中國(guó)電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)路由器設(shè)備安全防護(hù)要求

1、中國(guó)電信安全策略體系文檔文檔編號(hào) : SOC 02-02-003中國(guó)電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)路由器設(shè)備安全防護(hù)要求版本號(hào)：發(fā)布日期：中國(guó)電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部修訂記錄修訂日期修訂內(nèi)容修訂人目次前言為進(jìn)一步落實(shí)中國(guó)電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)安全策略總綱要求，促進(jìn)中國(guó)電信互聯(lián) 網(wǎng)及相關(guān)網(wǎng)絡(luò)在路由器設(shè)備選型、工程驗(yàn)收以及運(yùn)維階段等環(huán)節(jié)的規(guī)范化運(yùn)作，明確路由 器設(shè)備必須滿足的基本安全防護(hù)要求（相關(guān)安全防護(hù)要求獨(dú)立于具體廠家），特制定本防 護(hù)要求（以下簡(jiǎn)稱“要求”）。各省公司可以根據(jù)實(shí)際情況，在本要求的基礎(chǔ)上制定相應(yīng)的實(shí)施細(xì)則并具體實(shí)施。本文檔起草單位：中國(guó)電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部本文檔解釋單位：中

2、國(guó)電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部1 引言1.1 目的為促進(jìn)中國(guó)電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)在路由器設(shè)備選型、工程驗(yàn)收以及運(yùn)維階段等環(huán)節(jié) 的規(guī)范化運(yùn)作，明確路由器設(shè)備必須滿足的基本安全防護(hù)要求（相關(guān)安全防護(hù)要求獨(dú)立于 具體廠家），特制定本要求。1.2 范圍本要求適用于中國(guó)電信的互聯(lián)網(wǎng)與相關(guān)網(wǎng)絡(luò)及系統(tǒng)，主要包括IP 承載網(wǎng)，以及承載在其上的各種業(yè)務(wù)網(wǎng)、業(yè)務(wù)平臺(tái)和支撐系統(tǒng)。 IP 承載網(wǎng)包括中國(guó)電信 ChinaNet、CN2、城 域網(wǎng)、 DCN 等網(wǎng)絡(luò)；業(yè)務(wù)網(wǎng)包括 C網(wǎng)分組域、軟交換等；業(yè)務(wù)平臺(tái)包括 C網(wǎng)業(yè)務(wù)平臺(tái)、 全球眼、互聯(lián)星空等；支撐系統(tǒng)包括 DNS、網(wǎng)管系統(tǒng)、認(rèn)證系統(tǒng)等。2 防護(hù)策略劃分 根據(jù)國(guó)內(nèi)外

3、運(yùn)營(yíng)商網(wǎng)絡(luò)及結(jié)合中國(guó)電信的實(shí)際情況，可將路由交換設(shè)備的安全域邏輯 劃分為管理平面、控制平面、轉(zhuǎn)發(fā)平面等三大平面，每個(gè)平面的具體安全策略不同。具體 如下：? 管理平面：管理平面防護(hù)的主要安全策略是保護(hù)設(shè)備遠(yuǎn)程管理及本地服務(wù)的安全 性，降低設(shè)備受到網(wǎng)絡(luò)攻擊或被入侵的可能性。? 轉(zhuǎn)發(fā)平面：數(shù)據(jù)轉(zhuǎn)發(fā)平面的主要安全策略是對(duì)異常流量進(jìn)行控制，防止因網(wǎng)絡(luò)蠕 蟲(chóng)、拒絕服務(wù)攻擊等流量在網(wǎng)絡(luò)中的泛濫，造成網(wǎng)絡(luò)的擁塞或不可用。? 控制平面：控制平面的主要安全策略是保證設(shè)備系統(tǒng)資源的可用性，使得設(shè)備可以 正常的實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)、協(xié)議更新。3 管理平面防護(hù)策略管理平面防護(hù)的主要目的是保護(hù)路由器遠(yuǎn)程管理及本地服務(wù)的安全性，降

