)行。此外，為了保障isis路由協(xié)議的穩(wěn)定和更好的管理，需要對chinanet網(wǎng)絡(luò)isis協(xié)議確定一個(gè)較大的缺省metric值，目前該值暫定100000。2、bgp安全防護(hù)bgp的保護(hù)機(jī)制主要包含以下幾個(gè)方面：1）bgp前綴過濾機(jī)

43、制接收方向： x/f路由器接收customer（海外客戶）路由的策略：對于接收的路由采取as-path嚴(yán)格匹配策略，并使用ip prefix-list過濾缺省和私有路由。同時(shí)，設(shè)置最大路由條目限制。路由條目限制策略如下： 接收路由0-100，設(shè)置接收的最大路由限制為1000； 接收路由101-500，設(shè)置接收的最大路由限制為2000； 接收路由501-1000，設(shè)置接收的最大路由限制為3000； 接收路由1001-5000，設(shè)置接收的最大路由限制為接收路由的3倍； 接收路由5001-10000，設(shè)置接收的最大路由限制為接收路由的2倍； 接收路由10000以上，設(shè)置接收的最大路由限制為接收路由的

44、1.5倍。 x/f路由器接收peer（海外運(yùn)營商）路由的策略：對于接收的路由采取as-path嚴(yán)格匹配策略，并使用ip prefix-list過濾缺省和私有路由。同時(shí)，設(shè)置最大路由條目限制。路由條目限制策略如下： 接收路由0-100，設(shè)置接收的最大路由限制為1000； 接收路由101-500，設(shè)置接收的最大路由限制為2000； 接收路由501-1000，設(shè)置接收的最大路由限制為3000； 接收路由1001-5000，設(shè)置接收的最大路由限制為接收路由的3倍； 接收路由5001-10000，設(shè)置接收的最大路由限制為接收路由的2倍； 接收路由10000以上，設(shè)置接收的最大路由限制為接收路由的1.5倍

45、。2）as-path控制 x/f路由器接入的國際下游isp運(yùn)營商客戶，接收的ebgp路由as-path長度不超過8；3）ebgp鄰居安全保障為了保障整個(gè)chinanet網(wǎng)絡(luò)路由層面的穩(wěn)定性和可控性，需要： 與isp互聯(lián)，原則上使用直連接口地址建立ebgp鄰居關(guān)系； 如的確需要與isp采用多跳互聯(lián)，優(yōu)先選擇通過md5認(rèn)證的方式建立ebgp鄰居關(guān)系。 3、關(guān)閉控制平面未使用的服務(wù)在x/f路由器設(shè)備上，需要禁止以下不使用的協(xié)議： 代理arp（no ip proxy-arp） ip源路由（no ip source-route）4、控制引擎防護(hù)為實(shí)現(xiàn)對路由器控制引擎的防護(hù)，在c/d路由器上應(yīng)使用racl

46、和copp等類似技術(shù)部署引擎防護(hù)策略，增強(qiáng)設(shè)備本身的安全性，具體配置見安全加固配置模板。2.3.3 管理層面安全加固策略1、禁用未使用的管理平面服務(wù)目前需要關(guān)閉的服務(wù)有：bootp，cdp，dhcp，dns lookup，小tcp/udp服務(wù)，http服務(wù)。以cisco為例如下：no service tcp-small-serversno service udp-small-serversno ip fingerno service fingerno ip http serverno cdp enableno bootp server 2、密碼安全在x/f路由器設(shè)備上啟用密碼加密機(jī)制，該機(jī)制配

47、置示例如下（cisco ios）：service password-encryption3、snmp安全在x/f路由器實(shí)施如下snmp安全保護(hù)： snmp community snmp acl：嚴(yán)格限制對設(shè)備snmp進(jìn)程訪問的源ip地址，目前應(yīng)該只允許集團(tuán)chinanet網(wǎng)絡(luò)管理地址段（f路由器海外公司可以有snmp采集權(quán)）對設(shè)備的snmp進(jìn)程進(jìn)行訪問。4、遠(yuǎn)程終端訪問安全遠(yuǎn)程終端訪問的安全性目前可以通過以下機(jī)制實(shí)現(xiàn)： 通過aaa控制對chinanet網(wǎng)絡(luò)設(shè)備的訪問，并根據(jù)不同的操作級別授予相應(yīng)的操作權(quán)限，并做到對設(shè)備訪問的實(shí)名制，以便于安全隱患的排查和跟蹤。 由于telnet協(xié)議在終端與設(shè)備

