《(安全生产)中国移动华为路由器交换机安全配置手册》由会员分享,可在线阅读,更多相关《(安全生产)中国移动华为路由器交换机安全配置手册(56页珍藏版)》请在金锄头文库上搜索。
1、中国移动华为路由器交换机安全管理及策略密 级:文档编号:项目代号:中国移动华为路由器交换机安全配置手册Version 1.1中国移动通信有限公司二零零四年十二月第 * 页 共 * 页中国移动华为路由器交换机安全管理及策略拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人,负责对本文档进行标准化审核4读取5读取vi目 录目 录v第1章 概述1-11.1 交换机1-11.2 路由器1-5第2章 华为路由器交换机物理安全管理2-112.1
2、 定期检查机房的温度和湿度2-112.2 定期检查机房电源输入是否完好2-122.3 定期检查设备的接地电阻是否正常2-122.4 定期检查设备的相关线缆是否完好2-132.5 定期检查设备的风扇是否运行正常2-13第3章 华为路由器交换机数据安全配置3-133.1 分级设置用户口令3-133.2 对任何方式的用户登录都进行认证3-143.3 对于网络上已知的病毒所使用的端口进行过滤3-173.4 关闭危险的服务3-193.5 在使用SNMP协议时候的安全建议3-203.6 关闭不使用的物理端口3-203.7 保持系统日志的打开3-203.8 注意检查设备的系统时间是否准确3-213.9 路由
3、协议采用加密认证3-213.10 在设备上开启URPF功能3-253.11 防攻击的措施3-263.12 攻击防范配置3-283.12.1 使能IP欺骗攻击防范功能3-293.12.2 使能Land攻击防范功能3-303.12.3 使能Smurf攻击防范功能3-303.12.4 使能Fraggle攻击防范功能3-313.12.5 使能WinNuke攻击防范功能3-313.12.6 配置SYN Flood攻击防范功能3-323.12.7 配置ICMP Flood攻击防范功能3-343.12.8 配置UDP Flood攻击防范功能3-363.12.9 使能ICMP重定向报文攻击防范功能3-373.
4、12.10 使能ICMP不可达报文攻击防范功能3-383.12.11 配置地址扫描攻击防范功能3-393.12.12 配置端口扫描攻击防范功能3-403.12.13 使能带源站路由选项IP报文攻击防范功能3-413.12.14 使能带路由记录选项IP报文攻击防范功能3-413.12.15 使能带时间戳记录选项IP报文攻击防范功能3-423.12.16 使能Tracert报文攻击防范功能3-433.12.17 使能TCP报文标志合法性检测功能3-433.12.18 使能Ping of Death攻击防范功能3-443.12.19 使能TearDrop攻击防范功能3-453.12.20 使能IP分
5、片报文攻击防范功能3-453.12.21 配置超大ICMP报文攻击防范功能3-463.13 端口镜像功能3-47第4章 华为路由器交换机安全管理制度4-474.1 登录口令的强壮性4-474.2 登录口令的定期更换4-484.3 不同的人员掌握不同等级的登录口令4-484.4 对于设备的硬件、软件、数据配置操作进行登记备案4-494.5 对于每一次的网络异常进行登记备案4-494.6 在设备外保存设备当前运行的版本、数据配置、日志信息4-494.7 机房的安全管理建议:4-50第1章 概述1.1 交换机交换机是构建网络平台的“基石”。从传输介质和传输速度上可分为以太网交换机、快速以太网交换机、
6、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。从规模应用上又可分为企业级交换机、部门级交换机和工作组交换机等。一般来讲,企业级交换机都是机架式,部门级交换机可以是机架式(插槽数较少),也可以是固定配置式,而工作组级交换机为固定配置式(功能较为简单)。众所周知,传统的交换机工作在OSI参考模型的第二层数据链路层上,主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。物理编址(相对应的是网络编址)定义了设备在数据链路层的编址方式;网络拓扑结构包括数据链路层的说明,定义了设备的物理连接方式,如星型拓扑结构或总线拓扑结构等;错误校验向发生传输错误的上层协议告警;数据帧序列重
7、新整理并传输除序列以外的帧;流控可以延缓数据的传输能力,以使接收设备不会因为在某一时刻接收到了超过其处理能力的信息流而崩溃。目前很多交换机还具备VLAN、链路汇聚、MPLS等功能。华为的交换机主要有以下几个系列:产品型号特性Quidway S8016多业务核心路由交换机 面向IP城域网的网络骨干、交换核心、汇聚中心建设,基于硬件的二到七层和MPLS线速转发技术。l 支持MPLS以及基于MPLS的二、三层VPN业务,支持丰富的组播协议,支持WEB SWITCH(硬件支持)、NAT(硬件支持),支持DHCP Relay并内置DHCP Server功能;支持VLAN聚合、VLAN Trunk、支持G
8、VRP、支持VLAN嵌套、丰富的路由协议和完善的路由策略等丰富的二三层功能;l 支持完善的DiffServ/QoS保障,实现了简单流分类、复杂流分类、流量监管、真正的拥塞控制、完善的队列调度和输出流整形等功能,可同时承载数据、语音和视频业务的综合网络;所有QoS功能采用硬件实现,对性能没有影响;l 采用全分布式体系结构设计,实现数据逐包转发,区别于传统的流cache转发方式,能够有效防范各种“宏病毒”冲击;不论是路由处理系统本身,还是分布式的线路接口板、内容线路板和NAT板都提供包安全过滤/ACL的机制,防止非法侵入和恶意报文攻击。Quidway S8500 系列核心路由交换机 新一代高性能万
