中國電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)路由器設(shè)備安全防護(hù)要求V1.0

..中國電信平安策略體系文檔中國電信平安策略體系文檔文檔編號(hào):文檔編號(hào):SOC02-02-003中國電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)中國電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)路由器設(shè)備平安防護(hù)要求版本號(hào)：1版本號(hào)：1.0.0發(fā)布日期：發(fā)布日期：中國電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部中國電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部修訂記錄修訂日期修訂容修訂人目 次前言11引言21.1目的21.2圍22防護(hù)策略劃分33管理平面防護(hù)策略43.1管理口防護(hù)43.2賬號(hào)與口令43.3認(rèn)證53.4授權(quán)53.5審計(jì)53.6遠(yuǎn)程管理63.7SNMP平安63.8系統(tǒng)日志63.9NTP73.10banner信息73.11未使用的管理平面效勞74數(shù)據(jù)轉(zhuǎn)發(fā)平面防護(hù)策略84.1流量控制84.2典型垃圾流量過濾84.3ToFab85控制平面防護(hù)策略95.1ACL控制95.2路由平安防護(hù)95.3協(xié)議報(bào)文防護(hù)95.4引擎防護(hù)策略10..前言為進(jìn)一步落實(shí)"中國電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)平安策略總綱"要求，促進(jìn)中國電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)在路由器設(shè)備選型、工程驗(yàn)收以及運(yùn)維階段等環(huán)節(jié)的規(guī)化運(yùn)作，明確路由器設(shè)備必須滿足的根本平安防護(hù)要求〔相關(guān)平安防護(hù)要求獨(dú)立于具體廠家〕，特制定本防護(hù)要求〔以下簡稱"要求〞〕。各省公司可以根據(jù)實(shí)際情況，在本要求的根底上制定相應(yīng)的實(shí)施細(xì)則并具體實(shí)施。本文檔起草單位：中國電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部本文檔解釋單位：中國電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部..引言目的為促進(jìn)中國電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)在路由器設(shè)備選型、工程驗(yàn)收以及運(yùn)維階段等環(huán)節(jié)的規(guī)化運(yùn)作，明確路由器設(shè)備必須滿足的根本平安防護(hù)要求〔相關(guān)平安防護(hù)要求獨(dú)立于具體廠家〕，特制定本要求。圍本要求適用于中國電信的互聯(lián)網(wǎng)與相關(guān)網(wǎng)絡(luò)及系統(tǒng)，主要包括IP承載網(wǎng)，以及承載在其上的各種業(yè)務(wù)網(wǎng)、業(yè)務(wù)平臺(tái)和支撐系統(tǒng)。IP承載網(wǎng)包括中國電信ChinaNet、2、城域網(wǎng)、D等網(wǎng)絡(luò)；業(yè)務(wù)網(wǎng)包括C網(wǎng)分組域、軟交換等；業(yè)務(wù)平臺(tái)包括C網(wǎng)業(yè)務(wù)平臺(tái)、全球眼、互聯(lián)星空等；支撐系統(tǒng)包括DNS、網(wǎng)管系統(tǒng)、認(rèn)證系統(tǒng)等。