《中国移动通信集团网络设备安全配置规范-总则huwk》由会员分享,可在线阅读,更多相关《中国移动通信集团网络设备安全配置规范-总则huwk(33页珍藏版)》请在金锄头文库上搜索。
1、密级:内内部文档编号号:项目代号号:中国移动动通信集集团网络设备备安全配配置规范范总则版本:草草稿二零零三三年十一一月中国移动动通信公公司福建移动动通信公公司版本控制制版本号日期参与人员员更新说明明初稿20033-111-255洪顺安文档建立立,初始始化目录第一部分分概述和和介绍551概述551.1项项目背景景51.2项项目目标标51.3参参考资料料5第二部分分设备的的安全机机制71访问控控制72数据加加密73日志问问题84自身的的防攻击击能力88第三部分分设备安安全配置置建议991访问控控制列表表及其管管理91.1实实施原则则91.2存存在问题题101.3要要求配置置部分1102路由协协议的
2、安安全性1112.1路路由协议议认证1112.2源源地址路路由检查查122.3黑黑洞路由由123网管及及认证问问题1333.1访访问管理理133.1.1限制制登录空空闲时间间143.1.2限制制尝试次次数1443.1.3限制制并发数数143.1.4访问问地址限限制1443.2帐帐号和密密码管理理153.3帐帐号认证证和授权权153.3.1本机机认证和和授权1153.3.2AAAA认证证163.4ssnmpp协议1663.5HHTTPP的配置置要求1174安全审审计1774.1设设备的登登录信息息184.2设设备异常常事件1184.3SSYSLLOG服服务器的的设置1185设备IIOS升升级方法
3、法185.1前前期准备备195.1.1软件件的获取取195.1.2制定定升级计计划1995.1.3配置置同步1195.1.4数据据备份2205.1.5其他他准备工工作2005.2升升级操作作205.2.1记录录升级前前系统状状态2005.2.2升级级IOSS或装载载补丁2205.2.3检查查升级后后系统的的状态2215.3应应急保障障措施2216特定的的安全配配置2116.1更更改标准准端口2216.2关关闭不必必要的服服务2116.3防防DOSS攻击2226.3.1Smmurff进攻的的防范。226.3.2TCCP SSYN的的防范。236.3.3LAAND.C 进进攻的防防范2556.4I
4、ICMPP协议的的安全配配置。2256.5其其他特定定的安全全配置226第四部分分附表277第一部分分 概述述和介绍绍1 概述本文档对对于中国国移动网网络设备备安全配配置的标标准进行行描述,规规范涉及及适用范范围、对对应网络络设备本本身安全全机制的的介绍和和设备安安全配置置标准三三个部分分,在规规范中针针对不同同设备的的六大安安全规范范主题进进行描述述,除了了提供详详细的安安全配置置标准外外,同时时考虑设设备型号号和适用用网络层层次的不不同,对对实际配配置过程程中应注注意的问问题进行行详细描描述。1.1 项目背景景该项目是是为了规规范网络络设备的的安全配配置标准准,提高高中国移移动网络络设备的
5、的安全性性而提出出的。该该项目成成果将适适用于移移动集团团公司以以及各省省公司网网络部、计计费、信信息化等等部门,涵涵盖业务务网络(GGPRSS、CMMNett、各数数据业务务系统)、支支撑系统统(网管管、BOOSS、OOA)等等。1.2 项目目标标该项目的的目标是是对中国国移动网网络中使使用的网网络设备备的安全全配置标标准进行行规范,实实现规范范和指导导各省的的各应用用系统网网络设备备安全配配置的作作用。标标准以路路由器、交交换机、NNAS设设备为主主,防火火墙的配配置要求求为辅。1.3 参考资料料l CISCCO公司司提供的的Immproovinng SSecuuritty oon CCi