48、之間采用非加密通信，應(yīng)該嚴(yán)格限制使用telnet協(xié)議對chinanet網(wǎng)絡(luò)設(shè)備的訪問，除chinanet網(wǎng)絡(luò)網(wǎng)管地址所必須的telnet訪問外，禁止任何其他方式的telnet訪問。 對于需要通過遠(yuǎn)程終端對chinanet網(wǎng)絡(luò)設(shè)備進(jìn)行管理和控制的人員，應(yīng)該首先采用ssh協(xié)議或者vpn方式（如ipsec）登錄到網(wǎng)管中心，然后通過網(wǎng)管中心作為跳板進(jìn)行telnet訪問chinanet設(shè)備。5、syslog安全將x/f路由器設(shè)備產(chǎn)生的log信息發(fā)送至syslog server，同時(shí)為了保障syslog信息的安全性，必須嚴(yán)格限制syslog發(fā)送的目的設(shè)備。6、ntp部署與 ntp server互聯(lián)，實(shí)現(xiàn)時(shí)

49、間同步。7、netflow數(shù)據(jù)采集 根據(jù)需要開啟netflow功能。2.4 i路由器安全加固策略2.4.1 數(shù)據(jù)平面安全加固策略1、關(guān)閉ip選項(xiàng)ip數(shù)據(jù)平面中的ip選項(xiàng)功能一般在特定情況中需要應(yīng)用，但對于多數(shù)常見的ip通信則不是必須的，因此，在i路由器禁用ip選項(xiàng)技術(shù)。注：如chinanet骨干網(wǎng)以后需要部署mpls/te、ip multicast等網(wǎng)絡(luò)特征，則需重新開啟ip選項(xiàng)功能。2、關(guān)閉ip直接廣播ip直接廣播運(yùn)行ip廣播進(jìn)行遠(yuǎn)程傳輸，這就為dos攻擊提供了一定的條件，因此在i路由器禁止ip直接廣播。2.4.2 控制層面安全加固策略1、isis安全防護(hù)為了保障isis路由協(xié)議的穩(wěn)定和更好

50、的管理，需要對isis協(xié)議確定一個(gè)較大的缺省metric值，目前該值暫定100000。2、bgp安全防護(hù)1）ebgp鄰居安全保障為了保障整個(gè)chinanet網(wǎng)絡(luò)路由層面的穩(wěn)定性和可控性，需要： 與其他路由器互聯(lián)，原則上使用直連接口地址建立ebgp鄰居關(guān)系； 如的確需要與其他路由器采用多跳互聯(lián)，優(yōu)先選擇通過md5認(rèn)證的方式建立ebgp鄰居關(guān)系。 3、關(guān)閉控制平面未使用的服務(wù)在chinanet網(wǎng)絡(luò)設(shè)備rr上，需要禁止以下不使用的協(xié)議： 代理arp（no ip proxy-arp） ip源路由（no ip source-route）4、控制引擎防護(hù)為實(shí)現(xiàn)對路由器控制引擎的防護(hù)，在c/d路由器上應(yīng)使用

51、racl和copp等類似技術(shù)部署引擎防護(hù)策略，增強(qiáng)設(shè)備本身的安全性，具體配置見安全加固配置模板。2.4.3 管理層面安全加固策略1、禁用未使用的管理平面服務(wù)目前需要關(guān)閉的服務(wù)有：bootp，cdp，dhcp，dns lookup，小tcp/udp服務(wù)，http服務(wù)。以cisco為例如下：no service tcp-small-serversno service udp-small-serversno ip fingerno service fingerno ip http serverno cdp enableno bootp server 2、密碼安全在rr路由器設(shè)備上啟用密碼加密機(jī)制，該