防護(hù)策略劃分根據(jù)國外運(yùn)營商網(wǎng)絡(luò)及結(jié)合中國電信的實(shí)際情況，可將路由交換設(shè)備的平安域邏輯劃分為管理平面、控制平面、轉(zhuǎn)發(fā)平面等三大平面，每個(gè)平面的具體平安策略不同。具體如下：管理平面：管理平面防護(hù)的主要平安策略是保護(hù)設(shè)備遠(yuǎn)程管理及本地效勞的平安性，降低設(shè)備受到網(wǎng)絡(luò)攻擊或被入侵的可能性。轉(zhuǎn)發(fā)平面：數(shù)據(jù)轉(zhuǎn)發(fā)平面的主要平安策略是對(duì)異常流量進(jìn)展控制，防止因網(wǎng)絡(luò)蠕蟲、拒絕效勞攻擊等流量在網(wǎng)絡(luò)中的泛濫，造成網(wǎng)絡(luò)的擁塞或不可用。控制平面：控制平面的主要平安策略是保證設(shè)備系統(tǒng)資源的可用性，使得設(shè)備可以正常的實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)、協(xié)議更新。管理平面防護(hù)策略管理平面防護(hù)的主要目的是保護(hù)路由器遠(yuǎn)程管理及本地效勞的平安性，降低路由器受到網(wǎng)絡(luò)攻擊或被入侵的可能性。管理平面防護(hù)的措施主要包括以下幾方面：管理口防護(hù)編號(hào)容1設(shè)備應(yīng)關(guān)閉未使用的管理口〔AU*、或者沒開啟業(yè)務(wù)的端口〕。2設(shè)備應(yīng)配置console口密碼保護(hù)。賬號(hào)與口令本地認(rèn)證編號(hào)容1應(yīng)對(duì)不同的用戶分配不同的賬號(hào)，防止不同用戶間賬號(hào)共享。2應(yīng)制止配置與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號(hào)；應(yīng)制止使用設(shè)備默認(rèn)賬號(hào)與口令并嚴(yán)格控制本地認(rèn)證賬號(hào)數(shù)量。3對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備：應(yīng)支持口令長度及復(fù)雜度驗(yàn)證機(jī)制〔強(qiáng)制要求口令應(yīng)由數(shù)字、大寫字母、小寫字母和特殊符號(hào)4類字符構(gòu)成，自動(dòng)拒絕用戶設(shè)置不符合復(fù)雜度要求的口令?！?；口令應(yīng)以密文形式存放，并采用平安可靠的單向散列加密算法〔如md5、sha1等〕；口令定期更改，最長不得超過90天。認(rèn)證效勞器認(rèn)證去掉去掉編號(hào)容1建議使用動(dòng)態(tài)口令認(rèn)證技術(shù)。2口令定期更改，最長不得超過90天。3應(yīng)為設(shè)備配置用戶連續(xù)認(rèn)證失敗次數(shù)上限，當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過上限時(shí)，設(shè)備自動(dòng)斷開該用戶賬號(hào)的連接，并在一定時(shí)間制止該用戶賬號(hào)重新認(rèn)證。4設(shè)備應(yīng)通過對(duì)用戶組的認(rèn)證實(shí)現(xiàn)對(duì)用戶組及組賬號(hào)、口令的相關(guān)控制。認(rèn)證編號(hào)容1除本地認(rèn)證外，設(shè)備原則上還應(yīng)通過與認(rèn)證效勞器〔RADIUS或TACACS效勞器〕聯(lián)動(dòng)的方式實(shí)現(xiàn)對(duì)用戶的認(rèn)證。授權(quán)編號(hào)容1設(shè)備原則上應(yīng)采用預(yù)定義級(jí)別的授權(quán)方法，實(shí)現(xiàn)對(duì)不同用戶權(quán)限的控制。2除本地授權(quán)外，設(shè)備原則上應(yīng)通過與認(rèn)證效勞器〔RADIUS效勞器或TACACS效勞器〕聯(lián)動(dòng)的方式實(shí)現(xiàn)對(duì)用戶的授權(quán)。對(duì)用戶授權(quán)時(shí)，建議采用逐條授權(quán)的方式，盡量防止或減少使用一次性授權(quán)的方式。在AAA上實(shí)現(xiàn)的?？