6、scco RRoutterssl 中国ITT认证实实验室网网站 htttp:/wwww.cchinnaittlabb.coom/l 爱立信公公司提供供的爱立立信路由由器交换换器安全全加固手手册l 华为公司司提供的的路由器器、交换换机和接接入服务务器的安安全配置置建议参与本项项目编写写的人员员有:福建移动动通信公公司:洪洪顺安、林林秀、程程琦、欧欧松、郭郭耀庭、陈陈鸿、连连伟感谢:爱爱立信公公司、华华为公司司、亿阳阳信通和和泰讯网网络给予予大力支支持。第二部分分 设备备的安全全机制本部分内内容对设设备自身身的安全全机制进进行简单单描述,对对每种安安全机制制可以解解决什么么问题进进行阐述述。考虑虑
7、到设备备适用的的网络层层次不同同,各安安全机制制实施的的网络层层面也不不尽相同同,在这这对各安安全机制制的使用用网络层层次进行行分析。网网络设备备的安全全机制要要考虑以以下几个个部分:1 访问控制制大多数网网络设备备具有访访问控制制能力,或或通过访访问控制制列表,或或流量过过滤功能能实现。通通过访问问控制能能力,能能够实现现对远程程访问控控制、ssnmpp的认证证、路由由协议认认证、IIP地址址限制、流流量控制制等等。本部分对对各类设设备具有有的访问问控制能能力进行行综合阐阐述,并并描述如如何将访访问控制制功能应应用在防防范攻击击上。同同时,对对设备的的设计结结构进行行说明,并并讨论访访问控制
8、制的实施施是否会会对设备备性能造造成影响响。目前前思科低低端设备备在实施施访问控控制上有有一定局局限性,主主要原因因是设备备设计特特性所决决定的;而juunipper路路由器采采用ASSIC芯芯片来执执行ACCL,并并且路由由引擎和和转发引引擎是分分开的,故故ACLL的实施施对设备备不会有有很大的的影响。在在对设备备属性不不是很熟熟悉的情情况下,实实施ACCL最好好获取厂厂商的技技术支持持,已确确保实施施满足最最终效果果。2 数据加密密本部分对对网络设设备是否否支持加加密的通通信方式式进行阐阐述,如如是否支支持SSSH、口口令加密密、是否否支持HHTTPPS等等等,并针针对不同同的软件件版本问
9、问题分别别阐述。3 日志问题题本部分对对网络设设备的日日志体系系进行介介绍,如如日志的的组成、日日志的存存储等问问题。对对SYSSLOGG的支持持等。4 自身的防防攻击能能力本部分对对网络设设备自身身所特有有的防攻攻击能力力。目前前,各厂厂家的网网络设备备一般具具有一定定的自动动攻击检检测和防防范机制制,在功功能上和和称呼上上有一定定的差别别,有些些能自动动生成,有有些需手手工添加加。如EExtrremmme有对对攻击的的智能防防范功能能,思科科和华为为的CAAR功能能等。考考虑到设设备本省省具备的的防攻击击能力是是设备特特有的,在在各分册册中对设设备具有有的特定定防攻击击能力进进行详细细描述
10、。第三部分分 设备备安全配配置建议议设备安全全配置建建议是本本规范重重要的一一个部分分,该部部分将对对安全配配置的细细节进行行描述,并并对安全全配置适适用的网网络层次次、对设设备性能能的影响响和配置置实施的的注意点点进行详详细说明明。考虑虑到不同同设备在在配置上上存在巨巨大差异异,对不不同设备备的配置置在各分分册中给给出配置置建议。1 访问控制制列表及及其管理理访问控制制列表是是路由器器本身具具有安全全机制中中最有特特点的一一个功能能,许多多安全配配置都基基于访问问控制列列表功能能进行的的。本部部分针对对设备的的访问控控制列表表功能进进行总体体的描述述,并描描述访问问控制列列表具体体实施和和配