4、低路由器受到網(wǎng)絡(luò)攻擊或被入侵的可能性。管理平面防護(hù)的措施主要包括以下幾方面：3.1 管理口防護(hù)編號(hào)內(nèi)容1設(shè)備應(yīng)關(guān)閉未使用的管理口（ AUX、或者沒(méi)開(kāi)啟業(yè)務(wù)的端口）。2設(shè)備應(yīng)配置 console 口密碼保護(hù)。3.2 賬號(hào)與口令本地認(rèn)證編號(hào)內(nèi)容1應(yīng)對(duì)不同的用戶分配不同的賬號(hào)，避免不同用戶間賬號(hào)共享。2應(yīng)禁止配置與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)； 應(yīng)禁止使用設(shè)備默認(rèn)賬號(hào)與口令并嚴(yán)格控制本地認(rèn)證賬號(hào)數(shù)量。3對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備：應(yīng)支持口令長(zhǎng)度及復(fù)雜度驗(yàn)證機(jī)制（強(qiáng) 制要求口令應(yīng)由數(shù)字、大寫字母、小寫字母和特殊符號(hào) 4 類字符構(gòu)成，自動(dòng) 拒絕用戶設(shè)置不符合復(fù)雜度要求的口令。）；口令應(yīng)以密文形式存

5、放，并采 用安全可靠的單向散列加密算法（如 md5、 sha1 等）；口令定期更改，最長(zhǎng) 不得超過(guò) 90 天。認(rèn)證服務(wù)器認(rèn)證編號(hào)內(nèi)容1建議使用動(dòng)態(tài)口令認(rèn)證技術(shù)。2口令定期更改，最長(zhǎng)不得超過(guò) 90 天。3應(yīng)為設(shè)備配置用戶 連續(xù)認(rèn)證失敗次數(shù)上限，當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò) 上限時(shí)，設(shè)備自動(dòng)斷開(kāi)該用戶賬號(hào)的連接，并在一定時(shí)間內(nèi)禁止該用戶賬號(hào)重新認(rèn)證。4設(shè)備應(yīng)通過(guò)對(duì)用戶組的認(rèn)證實(shí)現(xiàn)對(duì)用戶組及組內(nèi)賬號(hào)、口令的相關(guān)控制。3.3 認(rèn)證編號(hào)內(nèi)容1除本地認(rèn)證外，設(shè)備原則上還應(yīng)通過(guò)與認(rèn)證服務(wù)器（ RADIUS或 TACACS服務(wù)器）聯(lián)動(dòng)的方式實(shí)現(xiàn)對(duì)用戶的認(rèn)證。3.4 授權(quán)編號(hào)內(nèi)容1設(shè)備原則上應(yīng)采用預(yù)定義級(jí)別的授權(quán)

6、方法，實(shí)現(xiàn)對(duì)不同用戶權(quán)限的控制。2除本地授權(quán)外，設(shè)備原則上應(yīng)通過(guò)與認(rèn)證服務(wù)器（ RADIUS服務(wù)器或 TACACS 服務(wù)器）聯(lián)動(dòng)的方式實(shí)現(xiàn)對(duì)用戶的授權(quán)。對(duì)用戶授權(quán)時(shí)，建議采用逐條授權(quán) 的方式，盡量避免或減少使用一次性授權(quán)的方式。3原則上應(yīng)采用對(duì)命令組或命令進(jìn)行授權(quán)的方法，實(shí)現(xiàn)對(duì)用戶權(quán)限細(xì)粒度的控 制的能力。3.5 記賬編號(hào)內(nèi)容1原則上應(yīng)采用與認(rèn)證服務(wù)器 （RADIUS或 TACACS服務(wù)器 ）聯(lián)動(dòng)的方式，實(shí)現(xiàn)對(duì) 用戶登錄日志的記錄和審計(jì)。記錄和審計(jì)范圍應(yīng)包括但不限于：用戶登錄的 方式、使用的賬號(hào)名、登錄是否成功、登錄時(shí)間、以及遠(yuǎn)程登錄時(shí)用戶使用 的 IP 地址。2原則上應(yīng)采用與認(rèn)證服務(wù)器 （R