醋詈髲S家填寫結(jié)果，決定是否去掉。在AAA上實(shí)現(xiàn)的?？醋詈髲S家填寫結(jié)果，決定是否去掉。3原則上應(yīng)采用對(duì)命令組或命令進(jìn)展授權(quán)的方法，實(shí)現(xiàn)對(duì)用戶權(quán)限細(xì)粒度的控制的能力。有兩種方式：本地方式AAA方式有兩種方式：本地方式AAA方式重點(diǎn)說明本地方式。記賬編號(hào)容1原則上應(yīng)采用與認(rèn)證效勞器(RADIUS或TACACS效勞器)聯(lián)動(dòng)的方式，實(shí)現(xiàn)對(duì)用戶本地、AAA兩種登錄日志的記錄和審計(jì)。記錄和審計(jì)圍應(yīng)包括但不限于：用戶登錄的方式、使用的賬號(hào)名、登錄是否成功、登錄時(shí)間、以及遠(yuǎn)程登錄時(shí)用戶使用的IP地址。本地、AAA兩種2原則上應(yīng)采用與認(rèn)證效勞器(RADIUS或TACACS效勞器)聯(lián)動(dòng)的方式，實(shí)現(xiàn)對(duì)用戶操作行為的記錄和審計(jì)，記錄和審計(jì)圍應(yīng)包括但不限于：賬號(hào)創(chuàng)立、刪除和權(quán)限修改，口令修改，設(shè)備配置修改，執(zhí)行操作的行為和操作結(jié)果等。遠(yuǎn)程管理編號(hào)容1應(yīng)配置超時(shí)退出。2應(yīng)限制VTY口的數(shù)量，通常情況下VTY口數(shù)量不超過16個(gè)。應(yīng)設(shè)定VTY口的防護(hù)策略，防止由于惡意攻擊或者錯(cuò)誤操作等導(dǎo)致VTY口不可用情況的發(fā)生。〔如：網(wǎng)管系統(tǒng)盡量采用snmp方式對(duì)設(shè)備進(jìn)展操作，防止使用對(duì)設(shè)備CPU負(fù)載較大的telnet方式?！?對(duì)于VTY口訪問的認(rèn)證，應(yīng)采用認(rèn)證效勞器認(rèn)證或者本地認(rèn)證的方式，防止使用VTY口下設(shè)置密碼的方式認(rèn)證。4應(yīng)通過ACL限制可遠(yuǎn)程管理設(shè)備的IP地址段。5建議使用SSH或帶SSH的telnet等加密的遠(yuǎn)程管理方式。SNMP平安編號(hào)容1設(shè)備應(yīng)支持并使用V2或V2以上版本的SNMP協(xié)議，對(duì)于支持V3版本的設(shè)備局部設(shè)備支持V2，必須使用V3版本SNMP協(xié)議。局部設(shè)備支持V22應(yīng)對(duì)發(fā)起SNMP訪問的源IP地址進(jìn)展限制，并對(duì)設(shè)備接收端口進(jìn)展限制。3應(yīng)關(guān)閉未使用的SNMP協(xié)議，盡量不開啟SNMP的RW權(quán)限。4應(yīng)修改SNMP協(xié)議RO和RW的默認(rèn)munity字符串，并設(shè)置復(fù)雜的字符串作為SNMP的munity。5建議支持對(duì)SNMP協(xié)議RO、RW的munity字符串的加密存放。系統(tǒng)日志編號(hào)容1應(yīng)調(diào)整systemlog的緩沖區(qū)大小應(yīng)不是默認(rèn)設(shè)置。應(yīng)不是默認(rèn)設(shè)置2應(yīng)設(shè)置發(fā)送systemlog的源地址為loopback地址。3設(shè)備的Systemlogmessages不記錄到控制臺(tái)。4應(yīng)具備將指定級(jí)別的日志發(fā)送到日志效勞器或其它位置的能力。NTP編號(hào)容1應(yīng)開啟NTP，保證設(shè)備日志記錄時(shí)間的準(zhǔn)確性。通過ACL對(duì)NTP效勞器與設(shè)備間的通信進(jìn)展控制。修訂過修訂過banner信息編號(hào)容1應(yīng)隱藏設(shè)備缺省的banner信息建議都為空。。建議都為空。未使用的管理平面效勞編號(hào)容1應(yīng)關(guān)閉設(shè)備上不必要的效勞(如CDP、DNSlookup、DHCP、finger、udp-small-server、tcp-small-server、、bootp、IP源路由、PAD等廠家提供缺省應(yīng)關(guān)上的。)