11、置等等问题。同同时考虑虑访问控控制列表表对部分分设备性性能有一一定影响响,访问问控制列列表的实实施必须须慎重,最最好获取取厂家的的建议后后实施。1.1 实施原则则目前,大大多数路路由器、交交换机等等网络设设备能提供强强大的AACL(访访问控制制列表)的的功能。建建议用AACL去去限制可可以远程程登录设设备的源源地址。实施ACCL的原原则是:l 只允许合合法的网网管网段段或网管管和维护护主机地地址作为为源地址址发起对对设备的的远程连连接,如如Tellnett、SSSH、HHttpp、SNNMP、SSysllog等等;l 只允许需需要的协协议端口口能进入入(如OOSPFF、BGGP、RRSVPP等
12、);l 指定设备备自身发发包的源源地址,如如looopbaack IP。同同时只允允许在设设备间使使用这些些地址来来互相远远程登录录;l 除此之外外所有以以设备端端口IPP地址为为目的地地址数据据包都被被拒收。ACL在在不同设设备上的的有不同同的定义义,但目目的都是是实现对对访问的的控制,有效屏蔽大部分的网络攻击。如JUNOS称之为Firewall Filter,CISCO和Extremme称之为Access List。1.2 存在问题题注意ACCL的设设置会可可能对路路由器设设备性能能造成影影响,如如CISSCO的的ACLL设置过过多,设设备性能能会严重重下降,但但Junnipeer路由由器
13、和EExtrremee交换机机都是采采用ASSIC芯芯片来执执行ACCL的,而而且ACCL检查查都先于于转发处处理,不不会影响响设备的的转发效效能和路路由处理理。对于不同同设备,建建议在实实施ACCL时,要要获取相相关设备备提供商商的建议议。需要要强调的的是,对对网络病病毒和攻攻击的防防范,并并不能单单靠路由由器或交交换机来来完成,应应尽量保保证受管管理主机机及时得得到系统统加固,从从源头上上减少网网络病毒毒和攻击击发生的的可能性性。汇聚网络络或核心心网络中中,每一一条链路路上都承承载大量量各种各各样的流流量。在在此对流流量进行行区分和和过滤具具有较大大难度,也也容易引引发意外外。而且且也加大
14、大了汇聚聚设备或或核心设设备的处处理压力力。建议议ACLL的设置置应尽量量往网络络边缘靠靠,如在在接入层层设备和和全网出出口处。这这样能起起到更好好的防范范效果,也也包证了了网络的的整体转转发效能能不受影影响。1.3 要求配置置部分根据已有有经验,要要求添加加的ACCL包括括以下几几部分:l 对ICMMP数据据包的过过滤目前网络络上泛滥滥着大量量的使用用ICMMP数据据包的DDoS攻攻击,如如W322/Weelchhia Worrm。我我们建议议创建AACL来来屏蔽所所有的IICMPP数据流流。基于于网管需需要和特特殊要求求,我们们可以再再加添高高优先级级的ACCL来允允许特殊殊类型或或具体源
15、源/目地地址的IICMPP包通过过。l 对已知攻攻击模式式的病毒毒攻击的的防护l 根据IAANA组组织制定定的说明明,屏蔽蔽不应在在Intternnet上上出现的的IP地地址这些地址址包括:回环地地址(1127.0.00.0/8);RFCC19118私有有地址;DHCCP自定定义地址址(1669.2254.0.00/166);科科学文档档作者测测试用地地址(1192.0.22.0/24);不用用的组播播地址(2244.0.0.00/4);SUUN公司司的古老老的测试试地址(20.20.20.0/224;2204.1522.644.0/23);全网网络地址址(0.0.00.0/8)。l 根据IAANA组组织制定定的说明明, 屏屏蔽不应应在Innterrnett上出现现的服务务端口。l 根据IAANA组组织制定定的说明明,屏蔽蔽不需要要的组播播地址。在用或需需要用的的某些协协议是通通过组播播方式运运作(如如OSPPF),必必须创建建高优先先级的AACL来来允许指指