9、兆核心路由交换机产品,可广泛应用于IP城域网核心汇聚。l 采用功能强大的ASIC芯片进行高速路由查找,并通过Crossbar技术进行高速报文交换,从而大大提升了路由交换机的转发性能和扩充能力;l 可提供高达1.8T背板带宽、720Gbps交换容量、432Mpps转发能力;并可提供高密度接口板,支持线速转发;l 每块业务板均提供128K最长匹配路由转发表,支持策略路由和路由负载分担;l 支持线速的MPLS分布式转发,可以提供更好的VPN业务和透明的LAN服务,更可以通过MPLS TE来提供流量工程功能。Quidway S6500 系列高端交换机面向IP城域网、大型企业网及园区网用户的系列大容量、
10、高密度、模块化的三层交换机,作为城域网汇聚层交换机。l S6503整机支持3个高速业务插槽且主控板可直接提供4个GE接口;S6506/S6506R整机支持6个高速业务板插槽,提供平滑的投资和业务扩展能力;l 最大支持64K路由表项,基于最长匹配的路由方式,保证了所有报文均获得相同的转发性能;l 支持专利的弹性资源调配系统技术,实现系统背板、交换引擎带宽、性能的最优分布;l 基于新一代ASIC技术的Salience 系列交换路由引擎将L2/3/4线速转发与丰富的QOS、ACL特性结合在一起,是组建高可靠、低时延的核心网络的重要保障。Quidway S5500 系列千兆智能三层交换机面向IP城域网
11、的汇聚层和大型企业或园区网的汇聚层的盒式高密度可堆叠三层交换机。l 具有64Gbps背板带宽,32Gbps交换容量, 24Mpps转发能力,最大支持32K路由表项,基于最长匹配的路由方式,保证了所有报文均获得相同的转发性能;l 支持高性能SFP光接口,支持GE电口、单/多模光口模块的混合配置,支持模块热插拔;并可提供堆叠接口模块,可以和系列交换机堆叠,能够提供更灵活的组网模式;l 提供以64Kbit/s为步长的流控粒度,可以对不同业务进行更细致的管理,支持丰富的流分类,丰富的Qos策略是构建高质量“三网合一”网络的基础。Quidway S3500 系列安全智能三层交换机为充分满足安全IP交换和
12、高QOS保证的需求而推出的智能型以太网交换机;l 32Gbps的总线带宽为交换机所有的端口提供三层线速交换能力,系统能够提供4个GE,有效解决了在单台设备上多个千兆链路上行,同时接入千兆服务器的需求,极大的节省了用户对设备投资;l 基于最长匹配的路由策略,系统采用逐包转发方式,保证了所有报文均获得相同的转发性能,对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力,有效保证了设备安全;支持802.1x和Web Portal认证,在用户接入网络时完成必要的身份认证,还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定,有效的防止非法用户访问网络;l 不仅支持STP/RSTP生成树协议,
13、还提供了基于多VLAN的生成树MSTP,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。l 支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2L7复杂流分类。Quidway S5000 系列千兆二层交换机为企业网高速互连和千兆到桌面应用而设计的智能型可网管交换机,可以提供多路千兆光口,解决高端设备的GE端口紧张的问题。l 不仅支持协议所规定的用户端口接入认证方式,还对其进行了优化,接入控制方式可以基于端口,也可以基于MAC地址,极大地提高了安全性和可管理性,并具有用户管理能力;l 支持基于802.1p tags优先级控制,支持8个优先级队列;支持L2L
14、7层的流分类,在流分类的基础上可以进行ACL和QOS方面的多种操作,如带宽限制、优先级修改、过滤、端口镜像、重定向等多种操作;l 支持HGMP功能:简化配置管理任务:通过一个命令交换机实现对多个成员交换机的管理;提供拓扑发现和显示功能,有助于监视和调试网络。Quidway S3000 系列智能二层交换机采用高性能的ASIC,采用灵活的模块化结构,提供二到七层的智能的流分类和完善的服务质量(QoS),实现完备的业务控制和用户管理能力,可作为关注业务管理控制和网络安全保障能力的企业网和城域网的接入层交换机。l 12.8/18.5Gbps的总线带宽为交换机所有的端口提供二层线速交换能力,硬件能够识别
15、、处理四到七层的应用业务流,所有端口都具有单独的数据包过滤、区分不同应用流,并根据不同的流进行不同的管理和控制;l 支持802.1x认证,在用户接入网络时完成必要的身份认证,还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定,有效的防止非法用户访问网络。l 提供了三种各具特色的队列调度算法,严格优先级(Strict-Priority Queue,简称PQ)、加权轮循(Weighted Round Robin,简称WRR)调度算法和Delay bounded WRR调度算法;l 提供良好的堆叠功能,最大可支持16台设备的堆叠,同时支持不同设备的混合堆叠,从而保证了网络的平滑升级和降低了扩建成本。Quidway S2000 系列边缘接入交换机为要求具备高性能