7、ADIUS或 TACACS服務(wù)器 ）聯(lián)動(dòng)的方式，實(shí)現(xiàn)對(duì) 用戶操作行為的記錄和審計(jì)，記錄和審計(jì)范圍應(yīng)包括但不限于：賬號(hào)創(chuàng)建、 刪除和權(quán)限修改，口令修改，設(shè)備配置修改，執(zhí)行操作的行為和操作結(jié)果 等。3.6 遠(yuǎn)程管理編號(hào)內(nèi)容1應(yīng)配置超時(shí)退出。2應(yīng)限制 VTY 口的數(shù)量，通常情況下 VTY 口數(shù)量不超過(guò) 16 個(gè)。應(yīng)設(shè)定 VTY口 的防護(hù)策略，避免由于惡意攻擊或者錯(cuò)誤操作等導(dǎo)致 VTY 口不可用情況的發(fā) 生。（如：網(wǎng)管系統(tǒng)盡量采用 snmp 方式對(duì)設(shè)備進(jìn)行操作，避免使用對(duì)設(shè)備 CPU負(fù)載較大的 telnet 方式。）3對(duì)于 VTY 口訪問(wèn)的認(rèn)證，應(yīng)采用認(rèn)證服務(wù)器認(rèn)證或者本地認(rèn)證的方式，避免 使用 VT

8、Y口下設(shè)置密碼的方式認(rèn)證。4應(yīng)通過(guò) ACL限制可遠(yuǎn)程管理設(shè)備的 IP 地址段。5建議使用 SSH或帶 SSH的 telnet 等加密的遠(yuǎn)程管理方式。3.7 SNMP安全編號(hào)內(nèi)容1設(shè)備應(yīng)支持并使用 V2 或 V2 以上版本的 SNMP協(xié)議，對(duì)于支持 V3版本的設(shè) 備，必須使用 V3 版本 SNMP協(xié)議。2應(yīng)對(duì)發(fā)起 SNMP訪問(wèn)的源 IP 地址進(jìn)行限制，并對(duì)設(shè)備接收端口進(jìn)行限制。3應(yīng)關(guān)閉未使用的 SNMP協(xié)議，盡量不開(kāi)啟 SNMP的 RW權(quán)限。4應(yīng)修改 SNMP協(xié)議 RO和 RW的默認(rèn) Community字符串，并設(shè)置復(fù)雜的字符串 作為 SNMP的 Community。5建議支持對(duì) SNMP協(xié)議

9、RO、RW的 Community 字符串的加密存放。3.8 系統(tǒng)日志編號(hào)內(nèi)容1應(yīng)調(diào)整 system log 的緩沖區(qū)大小。2應(yīng)設(shè)置發(fā)送 system log 的源地址為 loopback 地址。3設(shè)備的 System log messages 不記錄到控制臺(tái)。應(yīng)具備將指定級(jí)別的日志發(fā)送到日志服務(wù)器或其它位置的能力3.9 NTP編號(hào)內(nèi)容1應(yīng)開(kāi)啟 NTP，保證設(shè)備日志記錄時(shí)間的準(zhǔn)確性。通過(guò) ACL對(duì) NTP服務(wù)器與設(shè)備間的通信進(jìn)行控制。3.10 banner 信息編號(hào)內(nèi)容1應(yīng)隱藏設(shè)備缺省的 banner 信息。3.11 未使用的管理平面服務(wù)編號(hào)內(nèi)容1應(yīng)關(guān)閉設(shè)備上不必要的服務(wù) （如 CDP、 DNS

10、 lookup、DHCP、finger 、udp- small-server 、tcp-small-server 、http 、bootp、IP 源路由、 PAD等）4 數(shù)據(jù)轉(zhuǎn)發(fā)平面防護(hù)策略 在數(shù)據(jù)轉(zhuǎn)發(fā)平面的主要安全策略是對(duì)異常流量進(jìn)行控制，防止網(wǎng)絡(luò)蠕蟲(chóng)、拒絕服務(wù)攻 擊流量在網(wǎng)絡(luò)中的泛濫，造成網(wǎng)絡(luò)的擁塞或不可用。轉(zhuǎn)發(fā)平面防護(hù)的措施主要包括以下幾 個(gè)方面：4.1 流量控制編號(hào)內(nèi)容1應(yīng)支持 NetFlow 采集功能，采集設(shè)備入方向的流量的 NetFlow 。2設(shè)備應(yīng)通過(guò) CAR等技術(shù)對(duì)報(bào)文進(jìn)行分類，對(duì)協(xié)議端口進(jìn)行流量控制。4.2 典型垃圾流量過(guò)濾編號(hào)內(nèi)容1應(yīng)采用 uRPF技術(shù)預(yù)防偽造源地址的攻擊。