廠家提供缺省應(yīng)關(guān)上的。數(shù)據(jù)轉(zhuǎn)發(fā)平面防護(hù)策略在數(shù)據(jù)轉(zhuǎn)發(fā)平面的主要平安策略是對(duì)異常流量進(jìn)展控制，防止網(wǎng)絡(luò)蠕蟲、拒絕效勞攻擊流量在網(wǎng)絡(luò)中的泛濫，造成網(wǎng)絡(luò)的擁塞或不可用。轉(zhuǎn)發(fā)平面防護(hù)的措施主要包括以下幾個(gè)方面：流量控制cisco、huawei、juniper有默認(rèn)配置。其他廠家需要進(jìn)展配置。刪除。cisco、huawei、juniper有默認(rèn)配置。其他廠家需要進(jìn)展配置。刪除。編號(hào)容1應(yīng)支持NetFlow采集功能，采集設(shè)備入方向的流量的NetFlow。2設(shè)備應(yīng)通過CAR等技術(shù)對(duì)報(bào)文進(jìn)展分類，對(duì)協(xié)議端口進(jìn)展流量控制。命令復(fù)雜命令復(fù)雜典型垃圾流量過濾編號(hào)容1應(yīng)采用uRPF技術(shù)預(yù)防偽造源地址的攻擊。2應(yīng)在相關(guān)接口〔例如：在ChinaNet網(wǎng)絡(luò)中的C/D路由器面向城域網(wǎng)、面向IDC接入的端口、ChinaNet網(wǎng)絡(luò)中*/F/S路由器面向其他運(yùn)營商接入的端口〕上采用分組過濾技術(shù)拒絕目的地址是私有地址、組播地址或者其他保存地址的非法數(shù)據(jù)流。3應(yīng)在相關(guān)路由器上使用白方式，對(duì)網(wǎng)絡(luò)間的訪問進(jìn)展合理控制。〔例如：2網(wǎng)絡(luò)中，在*/F路由器上使用白方式限制國外運(yùn)營商地址對(duì)2網(wǎng)絡(luò)及設(shè)備地址的訪問等〕4應(yīng)合理的拒絕ICMP分片報(bào)文。5屏蔽不使用的端口。ToFab編號(hào)容1應(yīng)通過相關(guān)配置，防止ToFab方向的矩陣緩沖區(qū)耗盡導(dǎo)致的協(xié)議數(shù)據(jù)和轉(zhuǎn)發(fā)流量異?？刂破矫娣雷o(hù)策略控制平面防護(hù)的主要目的是對(duì)進(jìn)出路由器自身流量進(jìn)展控制，防止惡意流量或錯(cuò)誤配置、軟件bug和其它原因產(chǎn)生的泛洪流量，引起設(shè)備引擎過載，而導(dǎo)致設(shè)備數(shù)據(jù)轉(zhuǎn)發(fā)性能下降或不可用事件發(fā)生?？刂破矫娣雷o(hù)的措施主要包括以下幾個(gè)方面：ACL控制編號(hào)容1應(yīng)使用合理的ACL或其它分組過濾技術(shù)，對(duì)設(shè)備控制流量、管理流量及其它由路由器引擎直接處理的流量〔如traceroute、ICMP流量〕進(jìn)展控制，實(shí)現(xiàn)對(duì)路由器引擎的保護(hù)。路由平安防護(hù)編號(hào)容1應(yīng)部署適當(dāng)?shù)穆酚善桨膊呗裕乐乖O(shè)備發(fā)布或接收不平安的路由信息?！踩纾洪_啟動(dòng)態(tài)路由協(xié)議認(rèn)證功能且認(rèn)證口令采用MD5加密、使用ipprefi*-list過濾缺省和私有路由、設(shè)置最大路由條目限制、嚴(yán)格限制BGPPEER的源地址等〕2應(yīng)部署適當(dāng)?shù)穆酚善桨膊呗?保障整個(gè)網(wǎng)絡(luò)路由層面的穩(wěn)定性和可控性。(如：對(duì)接收的eBGP路由AS-PATH長度進(jìn)展一定限制、啟用BGPTTLsecuritycheck功能防御路由震蕩攻擊、采用BGP協(xié)議作為EGP協(xié)議時(shí)，應(yīng)使用Routeflapdamping功能防止路由風(fēng)暴等)3啟用LDP標(biāo)簽分發(fā)協(xié)議時(shí)，應(yīng)合理使用LDP協(xié)議認(rèn)證及加密功能，