52、機(jī)制配置示例如下（cisco ios）：service password-encryption3、snmp安全在rr路由器實(shí)施如下snmp安全保護(hù)： snmp community snmp acl：嚴(yán)格限制對設(shè)備snmp進(jìn)程訪問的源ip地址，目前應(yīng)該只允許集團(tuán)chinanet網(wǎng)絡(luò)管理地址段對設(shè)備的snmp進(jìn)程進(jìn)行訪問。4、遠(yuǎn)程終端訪問安全遠(yuǎn)程終端訪問的安全性目前可以通過以下機(jī)制實(shí)現(xiàn)： 通過aaa控制對chinanet網(wǎng)絡(luò)設(shè)備的訪問，并根據(jù)不同的操作級別授予相應(yīng)的操作權(quán)限，并做到對設(shè)備訪問的實(shí)名制，以便于安全隱患的排查和跟蹤。 由于telnet協(xié)議在終端與設(shè)備之間采用非加密通信，應(yīng)該嚴(yán)格限制使用

53、telnet協(xié)議對網(wǎng)絡(luò)設(shè)備的訪問，除網(wǎng)絡(luò)網(wǎng)管地址所必須的telnet訪問外，禁止任何其他方式的telnet訪問。 對于需要通過遠(yuǎn)程終端對網(wǎng)絡(luò)設(shè)備進(jìn)行管理和控制的人員，應(yīng)該首先采用ssh協(xié)議或者vpn方式（如ipsec）登錄到網(wǎng)管中心，然后通過網(wǎng)管中心作為跳板進(jìn)行telnet訪問網(wǎng)絡(luò)設(shè)備。5、syslog安全將rr路由器設(shè)備產(chǎn)生的log信息發(fā)送至syslog server，同時(shí)為了保障syslog信息的安全性，必須嚴(yán)格限制syslog發(fā)送的目的設(shè)備。6、ntp部署與 ntp server互聯(lián)，實(shí)現(xiàn)時(shí)間同步。7、netflow數(shù)據(jù)采集 根據(jù)需要開啟netflow功能。2.5 其它省管設(shè)備安全加固策

54、略 其它省管設(shè)備，如s路由器作為與isp客戶或者大型政企客戶業(yè)務(wù)接入路由器。2.5.1 s路由器安全加固策略 數(shù)據(jù)層面安全加固策略1、關(guān)閉ip選項(xiàng)ip數(shù)據(jù)平面中的ip選項(xiàng)功能一般在特定情況中需要應(yīng)用，但對于多數(shù)常見的ip通信則不是必須的，因此，在s路由器禁用ip選項(xiàng)技術(shù)。2、關(guān)閉ip直接廣播ip直接廣播運(yùn)行ip廣播進(jìn)行遠(yuǎn)程傳輸，這就為dos攻擊提供了一定的條件，因此在e路由器禁止ip直接廣播。3、部署遠(yuǎn)程觸發(fā)黑洞過濾為保護(hù)受攻擊的對象（通常是idc中的部分主機(jī)服務(wù)器或者是政企客戶），集團(tuán)在在上海部署了的blackhole trigger路由器，用來發(fā)布blackhole的路由，并

55、設(shè)定其發(fā)布community 為4134:666，在rr上修改該路由的next-hop為，另外設(shè)定靜態(tài)路由ip route static 55 null0。因此在s路由器凡是有流量到達(dá)這些被防護(hù)的主機(jī)地址，均被丟棄，從而實(shí)現(xiàn)了對業(yè)務(wù)主機(jī)的保護(hù)。4、典型垃圾流量過濾在s路由器連接用戶的外部接口上，對進(jìn)入chinanet區(qū)域的數(shù)據(jù)流量進(jìn)行過濾，通過使用接口acl技術(shù)，可以有效的阻止一些有害的流量進(jìn)入chinanet。需要在外部接口上阻止的流量主要有以下幾類： 常見及危害程度較大的病毒、木馬端口，主要如下：禁止如下端口udp流量：deny ud