11、2應(yīng)在相關(guān)接口（例如：在 ChinaNet 網(wǎng)絡(luò)中的 C/D 路由器面向城域網(wǎng)、面向 IDC 接入的端口、 ChinaNet 網(wǎng)絡(luò)中 X/F/S 路由器面向其他運(yùn)營(yíng)商接入的端 口）上采用分組過(guò)濾技術(shù)拒絕目的地址是私有地址、組播地址或者其他保留 地址的非法數(shù)據(jù)流。3應(yīng)在相關(guān)路由器上使用白名單方式，對(duì)網(wǎng)絡(luò)間的訪問(wèn)進(jìn)行合理控制。（例 如： CN2網(wǎng)絡(luò)中，在 X/F 路由器上使用白名單方式限制國(guó)外運(yùn)營(yíng)商地址對(duì) CN2網(wǎng)絡(luò)及設(shè)備地址的訪問(wèn)等）4應(yīng)合理的拒絕 ICMP分片報(bào)文。5屏蔽不使用的端口。4.3 ToFab編號(hào)內(nèi)容1應(yīng)通過(guò)相關(guān)配置，防止 ToFab方向的矩陣緩沖區(qū)耗盡導(dǎo)致的協(xié)議數(shù)據(jù)和轉(zhuǎn)發(fā)流量異常5

12、 控制平面防護(hù)策略控制平面防護(hù)的主要目的是對(duì)進(jìn)出路由器自身流量進(jìn)行控制，避免惡意流量或錯(cuò)誤配 置、軟件 bug和其它原因產(chǎn)生的泛洪流量，引起設(shè)備引擎過(guò)載，而導(dǎo)致設(shè)備數(shù)據(jù)轉(zhuǎn)發(fā)性能 下降或不可用事件發(fā)生?？刂破矫娣雷o(hù)的措施主要包括以下幾個(gè)方面：5.1ACL控制編號(hào)內(nèi)容1應(yīng)使用合理的 ACL或其它分組過(guò)濾技術(shù)，對(duì)設(shè)備控制流量、管理流量及其它由 路由器引擎直接處理的流量（如 traceroute 、ICMP流量）進(jìn)行控制，實(shí)現(xiàn)對(duì) 路由器引擎的保護(hù)。5.2 路由安全防護(hù)編號(hào)內(nèi)容1應(yīng)部署適當(dāng)?shù)穆酚砂踩呗裕苊庠O(shè)備發(fā)布或接收不安全的路由信息。（如：開(kāi) 啟動(dòng)態(tài)路由協(xié)議認(rèn)證功能且認(rèn)證口令采用 MD5加密、使用 ip prefix-list 過(guò)濾 缺省和私有路由、設(shè)置最大路由條目限制、嚴(yán)格限制 BGP PEER的源地址等）2應(yīng)部署適當(dāng)?shù)穆酚砂踩呗?, 保障整個(gè)網(wǎng)絡(luò)路由層面的穩(wěn)定性和可控性。 （ 如：對(duì) 接收的 eBGP 路由 AS-PATH 長(zhǎng)度進(jìn)行一定限制、啟用 BGP TTL security check 功 能防御路由震蕩攻擊、采用 BGP協(xié)議作為 EGP協(xié)議時(shí)，應(yīng)使用 Route flap damping 功能防止路由風(fēng)暴等 ）3啟用 LDP標(biāo)簽分發(fā)協(xié)議時(shí)，應(yīng)合理使用 LDP協(xié)議認(rèn)證及加密功能，確保與可信方 進(jìn)行 LDP協(xié)議交互。5.3 協(xié)議報(bào)文防護(hù)編號(hào)內(nèi)容1設(shè)備